금융감독원이 금융 정보기술(IT) 보안 강화를 위해 도입한 '557 규정'을 완화하기로 해 논란이다. 금융당국은 금융회사 자율로 보안 체계를 마련토록 유도한다는 입장이다.
하지만 여전히 금융회사 대다수는 해킹이나 파밍에도 손해보상책임을 물을 수 없다. 최소한 실효성 확보도 없이 규제 완화에 급급하다는 지적이다.
19일 금융권에 따르면 금융감독원은 금융사 자체 자율보안 체계를 확립하고 금융회사 책임을 강화하는 것을 골자로 한 금융IT 감독 방향을 제시했다.
금감원 고위 관계자는 “이른바 557규정으로 불리는 IT부문 인력·예산 규제를 완화할 계획”이라며 “금융회사 스스로 IT보안에 대한 올바른 지배구조와 문화를 구축하도록 지도할 것”이라고 밝혔다.
557규정은 전체 인력 5%는 IT인력, IT인력 5%는 정보보호 인력, 전체 IT 예산 가운데 7%는 정보보호 예산으로 배정하라는 규정이다. 2011년 4월 농협 전산망 마비 사태 이후 도입됐다.
이 규정에 따라 은행 등 대형 금융회사는 정보보안 수준을 끌어올렸지만 대부분 회사는 기준을 충족하지 못했다. 투자자문사, 자산운용사 등 소규모 업체가 많은 금융투자업계는 대부분 이 기준을 지키지 못했다. 실제 규정 시행 직후인 2012년 말 기준을 지키지 못한 금융투자회사는 57개에 달했다. 제도 도입 5년이 지난 지금도 개선되지 않고 있다.
금감원이 IT감독 방침에 금융권 보안담당자들은 우려가 크다. 557제도로 어렵게 확보한 예산 조차 줄어들 수 있기 때문이다. 한 증권사 정보보호최고책임자(CISO)는 “최근 핀테크 도입 IT에 관심이 커지면서 전체 IT 예산이 늘고 있지만 정작 보안 분야에 관심은 줄었다”면서 “557규제가 단순 권고 규정이지만, 이마저도 없다면 금융보안에 대한 최소 기준마저 없어진다”고 우려했다.
금감원은 이런 우려를 감안해 금융권 면책사유 조항 점검에 나선다. 하지만 실효성은 의문이다. 공정거래위원회는 1월 '전자금융거래 표준약관'을 개정해 은행 측 면책사유 조항을 삭제했다. 개정 표준약관에 따르면 해킹이나 스미싱, 파밍 등 각종 전자상거래 피해는 은행이 손해배상 책임을 부담해야 한다. 하지만 보험, 금융투자업계 등 2금융권은 책임에서 벗어나 있다. 개정 표준약관은 은행권만 적용된다. 2금융권을 대상으로 한 표준약관은 아직 마련되지 않았다.
공정위 관계자는 “표준약관은 이런 약관이 공정하다 정도 의미인 만큼 강제할 것은 아니다”라며 “은행 표준약관과 비교해 불공정 거래 소지가 있을 때는 시정조치 또는 시정명령을 내릴 수 있겠지만, 불공정 여부에 대한 약관 심사 등 절차가 필요하다”고 설명했다.
보안 업계는 자율보안 규제 체제로 전환하기 위해서는 금융소비자를 보호하는 장치를 우선 마련해야 한다고 지적한다. 김인석 고려대 정보보호대학원 교수는 “557규정을 없애고 자율 보안 체계로 가기 위해 사고 발생 시 처벌과 피해보상 확대 등 책임 문제가 강화돼야 한다”면서 “금융사가 정보보호에 투자를 이어가도록 보완 장치를 마련할 필요가 있다”고 말했다.
유근일기자 ryuryu@etnews.com
