[뉴스토마토 송지욱기자] 금융당국이 금융회사의 정보통신(IT) 보안 강화 종합 대책을 내놓았다. 현대캐피탈의 고객정보 유출사건과 농협 전산장애 사고 등 잇따른 사고로 금융소비자의 불안감이 높아진 가운데 그동안 소홀했던 IT분야에 법적, 제도적 보완을 하겠다는 취지다.
금융위원회는 23일 IT분야의 경영진 인식 전환, 인력과 예산의 보안조직 강화 등에 초점을 둔 'IT보안강화 종합대책'을 발표했다.
앞으로 최고경영자(CEO)는 연간 IT보안계획을 직접 승인하고, 이행 여부와 함께 임원성과평가도 연계하게 된다. 그동안 IT분야의 중요성에 비해 CEO 등 임원진 등이 간과했다는 지적에 따른 것이다.
또 정보보호최고책임자(CISO)를 의무적으로 지정하게 했다. 동시에 CISO협의회를 운영해 금융당국과 금융회사간 협력체계도 강화할 계획이다.
보안사고에 대한 제재수준도 강화된다. 금융위는 사고유형이나 규모에 따라 위반자, 감독자, 금융회사 등은 제재 기준을 별도로 마련해 엄중하게 제재될 방침이다. 이를 바탕으로 사고가 나면 '업무정지'까지 가능하도록 법적 근거를 마련한다. 분명한 책임을 지겠다는 방침이다.
보안과 관련한 인력과 예산이 전체의 1% 중반에 불과하는 현실도 고치기로 했다. 금융당국은 IT보안인력과 예산을 일정수준 이상 지키도록 감독규정에 명시하고 세부 기준을 마련할 계획이다.
현재 금융감독원은 IT보안예산을 5%이상으로 유지하도록 권고하고 있지만 실질적으로는 지켜지지 못하고 있다. 금융위는 구체적인 비율은 회사별로 자산이나 직원수, 거래규모, 고객수 등을 감안해 단계적으로 높여갈 것이라고 밝혔다.
이와 함께 IT부문에서 제외돼왔던 할부 리스업 여신전문금융회사, 은행연합회 생명손해보험협회 등도 IT부문의 실태평가 대상에 포함시켜 단속 범위를 확대할 방침이다.
처벌과 보고체계도 강화한다. 금융위는 해커 등 침해자에 대해서는 전자금융거래법에 침해행위 금지의무와 처벌조항을 만들어 침해행위에 대한 법적 근거를 확보하고, IT관련 사고가 발생하면 체계적으로 보고될 수 있도록 사고 보고의 범위와 절차 등도 명확하게 규정한다.
동시에 전자금융거래법을 개정하고 보상한도 상향도 조정해 해킹 사고가 발생했을 때 금융기관의 피해보상을 확대할 방침이다.
이밖에도 위험구간(DMZ)와 내부망(DB)를 분리하지 않거나 외부공개용 웹서버에 고객비밀번호를 암호화하지 않는 등 허술한 시스템 관리에도 내부통제를 강화한다. 또 금융회사들이 정보시스템의 취약점을 제대로 개선하고 있는지 불시에 점검도 실시할 예정이다.
정지원 금융위 기획조정관은 이번 IT보안 대책으로 금융권의 저반적인 보안수준을 높이고, 해킹 등 사고를 최소화할 것으로 기대한다고 밝혔다.
그러나 이번 종합대책은 최근 벌어졌던 현대캐피탈 개인정보 유출 등에는 소급 적용되지 않을 전망이다. 따라서 정태영 현대카드 사장의 징계 이번 대책을 적용받기 보다는 '경징계' 수준으로 가닥을 잡을 것으로 보인다.