[금융위원회][보도자료] 급변하는 IT 환경에 탄력적으로 대응할 수 있도록 금융보안 규제 선진화를 추진하겠습니다.
□ 급변하는 IT환경과 새로운 보안 리스크에 금융회사 등이 탄력적으로 대응할 수 있도록 「금융보안규제 선진화 방안」을 마련하고,
ㅇ 「제5차 금융규제혁신회의」(12.20일)에서 해당 안건을 논의하였습니다.
< 「금융보안규제 선진화 방안」 주요 내용 >
□ 금융규제혁신회의 논의사항을 바탕으로, `23년 상반기 중 「금융보안 규율체계 정비 TF」를 구성하여 보안규제 선진화 로드맵을 검토할 예정입니다.
|
1. 추진 배경 |
□ 최근 금융분야에서 클라우드·빅데이터·AI 등 디지털 신기술 활용이 확대됨에 따라 금융보안의 중요성이 증가하고 있습니다.
ㅇ 신기술 도입에 따른 보안 취약점을 이용한 랜섬웨어, DDoS 공격* 등 사이버 위협의 유형도 다변화하고 있으며,
* DDoS(Distributed Denial of Service) : 다수의 기기를 특정 시스템에 일시적으로 접속시켜 시스템을 마비시키는 공격
ㅇ 빅테크의 금융업 진출, 클라우드 등 아웃소싱 확대 등으로 제3자 리스크*(3rd Party Risk)가 심화되고 있는 상황입니다.
* 非금융부문의 장애발생, 정보유출 등의 사고가 금융 부문으로 전이되는 리스크
□ 그러나 現 금융보안 규제는 급변하는 IT환경과 보안 리스크에 효과적으로 대응하기 어렵다는 의견이 지속 제기되고 있습니다.
ㅇ 이에 따라, 디지털 금융혁신을 뒷받침하면서 리스크에 효과적으로 대응할 수 있는 금융보안 규제 선진화 방안을 마련하였습니다.
2. 현황 및 문제점 |
[1] (금융보안 거버넌스의 문제) 금융회사 등은 금융보안을 정보보호최고책임자(CISO) 중심의 실무적 문제로만 인식하고 있으며, 사고 발생시 임기응변식으로 대응하고 있는 실정입니다.
* 금융보안을 정보보호 부서에만 맡겨놓고, 현업부서나 내부 감사조직 등을 모두 포함하는 전사적 차원의 금융보안 역할 및 책임 부여는 미흡
? 금융보안을 기술적 영역으로 한정함에 따라, 기업의 핵심전략과 우선순위 등을 반영한 종합적인 보안전략 수립이 어려우며,
? 자율보안체계 구축을 위한 자체 리스크 평가, 전문인력 육성 등에 대한 투자도 미흡*하여 보안 리스크 대응에 한계가 있습니다.
* 임직원 의무 교육시간 충족 등 「전자금융감독규정」상 안전성 확보조치의 최소 기준만 준수하려 할 뿐, 전문 보안인력 양성 등 능동적 보안활동에는 소극적
[2] (금융보안 규제의 문제) 現 보안 규제는 미시적인 규정 중심이며, 사전통제적 성격이 강하여 제도개선의 필요성이 제기되고 있습니다.
? 안전성 확보의무를 포괄 규정(전금법 §21)하고, 감독규정(§8~37)에서 인력·시설, 정보기술 등의 세부사항을 열거*
* (예) 경비원이 출입구를 통제 / 휴대용 손전등 비치 / 압력계, 온도계 등을 갖출 것 등
? 금융회사 등의 사전 의무사항을 나열하고, 이를 준수했다면 보안 책임을 면제하고 사고 발생시에도 경미한 과태료 및 임직원 신분제재만을 부과 |
? 급변하는 IT환경을 신속하게 반영하지 못하는 경직적 규정으로 인해 새로운 리스크에 효과적으로 대응하기 곤란*한 상황입니다.
* (예시) ①빅테크 등 전금업자의 규모·영향력이 증가했음에도 불구하고 재해복구센터 설치의무가 면제되어 있고, ②전자금융사고의 파급력이 확대됐음에도, 사고시 책임이행을 위한 보험 가입기준은 과거에 머물러 있음(금투업 : 5억원, 저축은행·보험·선불업 : 1억원 등)
→ 금번 데이터센터 화재 사태로 現 감독규정의 개정 필요성이 제기된 상황
? 보안규정 준수가 금융회사 등의 보안 목표로 인식되어, 수동적인 보안 활동에 머무르는 한계가 있습니다.
* ①규정상의 보안 의무만 준수하면 모든 보안 책임을 다하는 것이라는 인식이 만연하고, ②감독규정상 보안방법 등을 특정함에 따라 자율적으로 동일 목적을 달성하거나 보안을 강화할 수 있는 他 방법에 대한 가능성을 차단
? 금융회사 등의 규모, 성격 등에 따른 리스크 경중을 고려하지 않고 평균 수준의 금융회사를 상정하여 통일된 의무를 부과함에 따라, 영세한 전금업자의 경우 규제 준수가 어려운 실정입니다.
* (예시) 프로그램 등록·변경시 제3자 검증을 받아야 하는데, 금융회사는 아웃소싱 또는 조직 내 전담팀을 통해 이를 수행하는 반면 소규모 전금업자의 경우 매번 제3자 검증을 받기 곤란
3. 개선방안 |
| [ 기본 방향 ] |
|
|
| |
[1] (보안 거버넌스) 금융회사 등이 전사적 차원에서 금융보안을 준수하고, 자율보안체계를 구축할 수 있도록 규율체계를 개선하겠습니다.
