매일 경제

금융당국이 금융보안사고가 발생한 금융사에 대한 제재 규정 강화를 추진한다. 사고가 발생한 경우 최대 200억원의 과징금을 부과하고 관련 업무에 대해 최대 6개월의 영업정지를 규정한 디지털금융보안법(금융보안법) 제정을 추진한다. 디지털금융이 확산되는 상황에서 금융사 디지털·정보기술(IT) 분야에 대한 감독을 더 강화하려는 취지다.

27일 김소영 금융위원회 부위원장은 ‘미래 변화와 금융의 성장 전략’ 세미나에서 “올해 디지털금융보안법제를 검토해 구체화해 나갈 것”이라고 밝혔다. 이날 이종오 금융감독원 디지털·IT부문 부원장보도 업무설명회에서 “금융보안체계의 자율성과 유연성은 제고하되 대규모 소비자 피해를 유발하는 정보 유출, IT 장애 등 금융사고에는 엄중하게 대응·조치하겠다”고 말했다.

최근 금융권에서는 상품이 복잡해지고 클라우드, 생성형 인공지능(AI) 등과의 외부 연계도 늘어나면서 새로운 위험이 발생하고 있다. 지난해 7월 크라우드스트라이크발 사이버 정전 사태가 대표적이다. 이를 대비하기 위해 금융위가 금융보안원에 의뢰한 ‘디지털 금융보안에 관한 입법 방안’ 연구 용역이 최근 종료됐다.

강준현 더불어민주당 의원에게 제출된 용역보고서 내 제정법안에는 당국이 디지털 금융보안에 대해 규제 중심에서 원칙 및 자율 보안으로의 전환을 검토 중이므로 명확한 규제 위반 사항에 대해 엄격한 책임을 물어야 한다고 돼 있다.



금융보안 위반에 대해 금융회사 전체 매출액의 3%에 해당하는 금액을 최대 과징금으로 제시했다. 다만 상한선은 200억원으로 뒀다. 과징금 부과 사유도 추가했다. 자율 보안을 제대로 하지 않아 발생한 사고, 해킹 등 침해 사고에 대한 통지·정보 공유 위반으로 타 금융사로 위험이 전이되거나 소비자에게 일정 금액 이상 피해가 발생한 경우 등이다. 현재 전자금융거래법(전금법)에선 거래 정보를 누설한 경우에만 과징금이 부과되고, 금액도 최대 50억원이다.

또 전금법에선 안전성 확보 의무를 위반하면 최대 5000만원의 과태료를 부과할 수 있다. 반면 금융보안법에선 앞선 의무 위반 건에 대한 사유가 세분화되고, ‘비상대응훈련 실시 의무 위반’처럼 현 감독규정도 법률로 상향된다.

금융회사 역시 사고가 발생하면 관련 업무 분야에 대해 최대 6개월까지 영업정지 처분을 받는다. 인터넷뱅킹에서 보안규정 위반이 발생하면 해당 인터넷뱅킹의 신규 가입 업무가 정지되는 식이다.

전금법에 비해 금융회사 정보보호최고책임자(CISO)의 위상과 권한은 더 강화된다. 전금법상 CISO는 권한이 거의 없는 반면 책임만 져야 해 기피 대상이라는 평가를 받는다. 새 제정법에선 IT 리스크 등에 대한 역할·권한과 책임도 부여하고 최고위기관리자(CRO)와 대등한 위상을 부여토록 했다.



또 금융사가 보안과 IT를 개발·운영하는 데 클라우드나 오픈소스 같은 제3자 서비스 이용이 확대되면서 금융사의 제3자 의존도도 증가하고 있다. 금융사 내 정보 보호 분야에서 외주 인력도 늘고 있다. 한 시중은행은 2023년 말 기준으로 정보 보호 분야 외주인력 비중이 62.1%를 차지했다.

이에 금융보안법에는 규제 범위를 금융사에 IT 서비스를 제공하는 제3자로까지 확대하는 사항이 담겼다. 당국은 금융회사가 제3자와 체결한 계약과 관련해 정부의 시정지시를 따르지 않으면 이행강제금을 5000만원씩 연간 최대 2회 부과할 수 있도록 했다.

당국은 이 같은 연구 용역을 바탕으로 최근 전문가 간담회를 시작으로 의견을 수렴 중이다. 이를 통해 법안 내용을 최종 확정할 예정이다.