정부가 핀테크 등 디지털금융 전 분야를 아우르는 금융 종합 보안 대책을 내놓는다.
은행, 증권, 카드, 보험 등 전통 금융사뿐만 아니라 간편결제, 전자금융업자 등 핀테크 사업 분야 전반에 적용할 국내 최초의 '디지털 금융 보안 대책'이다. 업계 의견을 수렴하고 있으며, 이르면 이달 말께 금융위원회에서 종합 대책을 발표한다.
3일 금융 당국과 금융권에 따르면 금융위, 금융보안원이 '금융 종합 보안 대책' 마련에 착수했다.
최고정보보호책임자(CISO)의 위상과 권한을 강화하기 위해 CISO 조직을 은행장 직속 체제로 전환하는 방안을 검토한다. 핀테크 기업도 별도의 CISO를 두고, 직급이 높은 경영진을 선임하는 내용이 포함될 것으로 알려졌다.
또 빅데이터, 클라우드, 간편결제 등 핀테크 기반 사업자가 지켜야 할 '표준 보안 대책'이 나올 것으로 전망된다. 사업 구분 없이 의무적으로 지켜야 할 정보기술(IT) 보안 정책을 수립하고 있는 것으로 알려졌다. 올해 말 시행되는 오픈뱅킹 관련 구체적인 보안 가이드라인도 포함된다.
2013년 정부는 금융전산 보안 강화 종합대책을 발표한 바 있다. 3·20 전산 사태 이후 금융전산 망 분리와 CISO 역할 강화, 금융권 공동 백업전용센터 구축 등을 대안으로 제시했지만 상당수 내용이 지켜지지 않거나 디지털 금융을 반영하지 못한 내용이 많았다.
6년 만에 금융 산업 전반에 걸친 급격한 변화를 반영한 토털 IT 보안 대책을 수립하는 것이다.
금융위 관계자는 “오픈뱅킹 시대에 다양한 디지털금융 사업이 활성화되고 있고 빅데이터, 클라우드, 인공지능 등 금융 산업이 발전하고 있지만 이에 맞는 보안 대책이 미흡했다”면서 “올해 초부터 모든 사업을 아우를 수 있는 보안 대책을 준비하고 있다”고 분위기를 전했다.
금융보안원 고위 관계자도 “CISO 위상을 대폭 강화하는 내용을 검토하고 있다”면서 “금융위와 세부 보안 가이드라인을 협의하고 있다”고 밝혔다.
보안 대책은 원래 오는 10일 정보보호의날에 맞춰 공개될 예정이었지만 업계 간 의견 수렴이 길어지고 핀테크 기업에 적용할 가이드라인을 준비하는데 시간이 소요돼 발표 시기가 연기됐다. 지난주 금융위는 금융권 CISO 모임에 직접 참석, 보안 대책 수립 관련 의견을 수렴하기도 했다.
정보보호의날 서울 광화문 포시즌호텔에서 최종구 금융위원장이 금융사 최고경영자(CEO)와 CISO, CIO를 모두 소집하는 '금융혁신과 정보보호' 행사에서 종합보안 대책에 대한 일부 내용이 공개할 예정이다. 또 이 자리에서는 CISO 권한 강화 의견 등을 수렴할 예정이다. 이날 행사에는 손태승 우리금융지주 회장, 허인 국민은행장을 비롯한 국내 은행장과 증권·카드·보험업계 수장들이 모두 참여한다. 또 금융 보안을 주제로 한 위원장 특별 강연도 마련했다.
시중은행의 한 CISO는 “디지털 금융 사업을 모두 아우르는 종합보안대책을 수립하고 있다”면서 “업권 간 가이드라인에 대한 이견도 나오고 있어 조율하는 데 시간이 다소 걸릴 수 있다”고 분위기를 전했다. 이 CISO는 “핵심 정책에 대한 의견은 금융위에 모두 전달한 상황”이라고 덧붙였다.
업계는 규제 샌드박스 시행과 오픈뱅킹 시행 등 다양한 금융 혁신 서비스가 연이어 출시되고 있는 만큼 이에 걸맞은 보안 대책이 마련될 것으로 기대하고 있다.
한 핀테크기업 대표는 “기존의 대형 금융사뿐만 아니라 관련 협회에서 스타트업 등 목소리까지 담아내야 한다”면서 “작은 기업까지 금융권 전반을 아우를 수 있는 IT 가이드라인이 나오길 기대한다”고 말했다.
길재식 금융산업 전문기자 osolgil@etnews.com, 정영일기자 jung01@etnews.com