? 정보보호최고책임자(CISO)의 권한을 확대하고, 중요 보안사항의 이사회 보고 의무화 등을 통해 금융보안을 기업의 핵심가치로 제고하겠습니다.
* CISO는 리스크 관련 주요 회의에 참석, CEO에게 직접 보고 등(美 FFIEC)
CISO는 사이버보안 프로그램과 중요 보안리스크를 이사회에 보고(美 「23 NYCRR 500」)
? 금융회사 등이 보안리스크를 스스로 분석·평가하고, 리스크에 비례하여 보안방안을 수립할 수 있는 리스크 기반의 “자율보안체계” 로의 전환을 추진하겠습니다.
* NIST(美표준기술연구소)는 新금융리스크 대응 방식으로, 기업 스스로 리스크를 식별하고 비즈니스 환경에 맞는 보안 통제를 선택하는 RMF(Risk Management Framework) 방식 제시
[2] (보안규제 정비) 목표·원칙중심*, 사후책임 중심으로 규제를 전환하겠습니다.
* 금융당국은 원칙·상위기준을 제시, 목표 달성과정은 금융회사 등의 자율적인 판단을 존중
? 現 안전성 확보의무(「전금법」§21)를 인력·조직·예산, 내부통제, 시스템 보안, 데이터 보호 등으로 구분하여 금융보안의 주요 원칙과 목표를 법에 명시하고 세부사항은 폐지하겠습니다.
- 이를 위해 「전자금융감독규정」(§8~37) 중 필수사항만을 남기고, 세부적으로 규율할 사항은 가이드라인 또는 해설서 등으로 전환하겠습니다.
* (예시) ①필요·최소한의 보안 인력, 예산, 조직 등은 진입요건으로 전환하고, ②침해사고 대응, 재해복구, 자율보안체계 구축 등의 필수요소만을 규율, ③기술적이고 세세한 보안규정은 가이드라인이나 해설서 등으로 전환
| < 뉴욕주 금융 사이버보안 규정(23 NYCRR 500) > |
|
|
| |
◈ 정보보호의 3요소인 ‘기밀성’, ‘무결성’, ‘가용성’을 원칙으로 제시하고, 금융회사 등이 보안체계를 수립토록 최소한의 의무만을 부여
◈ 프로그램 보안, 다중 인증, 암호화 등의 구체적 수단을 특정하지 않고 금융회사 등이 내부 위험평가 등을 통해 보안기술 등을 자율 채택하도록 규정 |
? 금융회사 등이 자율보안체계를 구축하지 않거나, 보안사고가 발생한 경우 그에 따른 사후책임을 강화하겠습니다.
- 국제기준 등을 고려하여, 고의·중과실에 의한 사고 발생시 과징금 등의 제도 신설을 검토할 예정입니다.
[3] (관리·감독 선진화) 금융당국의 관리·감독방식을 자율·책임 원칙으로 전환하고, 금융보안 전문기관(예: 금융보안원)을 통해 금융회사 등의 자율보안체계 검증 및 이행 컨설팅 기능을 강화하겠습니다.
? 보안규정 위반여부 감독 중심에서 자율보안체계 수립·이행 등에 대한 검증 중심*으로 전환하겠습니다.
* 금융회사 등이 업무 성격, 복잡성 등에 비례하여 내부 보안리스크를 평가·관리하는지, 이를 바탕으로 자율보안체계를 구축하였는지·적정한지 등을 주기적으로 검증
※ 유럽은행감독청(EBA) 내부 거버넌스 가이드라인(Guidelines on internal governance) : 제3자(민간 보안전문기관 등 독립적 감사인)가 금융회사 등의 리스크 관리 체계, 자율보안체계 등을 검증하고, 감독당국은 제3자의 자격과 활동이 적정한지를 관리·감독
? 금융회사 등의 보안 거버넌스 구축을 위한 보안성 검토 지원, 기술 공유, 인력 양성 교육 등 지원·컨설팅 기능을 강화하겠습니다.
4. 향후 계획 |
| < 금융보안 규제 선진화 로드맵 > |
|
|
| |
◈ `23년 상반기 중 「금융보안 규율체계 정비 TF*」를 구성하여 장기적 로드맵에 대한 검토를 시작하겠습니다.
* 금융감독원, 금융보안원, IT 보안 전문가 등 참여
ㅇ 아래에 제시된 방향으로 로드맵을 검토하되, 구체적인 시행 일정도 함께 마련할 예정입니다. |
□ (1단계) 現 보안규정의 우선순위, 규제 타당성, 금융회사 등의 보안역량 등을 종합적으로 평가하여 규정을 정비 (감독규정 개정사항)
* (예시) 최근 데이터센터 화재 후속조치로서, ①일정규모 이상 전금업자 등의 재해복구센터 설치의무 신설 검토, ②전자금융사고시 책임이행을 위한 보험금 가입기준을 상향하는 방안 검토 (유럽연합 PSD2의 전문인배상책임보험 최저보상한도 산출기준 등 참고)
□ (2단계) 금융보안의 목표·원칙을 제시하고, 금융회사 등의 자율보안체계 구축 및 사후책임 중심으로 규제를 정비 (법률 개정사항)
* (예시) ①금융회사 등의 리스크관리체계 및 보안역량에 따른 표준지침 등을 제시, ②제3의 전문기관(금융보안원 등)을 통한 금융회사 등의 자율보안체계 검증 및 지원, ③과징금, 손해배상 책임 등 엄격한 사후책임 규제 도입 등
□ (3단계) 포지티브 규제체계에서 네거티브 방식으로 전환하여 금융회사 등에 보안 자율성을 부여
* (예시) 금융회사 등의 물리적/논리적 망분리의 선택가능성을 부여
[자료제공 :(www.korea.kr)]