[뉴스토마토 고재인기자] 앞으로 해킹사고 발생시 금융회사의 책임회피가 어렵게 되며 최고경영자(CEO)에 대한 징계 수위도 높아질 것으로 보인다.
금융위원회는 15일 이같은 내용의 전자거래법 개정안을 21일부터 내달 30일까지 입법예고한다고 밝혔다.
전자거래법 개정안의 주요 내용은 ▲해킹사고로 인한 이용자 손해에 대한 금융회사의 일차적 책임 명확화 ▲금융회사 등의 정보기술부문 계획 수립, 금융위 제출 의무화 및 계획 관련 CEO책임 강화 ▲금융회사 전자금융기반시설의 취약점 분석·평가 의무화 ▲해킹 등 전자적 침해행위 금지 및 침해행위에 대한 대응 체계 강화 ▲금융회사 등이 전자금융거래 안정성 확보의무 불이행시 제재 근거 신설 등이다.
우선 정보기술부문 계획의 내용 구체화 및 CEO 책임 명확화로 해킹사고에 대한 금융회사의 책임을 강화했다.
금융회사 및 전자금융업자는 매년 정보기술부문 추진목표 및 전략, 투입 인력 및 예산 등의 추진실적 및 향후계획을 수립하고, 대표자의 확인·서명을 받아 금융위에 제출하게 한 것.
금융회사 등이 취약점 분석 평가를 실시할 분야에 외부위탁된 정보기술부문, 전자금융보조업자의 시스템을 추가하고, 비용 부담, 평가전문기관의 부족 등을 고려해 금융회사 등의 규모에 따라 분석 및 평가의 내용, 주기 등을 차등화한다.
금융위원회의 전산관련 해킹사고 대응 업무도 확대된다.
침해사고 관련 정보 수집.전파, 침해사고의 예보.경보, 침해사고에 대한 긴급조치 업무 이외에 침해사고 대응 전담반 운영 등 침해사고 대응.관리 체계 및 침해사고 정보공유체계 구축, 피해 확산 방지를 위한 보안 소프트웨어 보완요청 등의 업무도 수행하게 된다.
금융회사 등의 임직원의 정보보안에 대한 인식 제고를 위해 CISO 업무에 임직원에 대한 정보보안 교육 책무를 명시했다.
중소 금융회사의 경우 내부인력 충족의 어려움을 감안해 종업원수가 일정 규모(20명) 이하인 농협, 신협 등의 단위조합 및 새마을금고는 대표자 또는 대표자가 지정하는 자를 CISO로 지정·운영할 수 있도록 허용하도록 CISO 자격요건을 완화했다.
전자금융업무를 수행하지 않는 금융회사 중 종업원 수 200명 미만 또는 영업수익 200억원 이하인 금융회사는 주요의무의 적용을 배제했다.
한편, 금융회사 등이 보안강화를 위해 요구하는 본인확인절차를 이용자가 정당한 이유 없이 거부하거나, 이용자가 본인인증수단 또는 매체를 대여, 위임, 제공 또는 누설, 노출, 방치하는 경우도 고의?중과실 범위에 추가해 이용자의 책임범위도 명확히 했다.
전자금융거래법 개정안은 입법예고 이후 규개위·법제처 심사 등을 거쳐 11월 23일부터 시행된다.