금융IT보안, 금융사 자율로 전환…자체점검 및 책임 강화

금융회사 스스로 전자금융사고 책임보험 가입금액을 산정하고, 금융보안 관련 가이드라인을 민간자율로 제정하게 될 전망이다. 금융당국이 IT보안규제의 패러다임을 사전규제에서 사후규제로 전환함으로써 올해 내로 민간 중심의 자율적 금융IT보안체계를 확립하겠다는 계획이다.

금융위원회·금융감독원은 18일 열린 제5차 금융개혁회의를 통해 ‘금융IT부문 자율보안체계 확립방안’을 발표했다고 19일 밝혔다.

그간 금융당국은 금융권 IT보안 강화를 위해 보안 관련 규정을 항목별로 세세하게 규제해왔다. 하지만 최근 금융보안 규제 패러다임이 타율적 규제에서 원칙 중심의 자율적 규제로 변화하면서 핀테크 시대에 부응하는 민간 중심의 자율보안체계 확립의 중요성이 점점 강조되는 추세다.

이에 따라 금융당국은 금융회사의 자체 점검 및 책임 강화를 위해 IT 내부감사 가이드라인과 IT내부감사요원 교육프로그램을 마련할 계획이다. IT감사 전문인력이 부족한 중소형 금융회사가 IT부문에 대한 자체 감사와 점검이 어려운 현실을 반영한 결과다.

특히, 지나치게 세세한 점검항목에 대해서는 필수항목 위주로 개편해 정보보안과 외부문 관련 보안점검의 실효성을 제고할 예정이다.

또한 전자금융사고 빈발 금융회사에 대해서는 책임보험 가입금액을 적정수준 이상으로 증액토록 권고하겠다는 방침이다. 이에 따라 금융회사는 스스로 전자금융거래 규모와 사고발생 추이, 보안투자규모 등을 종합 검토해 적정 보험가입 금액을 산정할 수 있게 될 전망이다.

신규 보안기술·인증수단 등의 도입 등과 관련한 가이드라인도 민간 자율로 제정하게 된다. 다만, 필요시 감독기관이 T/F 구성 등 협의기반을 조성해 도움을 줄 방침이다.

민간 자율의 보안성 검토 체계도 구축한다. 금보원은 금융회사가 직접 보안성 검토를 의뢰할 수 있는 프로세스를 6월말 구축하고, 핀테크 기술의 보안수준 진단 체계 역시 3분기 내 마련해 지원한다.

대신 금융보안 리스크에 대한 상시감시, 즉 사후 점검 및 검사는 더욱 강화된다. 금감원은 IT부문 계획서, 취약점 분석·평가보고서 등의 표준양식을 제정·점검하고, 금융회사의 신규 전자금융서비스 관련 자체 보안성검토 후 개선점을 각 금융사에 권고할 방침이다.