▶ "'카카오 사태' 금융보안 강화" 에서 이어짐

빅테크 등 전자금융업자의 규모와 영향력이 증가했지만 재해복구센터 설치 의무가 면제돼 있고 전자금융사고의 파급력이 확대됐음에도 사고시 책임이행을 위한 보험 가입기준은 금융투자업자의 경우 5억원, 저축은행·보험업·선불업은 1억원 등으로 바뀌지 않고 있다.

금융위는 "보안규정 준수가 금융회사 등의 보안목표로 인식돼 수동적인 보안활동에 머무르는 한계가 있다"며 "규정상의 보안 의무만 준수하면 모든 보안 책임을 다하는 것이라는 인식이 만연하다"고 지적했다.

따라서 금융당국은 앞으로 보안규제를 목표·원칙 중심으로 바꾸기로 했다. 금융보안의 주요 원칙과 목표를 법에 명시하고 세부사항은 폐지한다는 방침을 정했다. 전자금융감독규정 중 필수사항만 남기고 세부적으로 규율할 사항은 가이드라인 또는 해설서 등으로 전환하기로 했다.

금융위는 "금융회사 등이 자율보안체계를 구축하지 않거나, 보안사고가 발생한 경우 그에 따른 사후책임을 강화하겠다"며 "국제기준 등을 고려해 고의·중과실에 의한 사고 발생시 과징금 등의 제도 개선을 검토할 예정"이라고 밝혔다. 과징금을 비롯해 손해배상 등 사후책임 규제를 도입하기 위해 법률 개정을 추진할 계획이다.

금융회사들이 금융보안을 정보보호최고책임자(CISO) 중심의 실무적 문제로만 인식하고 있는 지배구조의 문제점도 개선하기로 했다. 전사적 차원에서 금융보안을 준수하고 자율보안체계를 구축할 수 있도록 정보보호책임자의 권한을 확대하고 중요 보안사항의 이사회 보고 의무화 등을 통해 금융보안을 기업의 핵심 가치로 만들겠다는 것이다.

금융위는 내년 상반기 중 '금융보안 규율체계 정비 TF'를 구성해 장기적인 로드맵에 대한 검토를 시작하기로 했다.

1단계로 현재 보안규정의 우선순위와 규제 타당성, 금융회사들의 보안 역량 등을 종합적으로 평가해 감독규정을 정비하고 2단계는 목표·원칙과 사후책임 중심의 규제 정비를 위한 법률 개정이 추진된다.

3단계는 포지티브 규제(허용하는 것만 나열하고 나머지는 금지)체계에서 네거티브(금지되는 것이 아니면 모두 허용) 방식으로 전환해 금융회사 등에 보안 자율성을 부여하는 내용이 진행될 예정이다.