CEO 처벌 등 사고책임 강화…CISO 임기보장 파워 강화
금융당국이 최근 급증하는 금융전산 사고를 막기 위해 금융보안에 대한 패러다임을 전환하는 데 노력을 기울이고 있다.
최근 사이버공격이 여러 금융회사에서 동시 다발적·반복적으로 발생하고 날로 대형화·지능화되고 있다는 판단에서다. 금융보안 대처 방식을 타율에서 자율로, 비용의 관점에서 바라보던 것을 투자로 시각을 달리하기로 한 것이다.
금융위원회는 지난달 발표한 금융전산 보안 강화 대책에도 이 같은 특징이 나타나 있다.
금융위는 은행, 보험, 카드사 등 금융사의 전산센터 망분리를 내년 말까지 마치고 본점과 영업점은 단계적으로 추진하도록 하는 대책을 발표했다. 전산보안 위험을 선제적으로 제거하겠다는 의도다.
CEO가 정보기술 부문에 대해 확인·서명을 하도록 해 전산사고 발생에 대한 CEO 책임을 명확히 하기로 했다. 그동안 실무진만 징계하던 것을 CEO가 사실상 무한책임을 지도록 해 전사적으로 전산사고 예방을 위한 노력을 기울이도록 한 것이다.
기존 재해복구센터 외에 사이버공격, 지진, 테러 등에 대비해 중요 금융정보를 저장하는 금융권 공동 백업전용센터를 지하 벙커 형태로 구축하기로 했다. 은행권부터 먼저 추진한다. 미국 등이 폐광을 활용해 백업센터를 구축한 점이 고려됐다.
자산 10조원 이상, 임직원 1500명 이상인 36개 금융사의 경우 정보보호최고책임자(CISO) 전임 제도가 도입된다. 이 책임자는 인사상 불이익을 받지 않고 임기도 보장받는다.
책임을 다한 정보보안담당 직원에게는 금융당국 제재와 금융사 자체 제재 시 면책을 받을 수 있도록 근거도 마련했다.
금융보안연구원에 금융보안교육센터를 운영하고 정보보호 석사과정을 개설한 대학원과 금융사 간 협력 체계가 구축된다.
카드사에서 운영 중인 이상거래탐지시스템(FDS)을 은행, 증권 등으로 확대하고 자체 탐지한 정보를 전 금융권이 공유하는 방안도 추진한다.
금융사 사칭 해외 불법사이트로 접속이 차단되며 중대 전산사고를 자주 일으키는 금융사는 집중적으로 관리된다. 문제를 일으킨 금융사를 검사할 때는 금융지주사와 IT 자회사까지 연계해 조사한다.
정보 유출 등 전산 사고가 일어나면 금융사 홈페이지에 세부 내용을 공시하는 방안도 검토된다.
금융보안 관리체계 인증제도도 도입된다. 금융전산시스템 접근 시 지문인식 등 추가 인증이 의무화되며 정보보안 규정 위반 시 제재 근거가 금융사 내규에 마련된다.
이밖에 금융위 주관으로 금융권의 전산 보안 관련기관이 참여하는 ‘금융전산 보안 협의’도 설치된다.
금융위 관계자는 “외국 금융사는 전산보안을 위한 내부통제를 철저히 하고 있는데 반해 우리나라는 이에 미치지 못한다”며 “금융전산 사고가 재발하지 않도록 대책을 대폭 강화해 시행할 것”이라고 말했다.