[아시아경제 이지은 기자]내년 5월부터 자산규모 3000억원 이상이거나 종업원이 300명을 넘는 금융회사는 최고정보보호책임자(CISO)를 의무적으로 임명해야 한다. 전체 은행ㆍ보험ㆍ증권ㆍ카드사와 일부 소형 저축은행을 제외한 대부분 저축은행에서 CISO 임명이 의무화되는 것이다.
또 금융회사가 IT경영실태 평가에서 낮은 점수를 받을 경우 해외점포 설치에 제한을 받는다. 카드회사, 신용평가사 등 크기는 작지만 개인정보를 많이 갖고 있는 금융회사에 대한 '암행감찰'도 실시된다.
금융감독원이 이처럼 IT금융 부문의 규제 수준을 한층 강화하고 나선 것은 해킹ㆍ정보유출 사고로 인해 금융소비자들이 입을 피해를 선제적으로 예방하기 위해서다.
은행의 전자자금 거래금액은 지난해 말 1경6000조 원을 기록했으며, 최근 들어 약 2경 원에 달한 것으로 알려졌다. 사고가 한 번 발생하면 피해 규모는 점차 커질 수밖에 없는 구조다. 그러나 IT금융거래의 확대에도 불구, CEO들은 단기적인 수익성만 바라보고 보안 시스템에 대한 장기투자를 소홀히 하고 있는 것으로 나타났다.
이에 따라 금감원은 내년부터 감독규정을 강화, 금융회사들의 보안 수준을 끌어올리고 CEO들의 관심을 제고하겠다는 방침이다.
금감원 관계자는 "금융회사 CISO의 자격 요건 등을 규정하는 시행령이 곧 마련될 것"이라고 말했다.
경영 부문에서도 IT가 중요한 비중을 차지하게 된다. 경영실태평가 내에서 5%에 불과하던 IT금융의 비중이 20%로 확대, IT경영실태평가에서 4등급 이하로 평가받을 경우 은행 경영실태평가(CAMELS)에서 2등급 이상을 부여받을 수 없다. 이 경우 매년 감독원 검사를 받아야 하며, 지점 확장 및 해외점포 설치에 있어 제한을 받게 된다.
또 자산규모 2조원 이상의 금융기관 뿐 아니라 카드회사 등 개인정보를 많이 갖고 있는 곳에 암행감찰 및 테마검사를 실시해 IT 경영실태평가에 반영할 계획이다. 이전까지만 해도 금융회사 IT보안 검사는 정기검사 위주였으나, 이는 평시의 보안 정도를 제대로 반영하지 못한다는 지적을 받아 왔다.
보안인력 확충 의무도 한층 강화한다. 보안 예산을 전체 IT예산 대비 7% 이상 확보하고, IT인력은 총 임직원 수의 5% 이상, IT보안 인력은 IT인력의 5%이상 확보하도록 권고했으며 이에 미달할 경우 홈페이지 내에 공시하도록 했다.
IT보안사고에 대해 CEO의 책임소재도 폭넓게 물을 예정이다. 올해부터는 CEO가 IT금융사고에 대해 책임을 진다는 의미로 매년 IT예산을 확인하고 서명해야 한다. 또 개인정보를 유출했을 경우 회사가 별도 피해보상을 실시하지 않았지만, 이제는 2차 피해에 대해서도 보상해야 한다.
최한묵 금감원 IT감독국장은 "IT금융사고는 단발성으로 생기는 것이 아니라 지속적으로 지적했던 부분에서 나는 것"이라며 "사소한 부분에서도 방심해선 안 되며, 이상징후에 대해서도 민감하게 파악하도록 해야 한다"고 말했다.
이지은 기자 leezn@
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>
