[단독]보안사고 낸 금융사에 최대 200억 과징금…'금융보안법' 윤곽

(서울=뉴스1) 박동해 기자 = 앞으로 금융보안사고에 대해 최대 200억 원의 징벌적 과징금이 부과되고 경영진의 책임도 강화된다. 해외 빅테크 기업도 보안문제에 대한 관리·감독 대상에 포함된다.

25일 강준현 더불어민주당 의원이 금융위원회로부터 제출받은 자료에 따르면 금융위는 금융보안원에 연구용역을 맡겨 이같은 내용의 '디지털 금융보안법'의 초안을 마련했다.

금융보안법의 핵심은 '자율보안체계 구축'과 '사후책임 강화'다. 금융사의 자율보안체계를 강화해 자체적으로 보안체계를 구축하도록 하되 결과에 대한 책임을 엄중하게 묻겠다는 것이다.

먼저 법안 초안에는 금융사가 금융보안 확보의무를 위반해 전자금융거래 정보가 누설되거나 금융보안사고가 발생한 경우 금융사 전체 매출의 100분의 3(최대 200억 원)의 범위에서 징벌적 과징금을 부과할 수 있다는 내용이 담겼다.

금융사가 관련 의무를 위반해 금융사에게로 금융보안 리스크가 전이되거나 이용자들에게 일정 금액 이상의 피해가 발생하는 경우에도 과징금 부과가 가능하다.

현재는 금융보안사고 발생에 대해서는 전자금융법에서 '거래정보 누설'에 대해서만 50억 원 이하의 징벌적 과징금을 부과하고 있다.

앞서 금융위는 지난 2022년 '금융보안규제 선진화 방안'을 발표하면서 고의·중과실에 따른 금융보안 사고 발생시 과징금을 부과하는 제도 신설을 추진해 왔다.

법안은 금융사의 위반행위 내용과 정도, 기간 및 위반횟수 등을 고려해 과징금을 부과할 것을 규정하고 있다.

다만 법률안에는 금융사가 연 1회의 금융보안 수준 평가·진단 등 법에서 부여한 의무를 충실히 이행하는 등 보안사고 예방 노력을 했다면 과징금을 면책해 주는 조항도 담겼다.

연구 과정에서 '징벌적 손해배상'을 도입하는 것도 논의가 됐지만 법안 초안에는 제외됐다.

금융보안관련 의무를 이행하지 않을 경우에 대한 금융기관·임직원에 대한 제재 근거도 마련됐다. 의무 미이행 및 위반 시 기관에 대해서는 최대 6개월의 업무정지, 임직원에 대해서는 해임요구가 가능하다. 의무 위반에 대해서는 5000만 원 이하의 과태료 부과도 가능하다.

최근 금융의 디지털화가 가속되면서 금융사가 외부 기업에 IT 업무를 아웃소싱하는 사례가 늘어나고 있다. 이에 따라 IT관련 서비스를 제공하는 제3자의 문제가 금융사의 사고로 이어지는 사례도 발생하고 있다.

이에 금융보안법에는 규제 범위를 금융사에 IT 서비스를 제공하는 제3자까지 확대하는 내용이 실렸다.

특히 법안에는 금융위원회가 금융사에 주요 서비스를 제공하는 제3자를 ‘지정·관리’할 수 있다는 조항이 포함됐다. 금융위는 주요 제3자와 금융사의 계약에서 이용자 권익을 침해할 소지가 있을 경우 계약 내용의 시정 또는 보완을 지시할 수 있다.

또 주요 제3자가 의무를 따르지 않을 경우 금융사에 계약 취소 및 변경을 요구할 수 있으며, 5000만 원 이하의 이행강제금을 부과할 수도 있다.

더불어 법안은 주요 제3자를 금융사와 마찬가지로 금융당국의 감독 및 검사 대상에 포함했다.

아울러 '이 법은 국외에서 이루어진 행위라도 국내 시장 또는 이용자에게 영향을 미치는 경우 적용된다'는 조항도 포함됐다. 이는 국내 금융권에 주요 서비스를 제공하는 글로벌 빅테크의 영향력을 고려한 조치다.

이외에도 금융사는 제3자의 서비스를 활용할 경우 이용 업무의 중요도를 평가해야 하며, 중요 업무에 제3자의 서비스를 이용하려면 금융위가 제시하는 기준을 준수해야 한다.

또한 제3자의 고의나 과실은 금융사의 고의나 과실로 간주되어 금융사가 이용자에게 손해를 배상해야 하며, 금융사는 제3자에게 구상권을 청구할 수 있다.

법안은 금융보안체계 수립 및 준수에 관한 금융사의 책임과 의무를 세세하게 규정하고 있다.

먼저 금융사는 금융보안에 관한 경영목표를 수립하고 평가해야 하며 금융보안 업무를 총괄할 최고책임자를 지정해야 한다. 총자산이 2조원 이상이거나 상시 종업원 수가 300명 이상인 경우에는 금융보안최고책임자를 임원으로 지정해야 한다.

또 금융사는 매년 금융보안 계획을 수립·시행해야 하며, 연 1회 이상 자체적으로 금융보안 수준을 평가·진단하고 그 결과에 따라 보완조치 이행 계획도 수립·시행해야 한다.

침해사고, 정보통신망 장애 등 금융보안 사고가 발생하면 금융사는 이를 지체 없이 금감원에 신고하고 사고 원인을 분석하여 피해 확산을 막기 위한 조치를 취해야 한다. 또한, 보안사고의 피해 규모가 일정 수준 이상일 경우 일반에도 사고 발생 사실을 공개해야 한다.

금융사는 보안사고 발생 시 전산 자원의 회복력 강화를 위해 비상 대책을 마련·실행하고, 침해사고 대응 능력 확보를 위해 연 1회 이상 침해사고 대응 및 복구 훈련 계획을 수립하여 이를 시행해야 한다.

금융위는 금융보안을 위해 국가기관, 금융회사, 제3자, 금융보안 전문기관이 함께 참여하는 '합동비상대응훈련'을 실시할 수 있으며 금융사들은 금융위의 요청을 받으면 훈련에 참여해야 한다.

이번 법안 추진과 관련해 강준현 의원은 "AI·디지털 전환이 가속화되고 있다"며 "금융혁신과 보안은 물론 저성장 등 국가 위기 극복을 위해 금융이 제 역할을 할 수 있도록 국회에서 제도 개선 노력을 다해 나갈 것"이라고 밝혔다.

한편, 이번 연구용역을 통해 마련된 법안은 초안으로 추후 논의 과정에서 수정될 가능성이 있다. 금융위는 공청회 등의 과정을 거쳐 올해 상반기 중에 법안을 발의할 계획이다. 금융위 관계자는 "현재 연구용역 내용을 정리하는 마무리 단계에 있다"고 설명했다.

potgus@news1.kr