금융당국이 금융사들의 보안체계 관리·감독 방식을 자율·책임원칙으로 전환한다. 각 사에 맞게 자율적 책임을 부여하되, 문제가 생길 경우 과징금이나 손해배상책임 등 엄격한 사후책임 규제를 도입해 권한과 책임의 균형을 맞추기로 했다.

금융위원회와 금융감독원은 새로운 보안 리스크에 금융회사 등이 탄력적으로 대응할 수 있도록 ‘금융보안규제 선진화 방안’을 마련한다고 27일 밝혔다. 당국은 내년 상반기 중 금융보안 규율체계 정비 태스크포스(TF)를 꾸려 보안규제 선진화 로드맵을 검토키로 했다.

당국이 추진하는 규제 선진화방안은 크게 ▷보안 거버넌스 개선 ▷보안규제 정비 ▷관리·감독 선진화 등 세 축으로 나뉜다. 현재 보안체계가 금융보안을 정보보호최고책임자(CISO) 중심의 실무적 문제로만 인식되고 규제 자체도 사전통제적 성격이 강해 제도개선이 필요하다는 의견에 따른 조치다. 현재는 금융회사 등의 사전 의무사항을 나열하고, 이를 준수했다면 보안 책임을 면제하고 사고 발생시에도 경미한 과태료 및 임직원 신분제재만을 부과하는 정도다.

앞으로는 금융회사 등이 전사적 차원에서 보안을 준수하고, 리스크 기반의 자율보안체계를 구축할 수 있도록 규율체계가 개선된다. 정보보호최고책임자(CISO)의 권한이 커지고, 중요 보안사항은 이사회 보고가 의무화된다.

규제도 목표·원칙 중심으로 바뀐다. 당국은 안전성 확보 의무를 인력·조직·예산, 내부통제, 시스템 보안, 데이터 보호 등으로 구분해 금융보안의 주요 원칙과 목표를 법에 명시하고 세부사항은 폐지키로 했다.

또 금융회사 등이 자율보안체계를 구축하지 않거나, 보안사고가 발생한 경우 국제기준 등을 고려해 고의·중과실에 의한 사고 발생시 과징금 등의 제도 도입도 검토키로 했다. 대신 포지티브 규제체계에서 네거티브 방식으로 전환해 금융회사 등에 보안 자율성을 부여할 방침이다. 이밖에 관리·감독방식을 자율·책임 원칙으로 전환하고, 금융보안 전문기관을 통해 금융회사 등의 자율보안체계 검증 및 이행 컨설팅 기능을 강화한다.

금융당국 관계자는 “상반기 중 규제 선진화 로드맵을 검토해 구체적인 시행 일정도 함께 마련할 것”이라며 “보안규정의 우선순위, 규제 타당성, 금융회사 등의 보안역량 등을 종합적으로 평가하여 규정을 정비하겠다”고 말했다. 서정은 기자