금융위원회는 23일 금융회사에 해킹사고가 발생할 경우 고객 피해보상이 의무화하는 금융회사 정보기술(IT) 보안강화 종합대책을 발표했다.

금융위는 이를 통해 해킹사고시 금융회사가 손해배상 책임을 질 수 있도록 전자금융거래법 개정을 추진키로 했다. 현행 법에는 전자적 전송·처리과정에서 발생한 사고에 대해선 금융회사의 손해배상 책임이 명문화돼 있다. 그러나 해킹사고에 대해선 책임 여부가 분명하지 않다.

법이 개정되면 해킹사고 발생시 감독당국에 대한 금융회사의 보고체계가 강화되고 해킹행위에 대한 처벌조항도 새롭게 만들어진다.

IT 보안사고가 발생한 금융회사에 대한 제재도 강화된다. 위반 행위자와 경영진, 금융회사 등 대상별 제재 기준이 별도로 마련될 예정이다. 대형 사고가 발생한 금융회사는 최대 업무정지까지 가능하다. 할부, 리스업 등 여신전문금융회사와 금융관련협회도 금융감독원의 IT부문 실태평가에 추가된다.

이와 함께 IT 보안에 대한 금융회사의 관심 제고를 위해 최고경영자(CEO)에게 연간 IT 보안계획을 직접 승인하도록 책임을 부여하고, 임원성과평과와도 연계토록 유도한다. 정보보호최고책임자(CISO) 지정도 의무화된다. 5% 이상 유지토록 권고되지만 준수의무가 없는 IT 보안예산비율을 감독규정에 명시하고, 준수여부를 경영실태평가에 반영하기로 했다.

IT 보안을 위한 내부통제 제도도 개선된다. 금융회사의 인터넷망과 업무망의 분리를 단계적으로 유도하고, 시스템운영실에선 전용단말기 사용만을 허용하는 등 시스템 접속통제와 계정관리도 강화할 계획이다.

이와 함께 금융회사가 IT업무에 대한 외주계약시 금융회사가 자체 IT보안전담조직을 통해 외주업체 보안관리를 철저히 수행토록하고, 외부위탁시에는 IT 개발과 운영에 대해 내·외부 감리를 실시토록 유도할 방침이다.

이밖에도 사이버테러 관련 정보를 공유하기 위해 운영되는 금융 ISAC 참가대상에 중소금융회사를 추가했고 해킹 정보에 대한 실시간 공유를 위해 ‘금융회사 IT보안 지식공유센터’도 운영할 계획이다.

윤정현 기자/hit@heraldcorp.com