금융위는 지난 6월 발표했던 금융회사 정보기술(IT) 보안강화 종합대책 중 규정 개정으로 실행이 가능한 부분을 전자금융 감독규정 개정안에 담아 입법 예고했고 규제개혁 위원회 심사와 금융위원회 의결을 거쳐 지난 10일부터 시행에 들어갔다고 밝혔다. 감독규정은 금융회사나 전자금융업자가 일정수준 이상의 IT 인력과 예산을 확보하도록 권고하되, 이를 지키지 못하면 사유 등을 홈페이지에 공시토록 했다.
당초 금융위는 IT 인력과 예산기준의 이행을 의무화하고 이를 지키지 못한 금융회사의 임직원을 제재할 방침이었지만 규제개혁심의위원회의 권고를 수용해 수위를 낮췄다. IT인력을 어디까지 인정하느냐는 부분에 대해서는 금융지주회사의 전산 자회사 직원은 IT인력으로 추가로 인정하기로 했다. 한편 IT 업무를 외부에 위탁하는 금융회사들은 의무적으로 외주인력 신원조회 등 외주 인력관리방안을 세워야 한다.
아울러 고객정보가 저장된 직원용 컴퓨터(PC)에 대해선 사전에 업무용도를 지정해 권한이 없는 직원에 대해선 입력·출력·열람을 통제토록 했다. 이와 함께 인터넷뱅킹 과정에서 금융회사가 고객정보를 본 시스템과 외부시스템 사이의 서버인 위험구간(DMZ)에 저장하는 것을 금지하고 있다. 금융위는 “고객정보에 대한 금융회사 직원들의 접근을 업무별로 통제하고, 고객정보 관리를 강화하면 고객정보의 외부유출 가능성이 감소할 것”이라고 설명했다. 게다가 여신전문금융회사와 은행연합회, 보험협회, 금융투자협회 등도 IT 실태평가 대상에 추가했다. 할부ㆍ리스업체는 그동안 실태 평가 대상에서 제외됐다. 추가된 대상은 IT 실태평가를 경영실태평가에 의무적으로 반영해야 한다.
한편 금융당국의 이번 IT보안대책은 외주 위탁 관리 강화, 민감한 정보의 접근권을 한층 강화했다는 점에서는 의미가 있지만, 예산이나 인력 투입 등에 강제력이 없어 `반쪽 대책’으로 전락했다는 지적도 제기됐다. 일각에서는 금융지주사 등이 법 시행과 관련 강력히 반발하자 금융당국과 규개위가 가이드라인 수위를 대폭 낮췄다는 의혹도 있다.
〈 금융위, IT 실태평가 대상 확대 〉
김의석 기자 eskim@fntimes.com