정부가 금융회사 정보보안 강화를 위해 전자금융거래법 및 전자금융감독규정 개정을 추진하고 있다.
지난 4월 발생한 농협 전산장애 사고 후속 대책으로 진행되는 것이다. 그러나 금융권에서는 전자금융거래법과 전자금융감독규정 개정안을 놓고 불만의 목소리가 나오고 있다. 개정안 일부 조항에 문제가 있다는 것이다. 일부 개정안은 내용이 모호해 해석조차 내리지 못하고 있다.
금융위원회는 우리나라 금융회사 정보보안 수준을 강화하기 위해 반드시 지켜야 하는 사안이라고 강조한다. 전자신문 CIO BIZ+는 지난 15일 발표된 전자금융거래법 및 전자금융거래법시행령 개정안과 지난달 발표된 전자금융감독규정 전부개정안 주요 내용을 집중 분석한다.
이번에 개정되는 전자금융 관련 법규는 전자금융거래법, 전자금융거래법시행령, 전자금융감독규정 세 가지다.
전자금융거래법 개정은 과거 규정으로 적용되던 사항에 법적 근거를 마련하고자 추진됐다. 시행령은 일부 용어를 개정하기 위해서다.
중요한 것은 전자금융감독규정 개정이다. 이번 전자금융감독규정은 금융회사 정보보호 강화를 위해 과거 감독기준으로 제시됐던 것을 규정으로 명문화해 의무화하는 것이 골자다. 일부 규제사항을 추가해 정보보호를 강화하도록 했다. 금융회사들이 가장 불만을 많이 제기하는 부분도 전자금융감독규정 개정안이다. 전자금융감독규정 개정안은 지난 8일 규제개혁위원회 심사결과 실효성이 없다는 이유로 재심사 결정을 받았다.
금융위원회는 오는 10월 4일 전자금융거래법 개정안을 입법예고하고 11월까지 규제개혁위원회, 법제처 심사를 받을 예정이다. 이후 차관회의와 국무회의를 거쳐 최종 확정된다. 전자금융감독규정 개정안은 규제개혁위원회가 지적한 사항을 수정, 보완한 후 재심사와 금융위원회 내부의결을 거쳐 최종 결정된다.
김인석 고려대학교 정보보호대학원 교수는 “전체적으로 금융회사 정보보호를 강화하기 위해서는 필요한 개정”이라며 “그러나 인력, 예산 등에 대해서는 금융회사가 충분히 준비할 수 있도록 장기적 관점에서 금융회사 규모별로 차등화해 시행해야 한다”고 강조했다.
#전자금융거래법 개정안 21조 4항(신설)
‘대통령령이 정하는 금융회사 등은 전자금융업무 및 그 기반이 되는 정보기술부문에 대한 계획을 매년 수립해 대표자의 확인·서명을 받아 금융위원회에 제출하여야 한다.’
=이 조항의 가장 큰 의미는 두 가지다. 하나는 IT 부문 계획을 제출해야 하는 금융회사가 확대됐다는 점이다. 다른 하나는 대표자 서명을 받도록 해 CEO 책임을 강화했다는 것이다. 기존에 IT 부문 계획을 금융위원회에 제출하는 금융회사는 정보통신기반보호법에 따라 은행, 증권, 공금융사 등 49개에 불과하다. 그러나 이번 전자금융거래법 개정안이 시행되면 은행, 증권, 공금융은 물론이고 보험, 카드, 캐피털, 저축은행 등 모든 금융회사가 IT 부문 계획을 제출해야 한다. 대표자 서명을 받도록 한 것은 CEO가 직접 IT계획을 챙기도록 한 조항이다.
#전자금융거래법 개정안 21조2 1항(신설)
‘금융회사 및 전자금융업자는 전자금융거래의 안정성과 신뢰성을 확보하기 위하여 전자금융기반시설의 취약점을 분석·평가하고 그 결과를 금융위원회에 보고하여야 한다.’
=이 조항 역시 취약점 분석·평가 보고가 정보통신기반보호법에 따라 국가기반시설로 지정되지 않았던 금융회사까지 확대됐다는 의미가 크다. 정보시스템 범위도 늘어났다. 정보통신기반보호법에서 은행은 인터넷뱅킹시스템에만 국한돼 있었다. 이 개정안이 시행되면 금융회사는 모든 금융시스템에 매년 취약점 분석·평가를 진행해야 하며 인터넷뱅킹시스템은 6개월마다 실시해야 한다.
#전자금융거래법 개정안 40조2 1항(신설)
‘금융감독원장은 금융회사 또는 전자금융업자에 대한 검사를 하는 경우 해당 금융회사 또는 전자금융업자에 대한 검사만으로는 검사목적을 달성할 수 없다고 인정하는 때에는 관련 전자보조업자에 대하여 조사를 할 수 있다.’
=이 조항은 금융감독원 감독 범위를 외부 IT업체까지 확대할 수 있도록 한 내용이다. 이 개정안이 시행되면 금융감독원은 금융회사 및 전자금융업자는 물론이고 금융회사와 계약을 맺고 사업을 수행한 IT업체까지 조사할 수 있다. 현재 전자금융거래법에 따르면 전자금융업자는 지불대행(PG)업자와 선불식전자업자를 의미한다.
