관련 통계자료 다운로드 항목별 중점 검사사항 금융당국이 은행·증권·보험 등 전 금융기업의 고객정보 관리 IT 수준 검사를 강화하고 규정 위반 시 처벌 수위도 대폭 높인다.
6일 금융감독원은 하반기 이후 금융기관의 고객정보 관리 IT인프라 현황을 집중적으로 불시·종합 점검한다고 밝혔다. 법 위반 시 ‘시정권고’가 아닌 ‘제재’로 조치한다.
우선 7일부터 8월 29일까지 3개 은행, 2개 증권사 등 금융투자사, 4개 중소서민금융사, 1개 보험사를 대상으로 ‘고객정보 보호실태 및 보안취약점 점검을 위한 IT부문 테마검사’를 실시한다. 감사원 감사 결과에 따라 고객정보보호 실태 서면 점검, 최근 검사 상황과 향후 계획을 고려해 선정한 금융사들이다.
검사에서 법 위반이 발생하면 제재 양형에 따라 엄정 조치하고 보안 취약점과 미흡사항에 대한 개선대책 마련을 종용한다.
김유미 IT·금융정보보호단 선임국장은 “개선 노력이 없거나 사고가 났지만 보고를 누락한 경우는 강력한 제재를 할 것”라며 “여론이나 ‘솜방망이’ 처벌 같은 약한 메시지로는 시정되지 않기 때문에 이전보다 강하게 경영진 조치에 직접적 영향을 주려는 것”이라고 말했다.
금감원은 정보보호 소홀 정도나 고의·중과실이 심하면 금융사는 업무정지, 임직원은 직무정지(정지) 이상의 징계에 처하도록 제재 양형을 강화한 ‘금융기관 검사 및 제재에 관한 규정 시행 세칙’을 지난달 말부터 시행했다. 금융사 직원이 1건 이상의 개인정보를 원래 목적 외로 이용한 경우 주의 조치를 받고 5건 이상은 주의적 경고(견책), 50건 이상은 문책경고(감봉), 500건을 넘어서는 경우는 업무 정직(정직) 이상의 처분을 받는다. 1건 이상을 유출하면 주의적 경고(견책), 5건 이상은 문책경고(감보), 50건 이상은 업무정지(정직) 이상이다.
금감원은 불시 검사를 확대하는 한편 정기 종합검사에서도 고객정보·내부통제 IT수준을 세부 점검한다. 금융투자업계의 경우 매년 5∼6개 기업이 종합검사를 받았지만 올해 종합검사 대상은 2∼3개로 줄이는 대신 불시검사 횟수를 늘린다.
검사 주요 항목은 △고객정보보호 실태 △재해복구계획 등 비상대책 △보안취약점 관리 적정성 등이다. 연말까지 설치가 의무화된 망 분리를 포함해 USB 등 외장기기 관리, PC·모바일 등 단말기, 암호화, 해킹·악성코드 대응체계, 전자금융거래와 디지털저작권관리(DRM)·내부정보유출방지(DLP) 등 관리용 소프트웨어를 비롯한 고객 정보 보안과 관리를 위한 시스템 전반을 조사한다.
김 국장은 “상반기 전수조사 결과 연말까지 망분리를 의무화해야 하는 전산실의 개선비율이 현저히 낮았다”며 “1차적으로 공문을 보내 조속한 설치를 요구한 상태”라고 설명했다.
금감원은 지난 4월 IT·금융정보보호단을 발족해 IT감시 체계를 강화했다. 7일부터 이뤄지는 IT인프라 검사는 보호단 신설 이후 최초의 ‘테마검사’다.
[표1] 항목별 중점 검사사항
(자료:금융감독원)
[표2]금융감독원이 지난달 발표한 ‘개인신용 정보 등 보호대책 수립˙운용 등 소홀시’ 제재 양형
유효정기자 hjyou@etnews.com
