금융사 경영진 ‘IT 보안사고’ 책임 강화

금융위, 종합대책 발표
해킹 사고도 손해배상

앞으로 정보기술(IT) 보안 사고가 발생한 금융회사와 해당 회사 경영진의 제재가 강화되고 전자금융 사고로 인한 고객피해보상도 확대된다.

금융위원회는 23일 이런 내용을 뼈대로 한 ‘금융회사 아이티 보안강화 종합대책’을 발표했다. 앞으로 금융회사 최고경영자(CEO)는 연간 아이티 보안 계획을 직접 승인하고 이행 여부를 확인해야 한다. 경영자에게 최종 책임을 부과해 과거 보안사고가 발생했을 때 최고경영자 책임을 따지기 힘들었던 관행을 없애겠다는 의도다. 또 금융회사들은 정보보호최고책임자(CISO)를 지정해야 하고 아이티 보안인력과 예산비율을 일정 수준 이상으로 유지해야 한다.

이와 함께 해킹사고시 금융회사가 손해배상 책임을 질 수 있도록 전자금융거래법 개정도 추진된다. 현행법에는 전자적 전송·처리과정에서 발생한 사고에 대해선 금융회사의 손해배상 책임이 명문화돼 있지만, 해킹사고에 대해선 책임 여부가 불명확하다.

금융회사의 아이티 보안 사고에 대한 제재 수준도 강화된다. 중대 전산사고가 발생한 경우, 경영진 등에게 책임을 묻고 금융회사에 대해선 업무정지가 가능하도록 법적 근거를 신설할 방침이다. 지금은 보안사고가 발생한 후 금융당국이 내린 시정명령을 이행하지 않았을 경우에만 업무정지를 시킬 수 있었다.

아이티 보안 관련 인력 및 투자도 확대된다. 현재는 금융감독원이 아이티 보안예산 비율을 5% 이상 유지토록 권고하고 있으나, 준수의무가 없어 제대로 지켜지지 않고 있는 실정이다. 이에 따라 금융당국은 아이티 보안인력 비율 및 아이티 예산비율을 일정 수준 이상 유지하도록 의무화하고 그 준수 여부를 경영실태평가에 반영하도록 할 방침이다. 성대규 금융위 은행과장은 “민간 전문가들과 함께 논의를 해보니 무엇보다 최고경영자의 보안에 대한 무관심이 가장 심각한 문제라는 결론을 내렸다”며 “보안에 대한 책무를 부여하는 방식으로 보안 수준을 높이고 제재의 근거를 만들려는 것”이라고 말했다. 정혁준 김경락 기자 june@hani.co.kr