'금융보안 패러다임 전환' 간담회 개최
[파이낸셜뉴스] 이찬진 금융감독원장은 금융권에서 내부통제 미흡 등으로 정보통신(IT) 및 정보보안 사고가 재발한다면 무관용 원칙을 적용해 엄중히 책임을 묻겠다고 엄포했다.
이 원장은 7일 서울 여의도 금감원 본원에서 열린 '금융보안 패러다임 전환' 간담회에서 "금융회사 스스로 IT리스크나 보안상 취약점을조기에 식별해 적시에 조치하는 '선제적 리스크 관리체계'를 확립하는데 감독역량을 집중하겠다"며 이같이 밝혔다. 이날 행사에는 국회·금융협회·국내외 보안업계 관계자들이 참석했다.
이번 간담회는 금융권의 보안 의식과 위험관리 수준, 금감원의 감독 방식만으로는 반복되는 IT·정보보안 사고를 근절하기 어렵다는 위기의식에서 마련됐다. 최근 금융권에서는 롯데카드, 서울보증보험, 업비트 등 연달아 해킹으로 인한 정보유출 사고가 발생하고 있다.
이 원장은 "원인을 살펴보면 보안상 취약점을 장기간 방치하거나 거래수요가 급증할 것으로 예상됨에도 처리용량을 확충하지 않고, 서비스단위를 잘못 입력하는 등 기본적의무를 지키지 않았거나 내부통제가 미흡한 경우가 다수"라고 지적했다.
그러면서 "철저한 리스크관리를 통해 사건·사고를 방지하는 것이 시장 신뢰를 굳건히 지키는 초석임을 인식하고 IT·정보보안에 충분한 인력과 예산을 투자할 수 있도록 독려해야 한다"고 당부했다.
우선 금감원은 먼저 감독방식을 기존의 사후제재 중심에서 사전 예방 중심으로 전환할 방침이다. 보안 취약점 감독을 강화하고 사고 가능성이 높은 고위험사를 선별해 집중 관리하는 등 사전예방적 감독을 확대한다. 금융보안 통합관제 시스템(FIRST)을 통해 위협 정보를 신속히 공유하고 점검하고, 조치 결과를 관리하는 체계도 구축한다.
또 사고 대응 체계를 정비하고 블라인드 모의해킹, 합동 재해 복구 전환 훈련 등 비상 대응 훈련을 실시해 취약점을 지속적으로 발굴·보완하고, 사고가 발생하더라도 서비스가 신속히 재개되도록 디지털 복원력을 강화할 계획이다.
금감원은 금융회사의 정보보호 수준을 높이기 위한 제도 개선에도 속도를 낼 계획이다. 현행 전자금융거래법에서는 해킹 사고로 인해 소비자 피해가 발생하더라도 제재 근거가 명확하지 않다. 현재 국회에 계류 중인 '전자금융거래법' 개정안은 해킹 사고 발생 시 금융회사에 매출액의 최대 3%까지 과징금을 부과할 수 있도록 하는 내용을 담고 있다.
이정문 더불어민주당 의원은 "금융권의 정보보호수준을 제고하기 위한 전자금융거래법 개정안이 신속히 통과되도록 노력하는 등 금융소비자보호를 위한 입법 지원을 아끼지 않겠다"고 밝혔다.
zoom@fnnews.com 이주미 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지