290.86
29.56
 |
금융권 IT·보안 사고가 반복되는 가운데 금융당국이 감독 패러다임을 '사후 제재'에서 '사전 예방' 중심으로 전환한다. 금융사 스스로 위험을 조기에 인식·대응하는 선제적 관리체계를 구축하고 고위험 회사 집중 관리와 상시 감시 체계를 통해 사고를 사전에 차단하겠다는 구상이다. 특히 기본적 의무 미준수나 내부통제 미흡으로 사고가 발생할 경우 '무관용 원칙'을 적용해 엄중 책임을 묻겠다는 방침도 분명히 했다.
금융감독원은 7일 오후 서울 여의도 금융감독원 대회의실에서 '금융보안 패러다임 전환 간담회'를 열고 이 같은 내용의 사전예방적 디지털 리스크 감독체계 구축 방안을 논의했다.
이날 간담회에는 이찬진 금융감독원장과 이종오 디지털·IT 담당 부원장보를 비롯해 이정문 국회 정무위원회 의원, 조용병 은행연합회장, 황성엽 금융투자협회장, 김철주 생명보험협회장, 이병래 손해보험협회장, 정완규 여신금융협회장, 박상원 금융보안원장, 강병훈 카이스트 교수, 민기식 SK쉴더스 대표, 박상규 팔로알토네트웍스 한국지사장 등이 참석했다.
이번 간담회는 최근 금융권에서 해킹 등 침해사고와 전산장애가 반복되는 상황에서 기존 보안 의식과 위험관리 수준, 감독 방식으로는 사고를 근절하기 어렵다는 위기의식 속에서 마련됐다. 참석자들은 보안 위협이 지능화·정교화되는 상황에서 금융보안 중심 문화 정착과 경영진 책임 강화, 인적·물적 투자 확대 등 근본적 변화가 필요하다는 데 공감했다.
금감원은 우선 감독체계를 전면 재설계해 금융회사의 '선제적 위험관리' 정착을 유도한다. IT 자산 식별·관리 강화, 취약점 분석·평가 내실화, 자율 시정 활성화를 통해 금융회사가 스스로 위험요인을 조기에 파악하고 대응하도록 한다는 방침이다.
아울러 보안 취약점 감독을 강화하고 사고 가능성이 높은 고위험사를 선별해 집중 관리한다. 상시 감시·환류 체계도 고도화해 금융회사와 감독당국 간 정보 공유와 대응을 유기적으로 연계할 계획이다. 금감원이 지난 2월 본격 가동한 '금융보안 통합관제 시스템(FIRST)'을 통해 위협 정보를 신속히 전파하고 자율 점검·시정 결과를 평가하는 구조다.
 |
사고 대응 체계도 전면 정비된다. 합동 재해복구 전환 훈련, 블라인드 모의해킹(사전 정보 없이 실제 공격 상황처럼 점검하는 해킹 테스트), 버그바운티(취약점을 제보한 사람에게 보상금을 지급하는 제도) 등을 확대해 취약점을 사전에 발굴·보완하고 사고 발생 시 서비스가 신속히 재개될 수 있도록 디지털 복원력을 강화한다.
제도적 기반도 함께 손질한다. 금감원은 전자금융거래법 개정 지원 등을 통해 금융회사의 선제적 리스크 관리와 감독당국의 사전 예방적 감독을 제도적으로 뒷받침할 계획이다. CEO(최고경영자)·CISO(최고정보보호책임자) 책임 강화, 징벌적 과징금, 정보보호 공시 도입 등이 주요 과제로 제시됐다.
이찬진 금융감독원장은 개회사에서 "현재의 보안 의식과 감독 방식으로는 반복되는 사고를 막기 어렵다"며 "이제는 금융보안 패러다임을 근본적으로 바꿔야 할 때"라고 강조했다.
이어 "감독 방식을 사후 제재 중심에서 사전 예방 중심으로 전환하겠다"며 "금융회사 스스로 IT 리스크나 보안 취약점을 조기에 식별하고 적시에 조치하는 선제적 리스크 관리체계를 확립하도록 감독역량을 집중하겠다"고 밝혔다.
또 "기본적 의무 미준수 또는 내부통제 미흡으로 IT 사고가 재발하는 경우에는 무관용 원칙 하에 엄중히 책임을 물을 것"이라고 덧붙였다.
이정문 의원은 "최근 금융권에 해킹 등 IT 사고가 빈발하고 있다"며 "전자금융거래의 안전성 확보를 통해 소비자 신뢰를 굳건히 하는 것이 중요하다"고 말했다. 더불어 "금감원의 사전예방적 감독 전환은 시의적절하다"며 "입법 지원에도 힘을 보태겠다"고 밝혔다.
금융협회와 보안업계 역시 패러다임 전환 필요성에 공감하며 현장 이행을 적극 지원하겠다는 입장을 밝혔다. 금감원은 이번 간담회를 시작으로 관련 과제를 속도감 있게 추진하고, 금융권 전반의 보안 의식 제고와 선제적 리스크 관리 정착을 위해 지속적으로 소통해 나갈 계획이다.
