금감원 "금융 보안 사전 예방 중심으로 전환"…금융·보안업계와 간담회 개최

[경제일보] 금융감독원이 금융업계의 정보기술(IT)·정보보안 사고를 줄이기 위해 디지털 리스크 감독체계를 사후제재 중심에서 사전예방 중심으로 전환한다.

7일 업계에 따르면 금감원은 이날 국회, 주요 금융협회, 금융보안원, 국내외 보안업계 관계자와 '금융보안 패러다임 전환 간담회'를 개최했다. 이번 간담회는 사전예방적 디지털 리스크 감독 방안을 논의하기 위해 마련됐다.

먼저 이찬진 금감원장은 최근 금융권 침해사고와 전산장애가 기본적 의무 미준수와 내부통제 미흡에서 비롯된 경우가 많아 감독방식 전환이 필요하다고 지적했다. 

이를 위해 금감원은 사고 가능성이 높은 회사를 선별해 집중 관리하는 방향으로 감독 수단을 재설계하고 각 금융사의 선제적 위험 관리 체계를 구축하기로 했다. 또한 기본적 의무 미이행, 내부통제 미흡 등으로 침해사고 발생 시에는 무관용 원칙을 적용해 조치할 방침이다.

세부적으로는 경영진 간담회와 실무자 워크숍·세미나를 열어 금융회사 임직원의 보안 의식과 대응 역량 강화를 추진한다. 

이어 모든 IT 자산을 중요도별로 식별·관리하도록 하고 취약점 분석·평가 제도가 실질적인 사고 예방 장치로 작동하도록 점검 방식을 재편한다. 주요 IT 리스크나 보안 취약점을 스스로 파악해 적시에 점검·개선하는 자율 시정 체계도 활성화할 방침이다.

감독 방식도 바뀐다. 금감원은 금융회사가 보안 취약점 분석·평가와 보완 절차를 충실히 이행하는지 관리·감독을 강화하고 분석 결과에 따라 정기·불시 현장점검을 진행하기로 했다. 

또한 사고 개연성이 높은 고위험사는 경영진 면담 등을 통해 취약점 개선을 요구하고 미흡하거나 중대 사고가 발생한 경우 현장 점검과 검사, 제재를 진행할 계획이다.

상시 감시 체계도 고도화한다. 금감원은 지난 2월부터 운영 중인 금융보안 통합관제 시스템 '퍼스트(FIRST)'를 통해 중요 보안 위협 요인을 금융회사에 신속히 전파하고 금융사의 자율 점검·시정 결과를 집계·평가한다.

금감원은 금융위원회 등 관계기관과 협업해 전자금융거래법 개정도 지원하기로 했다. 개정안에는 최고경영자와 최고정보보호책임자의 보안 책임 강화, 징벌적 과징금, 정보보호 공시 도입 등이 담겼다.

이날 간담회 참석자들은 보안 위협이 지능화·정교화되는 상황에서 금융보안을 중시하는 문화 정착과 경영진 책임 강화, 인적·물적 투자 확대가 필요하다는 데 공감했다.

각 금융협회는 금융보안 패러다임 전환에 필요성에 대해 공감하며 각 금융업권에서 재편단 감독 방안이 이행될 수 있도록 협조하기로 했다. 금융보안원은 침해사고 훈련 내실화, 금융보안 수준 진단 체계 도입 등 금융사의 공격 대응 역량을 제고할 계획이다.

금감원 관계자는 "이번 간담회를 시작으로 금융보안 패러다임 전환을 위한 사전예방적감독이 실효성있게 작동하도록 제반과제들을 속도감 있게 추진할 예정"이라고 말했다.