금양·STX '의견거절' 충격 속... 금감원 "금융보안, 사후제재서 사전예방으로"

[포인트경제] 금융감독원이 고도화되는 사이버 위협에 대응하기 위해 금융보안의 틀을 '사후 제재'에서 '사전 예방'으로 전면 개편한다. 기본적 의무를 소홀히 해 사고를 낸 금융사에는 무관용 원칙을 적용하고, 사고 개연성이 높은 고위험사는 집중 관리 대상에 올린다.

금융감독원은 7일 오후 금감원 대회의실에서 국회 정무위원회 이정문 의원, 주요 금융협회장, 보안업계 대표 등이 참석한 가운데 '금융보안 패러다임 전환 간담회'를 개최했다. 이번 간담회는 끊이지 않는 IT·정보보안 사고를 근절하기 위해 감독 방식을 근본적으로 바꾸겠다는 위기의식에서 마련됐다.

이찬진 금감원장은 개회사에서 "최근의 전산장애는 보안 취약점 방치나 처리용량 미확보 등 기본적 의무 미준수와 내부통제 미흡에 기인한 경우가 많았다"며 "감독 방식을 기존 사후 제재 중심에서 사전 예방 중심으로 대전환하겠다"고 선언했다.

금감원이 밝힌 '사전예방적 디지털 리스크 감독방안'의 핵심은 금융회사의 '선제적 위험관리' 확립이다. 이를 위해 금감원은 지난 2월 본격 가동한 '금융보안통합관제시스템(FIRST)'을 활용해 상시 감시 체계를 고도화한다. 금감원이 위협 요인을 신속히 전파하면 금융사가 자율 점검 후 조치 결과를 보고하고, 금감원이 이를 다시 평가하는 환류 체계를 정립한다는 구상이다.

특히 사고 개연성이 높은 '고위험사'를 선별해 경영진 면담 등을 통한 취약점 개선을 촉구하고, 개선이 미흡하거나 중대 사고가 발생할 경우 현장 점검 후 엄중 제재할 방침이다. 반면 능동적으로 취약점을 파악해 개선하는 '자율 시정' 체계는 적극 활성화하기로 했다.

디지털 복원력 강화 대책도 추진되어 중대 사고 발생 시 신속한 대응을 위한 '금융권 중대 전자금융사고 대응 가이드라인'을 마련하고, 블라인드 모의해킹과 버그바운티(보안 취약점 신고 포상제) 등을 확대해 비상 대응 역량을 끌어올릴 계획이다.

이날 간담회에 참석한 이정문 의원은 "디지털 금융을 안심하고 이용할 수 있도록 금융사와 금감원의 철저한 리스크 관리가 필요하다"며 "정보보호 수준 제고를 위한 '전자금융거래법' 개정안이 신속히 통과되도록 입법 지원을 아끼지 않겠다"고 화답했다.

조용병 은행연합회장을 비롯한 금융협회장들도 보안 역량이 금융사의 신뢰도와 직결된다는 점에 공감하며, 사전 예방적 감독 방안이 업권 내에 효과적으로 이행될 수 있도록 인적·물적 투자를 확대하겠다고 밝혔다.

금감원 관계자는 "오늘 간담회를 기점으로 패러다임 전환을 위한 과제들을 속도감 있게 추진할 예정"이라며 "금융권 전반에 보안을 중시하는 문화가 정착될 수 있도록 업계와 긴밀히 소통하겠다"고 말했다.