귀찮다는 이유로 보안강화를 거부하거나 본인확인절차를 강화한 전자금융사기 예방서비스를 이용하지 않는 사람이 해킹사고를 당하면 본인이 일차 책임을 져야 한다. 또 금융회사나 전자금융업자는 매년 정보기술 부분 추진목표와 전략, 투입 인력·예산 등의 계획을 대표자 확인을 받아 금융위에 제출해야 한다.
금융위원회는 이런 내용의 `전자금융거래법 시행령` 개정안을 입법예고한다고 15일 밝혔다.
이 개정안은 금융위가 지난 7월 발표한 `금융전산 보안강화 종합대책`에 대한 후속조치다.
시행령 개정안에 따르면 우선 금융사는 매년 정보기술(IT) 부문 추진목표 및 전략, 투입 인력, 예산 등에 대한 계획을 수립한 뒤 대표자 서명을 받아 금융위에 제출해야 한다. 기존에는 CEO에게 책임을 물을 법적 근거가 없었는데, 이를 바로 잡아 책임을 명문화했다.
또 금융사 정보보안 인식 제고를 위해 정보보호최고책임자(CISO) 업무에 IT보안 교육을 추가했다. 중소 금융사에 대해서는 CISO 자격요건을 완화했다. 일부 중소 금융사는 내부인력 가운데 CISO 자격요건을 충족하는 대상이 없어 고충을 겪는 것을 고려했다. 신협의 경우 단위조합의 CISO 지정률은 22.8%에 불과한 것으로 나타났다.
금융사의 IT부문 취약점 분석·평가 대상을 확대하고, 자산규모와 종업원 수 등 금융사 규모에 따라 평가 내용이나 주기를 차등화했다. 또 IT사고와 관련한 금융위의 대응 업무도 확대했다. 대응 전담반을 만들어 사고 관리 체계 구축, 소프트웨어 보완 요청 등 법에서 정한 업무 이외 업무를 전담하게 했다.
현실에 맞는 규제 완화 방안도 담겼다. 회사 규모가 작을수록 전자금융거래법 의무 이행에 따른 부담이 큰 점을 감안해 전자금융업무를 수행하지 않는 금융사 가운데 중소 규모 회사에 대해서는 CISO 지정 의무 등 주요 의무를 적용하지 않기로 했다.
이번 개정안은 오는 21일부터 다음 달까지 입법 예고된 뒤 규제개혁위원회와 법제처 심사를 거쳐 11월 23일 `전자금융거래법`과 함께 시행된다.
길재식기자 osolgil@etnews.com
