자산 2조 이상 여전사·전금업자, 재해복구센터 설치 의무화

[서울파이낸스 김현경 기자] 총자산 2조원 이상 등 일정 규모를 갖춘 여신전문금융회사와 전자금융업자도 앞으로 재해복구센터를 의무적으로 설치해야 한다.

전자금융감독규정 금융보안규제는 기존 '규칙(Rule)'에서 '원칙(Principle)' 중심으로 개선, 금융권의 자율보안 토대를 마련하기로 했다.

금융위원회는 5일 제2차 정례회의에서 이같은 내용의 '전자금융감독규정' 일부개정규정안이 의결됐다고 밝혔다.

먼저, 전자금융감독규정상 재해복구센터 설치가 의무화돼 있는 은행, 금융투자업자, 보험회사 외 일정 규모를 갖춘 여전사와 전자금융업자 등도 의무적으로 재해복구센처를 설치하도록 했다.

지난 2022년 카카오 데이터센터 화재를 계기로 재해·전자적 침해 등으로부터 금융전산 복원력을 강화해야 한다는 필요성이 제기된 데 따른다.

총자산이 2조원 이상이면서 상시종업원이 300명 이상인 여전사와 자체 전산설비를 갖춘 저축은행, 총거래액이 2조원 이상인 전자금융업자 등이 대상이다.

아울러 금융소비자 피해 구제를 강화하기 위해 전자금융사고에 따른 책임이행보험의 최저 보상한도도 상향한다. 자산 2조원 이상인 금융투자업자의 경우 한도가 기존 5억원에서 10억원으로, 선불전자금융업자의 경우 기존 1억원에서 2억원으로 각각 상향된다.

금융위는 또 전자금융감독규정을 '원칙' 중심으로 기술해 자율보안체계를 구축하도록 하고, 규제 합리화를 위해 293개에 달하는 행위규칙을 166개로 정비했다.

건물·설비·전산실 관리 및 각종 내부통제·사업운영 등과 관련해 금융회사의 자율성을 대폭 확대했다. 정보보호최고책임자(CISO)가 정보보호위원회 주요 심의·의결사항 등을 이사회 보고하도록 해 보안 관련 내부의사결정 체계를 개선했다.

금융당국은 이번 전자금융감독규정 개정에 이어 향후 '자율보안-결과책임'을 내용으로 하는 디지털 금융보안법제를 마련, 금융보안 패러다임을 자율보안체계로 전환한다는 계획이다.

이날 의결된 전자금융감독규정은 고시 후 즉시 시행된다. 다만, 정보보호위원회 주요 심의·의결사항 이사회 보고와 관련한 규정은 금융회사 내규 정비 등 준비기간을 고려해 고시한 날로부터 6개월 후인 오는 8월 5일부터 적용된다.

책임이행보험 한도상향과 재해복구센터 설치와 관련한 규정은 금융회사 보험 가입기간 및 물적설비 구축기간 등을 고려해 1년 후인 내년 2월 5일부터 적용된다.

금융위 관계자는 "전자금융감독규정 개정으로 클라우드 서비스 도입, 생성형 AI 활용 등 빠르게 변화하는 금융 IT환경에서 금융회사 등이 전사적인 차원에서 보안위협을 스스로 진단, 복잡하고 다변화되는 위험에 유연하게 대응해 나갈 수 있을 것"이라고 말했다.