이르면 올 하반기부터 최고 정보보호책임자(CISO)와 최고 정보관리책임자(CIO) 겸직이 전면 금지된다. 지정된 CISO의 독립성을 보장하기 위해 임기 보장제를 도입하는 방안이 추진된다. 금융사가 전체 보안인력의 50%까지 허용하던 외주 보안인력을 대폭 감축하는 대책도 마련된다.
금융당국은 이 같은 내용을 골자로 한 `6·30 금융보안 종합대책`을 이달 30일 금융전산보안TF 2차 회의에서 확정할 방침이다. 이 내용을 반영한 종합대책을 다음 달 30일 최종 발표한다.
TF에는 금융위원회와 금감원, 금결원, 코스콤, 금융보안연구원 등 정부기관과 학계 민간 금융사들이 참여했다. 우선 금융당국은 사상 초유의 3·20 전산대란 재발 방지를 위해 기존 IT금융 보안 수준을 대폭 강화하고 법령도 손질하기로 했다.
금융IT 보안인력과 조직 역량을 강화하기 위해 CISO 지정요건을 전면 재검토한다. 일정 규모 이상의 금융사는 CISO와 CIO 겸직 자체를 불허하는 쪽으로 법을 개정하기로 했다. 또 CISO를 중심으로 독립 보안전담 조직을 의무화하고, CISO에게는 경영진과의 종속적인 관계를 차단하기 위해 `임기보장제`를 도입하기로 합의했다.
국내 대형 금융사 68곳은 모두 CISO를 지정했지만 CIO를 겸임을 하는 곳이 70% 이상이었고 직원이 CISO를 겸임하는 곳도 상당수였다.
보안인력 방안도 손질한다. 금융당국은 2011년 말 `5.5.7` 전자금융 감독규정을 마련한 바 있다. 전체 직원의 5%를 IT인력으로 채용하고, IT인력의 5%는 보안인력으로, 또 IT예산의 7%를 정보보호 예산으로 편성하라는 게 골자다. 금융당국은 5.5.7 감독규정은 유지하되 내부 보안인력을 강화하는 데 초점을 맞추고 외주 보안인력을 대폭 감축하는 방안을 추진하기로 했다.
현재 금융보안 인력은 전체 인원의 50%까지 외주 인력을 활용할 수 있다. 하지만 기동성, 전문성이 떨어진다는 판단 아래 외주인력 비율을 축소하는 쪽으로 방향을 잡았다. 그 대신 내부 보안 전담인력을 대폭 강화하기로 했다. 별도 산학 연계로 우수 보안인력을 확보한 금융사에는 별도 인센티브를 주는 방안도 포함됐다.
금융위원회 관계자는 “한층 강화한 보안대책을 마련하되 시장에서 이중규제가 될 수 있는 사안은 철저히 배제했다”며 “오는 6월 30일 종합대책 발표 후 곧 법 개정 등을 거쳐 이르면 하반기부터 실행할 계획”이라고 말했다.
6·30 금융보안 종합대책 주요 내용
자료:금융전산보안TF
길재식기자 osolgil@etnews.com
