금융전산사고에 대한 최고경영자(CEO)의 책임이 명확화된다. 또 농협 등 단위조합과 새마을금고 같은 중소 금융회사의 정보보호최고책임자(CISO)의 자격요건이 완화된다.
금융위원회는 이같은 내용을 담은 전자금융거래법(전금법) 시행령 개정안을 추진한다고 15일 밝혔다.
이번 법안은 오는 11월부터 시행되는 전자금융거래법 개정법률의 위임사항을 정하고 금융전산 보안강화 종합대책을 이행하기 위해 마련됐다.
전금법은 △해킹사고로 인한 이용자 손해에 대한 금융회사의 일차적 책임 명확화 △금융회사 등의 정보기술부문 계획 수립 ·금융위 제출 의무화 및 계획 관련 CEO책임 강화 △금융회사 전자금융기반시설의 취약점 분석·평가 의무화 △해킹 등 전자적 침해행위 금지 및 침해행위에 대한 대응 체계 강화 △금융회사 등이 전자금융거래 안정성 확보의무 불이행시 제재 근거 신설 등의 내용을 담고 있다.
시행령에 따르면 금융회사 및 전자금융업자는 매년 정보기술부문 추진목표 및 전략, 투입 인력 예산 등의 추진실적 및 향후계획을 수립하고 대표자의 확인 서명을 받아 금융위에 제출해야 한다.
특히 현실적인 부분을 고려해 중소 금융회사의 CISO 자격요건을 완화했다. 일부 중소금융회사는 내부인력 중 CISO 자격요건 등을 충족하는 사람이 없어 지정에 애로를 겪으면서 정보기술(IT)보안 업무수행의 책임성 확보가 곤란하다는 지적을 받아왔다.
실제로 신협 등 단위조합(2343개)의 CISO 지정률은 22.8%에 불과해 단위조합을 제외한 전체 금융회사(623개)의 평균 지정률(79.5%)을 크게 밑돌았다.
이에 시행령에서는 종업원수가 일정규모 이상인 농협, 신협 등의 단위조합 및 새마을금고는 대표자 또는 대표자가 지정하는 사람을 CISO로 지정 운영할 수 있도록 허용했다.
또한 중소기업기본법상 중소기업 수준을 고려해 종업원 수 200명 미만 또는 영업수익 200억원 이하인 금융회사는 전금법상 주요의무 적용을 배제했다. 아울러 해킹사고에 대한 이용자의 고의 중과실 범위도 조정했다.
금융회사 등이 보안강화를 위해 요구하는 본인확인절차를 이용자가 정당한 이유 없이 거부하거나 이용자가 본인인증수단 또는 매체를 대여·위임·제공 또는 누설·노출·방치하는 경우도 고의 중과실 범위에 추가했다.
kim091@fnnews.com 김영권 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지