금융당국, 금융보안 규제 선진화 착수…자율·사후규제 중심으로

빅테크, 몸집 커졌지만 재해복구센터 설치 의무 면제 등 규제 구멍
내년 상반기 중 '금융보안 규율체계 TF 구성'…로드맵 논의

[아시아경제 유제훈 기자] 정부가 금융 보안 규제를 규정, 사전규제 중심에서 자율·책임, 사후규제 중심으로 전환한다. 지난 10월 발생한 카카오 데이터 센터 화재 사고 등에서 드러났듯 사전통제적, 미시적인 규제 방식으로는 급변하는 IT 환경과 각종 보안 리스크에 효과적으로 대응하기 어렵단 판단에서다.

금융위원회는 지난 20일 열린 제5차 금융규제혁신회의에서 이런 내용을 담은 '금융보안 규제 선진화 방안'을 논의했다고 27일 밝혔다. 이에 따라 금융당국은 내년 상반기 중 '금융보안 규율체계 정비 태스크포스(TF)'를 구성, 장기 로드맵에 대한 검토를 본격화한다는 계획이다.

정부가 금융 보안 규제 선진화에 나서고 있는 것은 최근 신기술 도입에 따른 보안 취약점을 노린 랜섬웨어(ransomware), 디도스(DDoS) 공격 등 사이버 위협의 유형이 다변화되는 한편, 비금융부문의 장애 및 정보 유출 등의 사고가 금융 부문으로 전이되는 이른바 '제3차 리스크(3rd party risk)가 심화하고 있기 때문이다. 지난 10월 발생한 데이터 센터 화재사고가 대표적이다.

이에 따라 금융당국은 금융 보안 규제를 자율·책임 원칙, 사후규제 중심으로 개편한단 구상이다. 우선 금융사 등이 전사적 차원에서 금융보안을 준수하고, 자율 보안 체계를 구축토록 규율체계를 개선할 계획이다. 구체적으론 정보보호 최고책임자(CISO)의 권한을 확대하고, 중요 보안 사항의 이사회 보고 의무와 등을 통해 금융보안을 기업의 핵심 가치로 격상시킨다.

아울러 보안 규제를 목표·원칙 중심, 사후 책임 중심으로 전환한다. 현행 전자금융거래법상 안전성 확보 의무를 ▲인력·조직·예산 ▲내부통제 ▲시스템보안 ▲데이터 보호 등으로 구분, 금융보안의 주요 원칙·목표를 법에 명시하고 세부 사항은 폐지한다. 전자금융감독규정 중 해당 내용도 필수 사항만을 남기고 세부 사항은 가이드라인 또는 해설서로 대체한다.

자율보안체계를 구축하지 않거나 보안사고가 발생한 경우 과징금제도 신설 등 사후책임도 강화한다. 관리 감독 방식도 자율 책임 원칙으로 전환한다. 금융당국은 기존의 보안규정 위반 여부를 감독하는 방식 대신 자율보안체계 수립·이행 등에 대한 검증에 집중할 방침이다.

금융위는 내년 상반기 중 금융보안 규율체계 정비 TF를 꾸려 로드맵 검토를 본격화할 예정이다. 금융위 관계자는 "내년 상반기 중 금융감독원, 금융보안원, IT 보안 전문가들이 참여하는 규율체계 정비 TF를 구성, 장기적 로드맵에 대한 검토를 시작할 것"이라면서 "구체적인 시행 일정도 함께 마련할 예정"이라고 밝혔다.

유제훈 기자 kalamal@asiae.co.kr