CEO 보안계획 승인, CISO 지정 의무화
여신사·금융협회 IT실태평가 대상 포함
[서울파이낸스 이종용기자] 금융당국이 현대캐피탈 고객정보 유출 및 농협 전상장애와 같은 금융권 전산사고 재발을 방지하기 위해 IT보안강화 대책을 내놓았다.
해당 금융사 최고경영자(CEO)의 IT보안 책임을 높이고, 정보보호최고책임자(CISO)도 의무적으로 지정하도록 했다. 또 IT보안 관련 인력과 예산비율을 일정 수준 이상 유지토록 감독 규정을 신설하기로 했다.
금융위원회는 23일 이같은 내용을 주요 골자로 한 '금융회사 IT 보안강화 종합대책'을 발표했다.
금융당국은 "사고발생에 따른 일시적 대응책이 아닌 근원적인 IT보안강화대책이 될 수 있도록 경영진의 인식 전환과 IT 보안조직의 실질적 역량 강화 등에 중점을 두고 추진했다"고 설명했다.
우선 해당 금융사 CEO는 연간 IT 보안계획을 직접 승인하고, 그 이행여부를 확인토록 한다. 앞으로 임원성과평과와도 연계하도록 유도할 계획이다.
또 정보보호최고책임자(CISO)를 의무적으로 지정하도록 했으며 CISO의 업무범위와 자격요건을 구체적으로 명시토록 했다.
IT보안업무를 담당하는 인력비율과 IT예산비율도 일정 수준 이상 유지토록 감독규정을 마련하고, 그 준수여부를 경영실태평가에 반영한다는 방침이다.
그동안 IT부문 실태평가대상에서 빠져있던 할부 리스업 등을 영위하는 여신전문금융회사, 금융관련협회(은행연합회, 생손보협회) 등도 평가 대상에 포함시켰다. 해당시설을 주요 정보통신기반시설로 지정되도록 추진할 계획이다.
또한 해킹 사고시에도 금융회사 등이 손해배상 책임을 질 수 있도록 전자금융거래법 개정을 추진하고, 필요시 보상한도 상향 조정도 검토할 계획이다.
아울러 해킹 등 침해사고 발생 가능성을 최소화하기 위해 IT보안 인프라를 개선하고 내부통제를 강화했다.
안전한 내부망 구간에만 데이터베이스(DB)를 설치토록 하고 고객비밀번호 암호화 등 고객정보 관리를 강화한다. 인터넷망과 업무망의 분리를 단계적으로 유도하고, 무선망 사용에 대한 보안조치 및 점검 등을 강화한다.
사용자식별이 가능하도록 1인1계정식으로 접근권한을 부여해 작업통제를 강화하고, 비밀번호 변경 등 보안수칙 준수 여부 자체점검을 강화한다.
IT아웃소싱 관리도 개선했다. IT보안전담조직에서 아웃소싱업체 보안관리를 철저히 수행토록 하고, 상주인원 신원조회 등 인력관리 강화방안을 수립하도록 할 예정이다.
아웃소싱업자를 전자금융보조업자에 포함시켜 금융회사의 책임을 강화하고 안전성 확보의무를 계역서에 반영시킨다.
금융위는 "금융사의 최고경영자의 IT보안에 대한 책임 강화와 관심도 제고를 통해 금융권 IT보안 수준의 전반적인 향상을 도모할 것으로 기대한다"고 밝혔다.
