"금융 IT보안 조직 CEO 직속 의무화해야"

금감원 금융보안 워크숍,,외주업체 자격요건 강화 등 요구

[아시아경제 조태진 기자]"금융보안 관련 부서를 최고경영자(CEO) 직속으로 독립시키는 것을 의무화 해달라."(은행권 보안담당자)

"한층 강화된 보안 외주업체 자격요건이 감독규정에 명시되어야 한다."(시중은행 IT서비스팀장)

"여권번호, 의료보험증 번호 등 금융거래 관련 신변정보 확인 수단을 다양화하자."(전업카드사 CIO)

국내 금융회사 정보기술(IT) 보안전문가들이 올해 소비자 피해방지를 위해 금융당국에 제도 개선을 요구하고 나섰다. 지난해 6월 마련한 '금융IT보안 종합대책'으로는 날로 고도전문화되는 위협요인에 효율적으로 대처하는데 한계를 지닐 수 밖에 없다는 것이다.

특히, 보안 관련부서를 CEO 직속으로 특화시키는 조항을 감독규정에 도입하는 등 금융사고에 발빠르게 대응할 수 있는 시스템을 서둘러 마련해야 한다고 주문했다.

2일 금융감독원에 따르면 오는 1·4분기 중에 금융회사 권역별 IT보안 실무진들의 현장 의견을 반영한 감독규정을 발표할 예정이다. 금감원은 이를 위해 지난달 27일 종합대책 시행 6개월을 맞아 현장 의견을 듣는 자리를 마련했다.

이날 행사에는 은행·보험·증권·2금융 등 권역별 IT실무진과 금감원 검사국 조사역 등 100여명이 참석했다. 단순한 워크숍 형태를 벗어나 권역별 분임토의를 통해 종합대책에 보완해야할 점을 허심탄회하게 논의했다.

도보은 금감원 감독총괄팀장은 "IT금융 사고에 대비하기 위해 보안예산 및 인력 확충, 보안최고전문가(CISO) 도입 등 강화된 규정 준수 현황을 살피기 위한 자리"라며 "보이스피싱 등 신조 금융사기범죄에 대한 효율적인 대처법을 논의하고 보안규정 보완에도 초점을 맞췄다"고 말했다.

전문가들은 금융범죄가 갈수록 고도전문화되는 상황에서 IT실무부서의 책임 강화를 위한 프로세스 마련을 주문했다.

이날 분임토의 결과를 발표한 금융결제원 관계자는 "은행권에서 보안 관련부서를 IT부문 산하에 두는 회사들이 여전히 많은 데 CEO 직속으로 독립시키는 것을 의무화하자는 의견이 있었다"고 말했다.

금융보안 외주업체 진입 장벽을 크게 높여야한다는 의견도 나왔다. 현행 IT감독규정에서 외주업체 선정 때 CISO를 참여시키는 조항을 신설했지만, 업체 자격에 대해 구체적인 조항이 없어서 효율적이지 못하는 것이다. 이와 함께 금융보안 인력 전문성을 높이기 위한 양성과정 도입을 명문화해 제도적 지원 근거를 마련하자는 주문도 이어졌다.

금융권 빅이슈인 보이스피싱 피해 최소화를 위한 범금융권 대처방안도 쏟아졌다. 금융회사 직원들이 통화 직후 해당 고객에게 다시 전화해 계좌정보 타인 유출 여부를 즉시 확인할 수 있는 콜백시스템을 도입하자는 주장이 눈길을 끌었다. 주민등록번호 외에 여권번호, 의료보험증번호 등 고객 신변을 확인할 수 있는 수단도 다변화하자는 의견도 공감대를 이끌었다.

보험업계에서는 올해 도입되는 전자계약서의 안정성을 높이기 위한 제도적 근거 마련을 주문했다.

회의에 참석한 생명보험협회 관계자는 "전자문서를 따로 관리하는 서버를 마련하고, 계약서 규격ㆍ인증절차 등을 표준화하는 방안이 마련되어야 한다는 지적이 많았다"고 말했다.

금감원은 이번 분임토의에서 나온 의견을 감독규정 보완에 적극 반영할 계획이다.

금감원 관계자는 "감독규정이나 시행세칙에 강화할 내용을 추려 재개정 작업을 할 것 "이라며 "규제개혁위원회 심사 등을 거쳐 1ㆍ4분기 중에 보완대책을 발표할 방침"이라고 말했다.

조태진 기자 tjjo@
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>