정부가 금융권 대표 정보보호 대책인 5·5·7 규정을 전면 개편한다. 또 금융사가 모두 참여하는 클라우드 기반의 디도스 방어(공조) 시스템을 구축한다. 정보보호 안건은 이사회 상정을 의무화하는 방안도 추진한다.
10일 금융위원회와 금융보안원 고위 관계자에 따르면 이 같은 내용을 담은 핀테크·디지털금융 종합보안대책이 조만간 확정, 발표된다.
우선 지난 2011년 금융 당국이 개정한 전자금융감독 5·5·7 규정을 전면 개편한다.
이 규정은 금융사의 전체 인력 가운데 5%를 정보기술(IT) 인력, IT 인력 가운데 5%를 정보보호 전담 인력, 전체 예산의 7%를 정보보호에 각각 사용하도록 권고한 사항이다.
김영기 금융보안원장은 “5·5·7 규정이 너무 획일적이라는 시장 비판이 있었다”면서 “기업 규모에 따라 규정을 차등 적용과 정보보호 상시평가제 도입을 금융위와 논의하고 있다”고 밝혔다.
규모가 영세하거나 작은 금융사는 5·5·7 투자 규정을 엄격히 적용해 보안 체계 강화를 꾀하고 보안 투자를 많이 한 대형 금융사에게는 자체 정보보호평가체계를 도입, 보다 융통성 있게 규정을 운영할 방침이다.
또 정보보호 강화 관련 이슈와 안건은 의무적으로 이사회 안건으로 상정하는 방안도 검토한다. 금융사 존폐를 결정할 수 있는 보안 책임을 최고경영자(CEO)가 지게 하도록 하기 위해서다.
금융위 관계자는 “금융사가 정보보호평가체계에 대해 스스로 진단·평가할 수 있는 시스템을 만들고, 자율 규제 기구인 금융보안원·신용정보원이 이를 서면 점검하는 방안을 검토하고 있다”면서 “이를 통해 취약 진단이 나오는 금융사는 금융감독원이 현장 점검을 하는 방식을 논의하고 있다”고 분위기를 전했다.
이 같은 시스템이 마련되면 자율평가 리스트를 명문화하고, 이를 레그테크시스템에 장착하는 방안도 추진키로 했다.
갈수록 고도화되고 있는 디도스 방어 시스템에 범금융 차원의 클라우드를 접목하는 '클라우드 기반 디도스 공조서비스' 구축도 추진한다. 클라우드를 활용하려는 움직임이 많고, 디도스 공격 용량이 급증하는 최근 상황을 반영한 조치다. 이와 함께 클라우드 사업자에 대한 보안 점검도 강화하기로 했다.
금융보안원이 추진하고 있는 빅데이터 거래소 구축을 완료하고, 오픈뱅킹 기반의 보안 강화도 병행한다. 금융 소외 계층을 위한 보호 강화도 종합 보안 대책에 담길 예정이다.
디지털 신기술이 금융에 접목되면서 디지털 소외 계층도 증가하고 있는 만큼 고령화 시대에 맞는 디지털 보안 정책을 수립한다는 계획이다.
최종구 금융위원장도 금융규제 샌드박스 등 핀테크 혁신을 그동안 디지털 금융 혁신의 성과로 꼽으면서 이 같은 성과를 이어 가기 위해 사이버 위협 확대, 신종 금융 사기, 계층 간 불균형 등 리스크(위험) 요인을 잘 살펴야 한다고 강조했다.
최 위원장은 이날 열린 정보보호의날 기념 금융사 CEO 초청 세미나에 참석해 “정부는 철저한 금융보안과 함께 자금세탁방지(AML) 대응 체계를 강화하고, 금융과 정보통신기술(ICT) 간 빅블러(Big Blur) 현상에 대응하는 규제·감독혁신 등을 통해 금융 안정의 가치를 구체화할 것”이라고 강조했다. 이를 위해 “빠른 시일 안에 전자금융거래법을 전면 개편해 지급 결제, 플랫폼, 보안 분야의 규제를 혁신하겠다”고 덧붙였다.
CEO 초청 세미나에서는 정보보호의날 제정 이후 처음으로 금융권 정보보호 향상에 이바지한 금융사 최고정보보호책임자(CISO) 3명에게 금융위원장 표창을 수여했다. 수상자는 고정현 우리은행 상무, 곽병주 신한금융투자 상무, 전성학 현대카드 상무 등이다.
길재식 금융산업 전문기자 osolgil@etnews.com
