금융당국, 전자금융사고 보고의무 강화…미보고시 과태료 부과 유보

(서울=뉴스1) 김도엽 기자 = 금융당국이 전자금융사고 보고 의무를 강화하면서도 가입자가 적은 서비스에 대한 사고 보고 업무는 일부 경감하는 감독규정 개편을 완료했다.

6일 금융당국에 따르면 금감원은 지난 5일 각 금융사에 '전자금융사고 관련 유의사항 안내' 공문을 발송했다. 전자금융사고 보고의무를 강화하기 위해 보고 대상 유형 등을 개정한 '전자금융감독규정', '전자금융감독규정시행세칙' 시행에 따른 유의사항을 담당 실무자에게 안내하기 위함이다.

이번 개정에 따라 경미한 사고 보고에 대한 부담은 일부 경감됐다.

기존에는 서비스 10분 이상 중단·지연 시 보고해야 하지만 개정에 따라 이를 가입자 1만 명 이상의 서비스에만 적용하고, 가입자 1만 명 미만일 경우에는 30분으로 완화했다.

금융당국은 24시간 이내 전자금융사고를 보고하지 않을 시 과태료 부과 문제는 추후 더 논의하기로 했다. 당초 이번 규정 개정에 5000만 원 이하의 과태료 근거 마련 방안이 담길 예정이었으나 논의가 유보됐다.

아울러 금감원은 '중대사고 분류기준'을 전자금융사고 대응시스템에 반영했다. 지난해 금감원은 그간 모호했던 전자금융 중대사고 기준을 구체화한 바 있다.

기존 전자금융사고는 10분 이상 전산 중단 또는 지연, 전산자료 또는 프로그램 조작에 의한 금융사고 발생, 전자적 침해 사고 또는 이용자 피해 등에 따라 중대사고로 분류됐지만, 앞으로는 핵심업무 포함여부를 기본요건으로 5개 세부지표 중 2개 이상 해당할 시 중대사고로 분류된다. 세부지표로 △영향도 △데이터 △평판 △시간 △금액 등 5개 기준과 이에 따른 판단기준 12개를 마련한 것이다.

다만 고객정보 유출은 핵심업무 여부와 관계없이 중대사고로 분류된다.

이외에도 규정 개정에 따라 IT보안사고는 '침해사고'로, 정보기술장애는 '전산장애사고'로 명칭이 변경된다.

금융당국은 이번 개정 배경에 대해, 금융보안규제를 '규칙'에서 '원칙' 중심으로 개선하기 위함이라고 설명했다. 전자금융감독규정이 금융보안기준을 행위규칙 중심으로 지나치게 세세하게 규정하고 있어, 금융사가 '규정만 준수하면 면책'이라는 소극적인 인식을 초래하고 상황별 유연한 보안대응을 어렵게 한다는 지적이 제기되면서다.

또 금융보안을 정보보호최고책임자(CISO) 및 정보보호부서만의 일로 여기는 경향으로 인해 전사적 차원에서 적극적으로 보안 역량 강화에 힘을 쏟기 어렵다는 의견도 제시됐는데, 이번 개정에 따라 전자금융감독규정 제37조의5에 적시된 '정보보호최고책임자의 업무'는 삭제됐다.

아울러 금융당국은 전자금융감독규정을 원칙 중심으로 기술해 자율보안체계를 구축할 수 있도록 유도하는 한편, 293개에 달하는 세세한 행위규칙을 166개로 정비했다.

금융위는 "이번 개정에 이어 '자율보안-결과책임'을 주요 내용으로 하는 디지털 금융보안법제를 마련해 금융보안 패러다임을 자율보안체계로 전환해 나갈 예정"이라고 밝혔다.

doyeop@news1.kr