[뉴스토마토 원수경기자] 앞으로 금융회사에 정보유출 등 IT 사고가 발생할 경우 금융감독원이 즉각 검사에 돌입한다. 사고 원인을 신속하게 규명하고 다른 고객에게 피해가 확산되는 것을 막기 위해서다.
또 반복적인 위반사항이 발생하거나 금융회사의 관리 및 투자 소홀로 IT 사고가 발생한 경우에는 기관 및 경영진에 중징계 조치가 내려진다.
(사진=뉴스토마토DB)
금융감독원은 2일 '2015년 금융·IT 및 정보보호 감독·검사 업무설명회'를 열고 이같은 내용을 설명했다.
금융·IT 감독에 있어서는 전자금융의 안전성을 확보하면서 정부의 규제는 완화해 금융사가 스스로 자율보안체계를 구축하도록 유도할 방침이다.
전자금융서비스 보안수준을 높이기 위해 금융권의 이상금융거래탐지시스템(FDS) 구축 및 고도화를 지도하고 금융회사 자체 취약점 점검의 내실화를 유도키로 했다.
은행이나 증권사의 금융거래시 활용되는 액티브X를 제거하도록 유도하고 이행상황도 점검한다. 신규 전자금융거래에 대한 보안성 심의는 전명 폐지하는 대신 사후적 점검을 강화할 예정이다.
IT 보안 관련 유관기관과 공조를 강화해 비상사태시 공동대응 체계를 강화하고 최고정보책임자(CIO), 최고정보보호책임자(CISO) 간담회 등을 통해 업계와의 소통도 활성화할 계획이다.
금융회사의 자율성을 보장하기 위해 검사는 문제소지가 있는 부문을 중심으로 선별적으로 실시키로 했다.
제재위주의 검사 보다는 개선 요구 등 컨설팅 방식의 사전예방 점검을 강화할 계획이다. 금융회사가 자체적으로 점검을 하면 금감원은 그 적정성을 점검하는 식이다.
만약 개선요구 등에 대한 금융사의 이행이 미흡하고 법령상 중요한 원칙을 이행하지 않아 IT보안사고가 발생할 위험이 높은 것으로 드러난다면 기관 및 관련 임직원에 엄중한 책임을 묻기로 했다.
IT 인력 및 예산비율 준수여부와 전자금융사고 책임이행보험 가입 현황 등에 대해서는 상시감시가 이뤄진다. 여기서 발견한 취약점에 대한 불시 현장점검도 실시한다.
핀테크 활성화에도 팔을 걷었다. 분기에 1차례씩 핀테크 기술진단포럼을 열어 금융회사와 핀테크 기업 사이의 네트워크 형성 기회를 제공할 예정이다. 이번달에는 향후 핀테크의 트렌드를 분석·논의하는 원탁회의도 개최한다. 핀테크 스타트업 기업을 대상으로 하는 워크샵도 반기에 1회 개최한다.
개인신용정보를 보호하기 위해 금융사 콜센터에서 개인정보의 수집·이용을 최소화하기로 했다. 내년부터 주민번호 암호화가 의무 시행됨에 따라 금융회사별 계획 수립·이행 여부를 확인하고 2019년까지 지문정보를 모두 파기하도록 지도할 예정이다.
금융회사가 제공하는 스마트폰 앱에서 개인정보를 과도하게 수집하고 있다는 문제가 제기됨에 따라 스마트폰 앱의 접근권한을 최소한으로 운영하고 불필요한 접근권한은 처음부터 부여되지 않도록 할 계획이다.