전자금융보조업자는 밴(VAN)사업자와 금융 IT아웃소싱 사업자, 금융 시스템통합(SI) 사업자 등을 포함한다. 금융IT사업을 수행하는 삼성SDS, LG CNS, SK C&C, 한국IBM 등도 상황에 따라서는 금융감독원 조사를 받게 될 수 있다.
#전자금융감독규정 개정안 제2절 제8조 1항 1
‘정보기술부문 인력은 총 임직원 수의 100분의 5 이상, 정보보호 인력은 정보기술 부문 인력의 100분의 5 이상을 확보할 것.’(별표1.1.가 총 임직원은 정규직과 계약직은 포함하나 외주인력은 제외, 별표1.2.나 정보기술 부문 외주인력은 정규인력 규모 내에서만 인정한다)
=현재 금융권에서 가장 논란이 되고 있는 규정이다. 외주인력을 자체인력 비율만큼만 인정한다는 것이 논란의 핵심이다.
금융회사는 의무적으로 IT인력을 총 임직원 규모에서 5%를 갖춰야 하고, IT인력 5% 중 절반은 자체 인력이어야 한다는 것이다. 이는 IT아웃소싱을 인력 기준으로 50% 이하로 제한하겠다는 것과 같은 의미다. 이 규정이 시행되면 가장 문제가 되는 금융회사는 앞서 IT셰어드서비스센터(SSC) 체계를 갖춘 금융그룹들이다.
우리금융그룹의 우리·경남·광주은행이 대표적이다. 우리은행이 이 규정을 준수하기 위해서는 현 38명의 자체 IT인력을 375명까지 늘려야 한다. 하나금융그룹의 하나대투증권·하나SK카드, 한화그룹의 대한생명·한화손보·한화증권 등도 마찬가지다.
이종림 금융위원회 사무관은 “IT인력 5%, 자체 IT인력 2.5% 확보는 정보보호를 위해 반드시 갖춰야 하는 사항”이라며 “현재로서는 금융그룹 IT계열사 인력은 자체인력으로 인정하지 않고 있다”고 말했다. 정보보호 인력 규정은 세부 기준이 없는 것이 문제다. 이로 인해 금융회사는 정보보호 인력 규정을 충족하기 위해 상당수는 겸직이거나 유사 인력까지 포함시킬 수 있다. 금융위원회는 시행세칙에서 세부적인 기준안을 마련하겠다는 방침이다.
#전자금융감독규정 개정안 제2절 제8조 4항 2
‘금융기관 또는 전자금융업자는 정보보호 예산을 정보기술 부문 예산의 100분의 7 이상이 되도록 하여야 한다.’(별표2.2.나. 정보보호 예산 항목-통신회선이용료 등, 다. 정보보호시스템 분류표-데이터 백업·소산시스템, 재해복구(DR)시스템 등)
=이 규정은 정보보호 예산 항목이 너무 다양하다는 것이다. 금융권 관계자는 “통신회선이용료, DR시스템 구축 비용 등을 정보보호 예산에 포함시키면 7%를 쉽게 채울 수 있다”고 설명했다. 이번 개정으로 정보보호 예산을 기존 5%에서 7%로 상향 조정한다고 하더라도 결국은 5%보다 작은 규모가 된다는 것이다. 기존 규정에는 정보보호 예산 항목이 정해져 있지 않았다. 금융위원회는 DR시스템 구축 비용이 포함됐는지는 실제 감독을 수행하면서 유연하게 대응해 나갈 계획이라고 밝혔다.
#전자금융감독규정 개정안 제5절 제20조 4항
‘정보처리시스템의 안전성과 신뢰성을 확보하기 위하여 분석·설계 단계부터 보안대책을 강구할 것.’
=이 규정은 모든 정보시스템에 기획단계부터 보안을 고려하도록 한다는 점에서 의미가 크다. 기존 금융회사 대부분은 정보시스템을 구축한 후 보안대책을 마련했다. 이번 개정안이 시행되면 이러한 점은 크게 개선될 것으로 기대된다. 그러나 이 규정을 준수하는 기준이 다소 모호하다는 문제점이 있다.
오득용 금융위원회 사무관은 “이 규정을 준수하기 위해서는 프로젝트 초기부터 보안담당자가 참여해야 한다”면서 “이를 통해 모든 정보시스템 구축 프로젝트에 보안대책이 고려되도록 할 것”이라고 말했다. 그러나 몇 명 이상 등 구체적인 기준은 마련하지 않을 계획이다. 일각에서는 보안담당자가 서류상이나 형식적으로만 참여하는 상황도 발생될 수 있다고 우려하고 있다.
#전자금융감독규정 개정안 제5절 제22조
‘금융기관 또는 전자금융업자는 정보처리시스템의 안전성 및 효율성 확보를 위하여 다음 각 호의 사항을 포함한 정보처리시스템 감리 지침을 작성·운영하여 한다.’
=그동안 금융회사들은 감리 제도 도입에 소극적이었다. 일부 금융회사가 대형 IT사업을 추진하면서 프로젝트관리조직(PMO) 제도를 도입하는 정도다. 그러나 이 개정안이 시행되면 정보시스템 구축 프로젝트는 물론이고 평상시에도 정보시스템 감리를 실시해야 한다. 하지만 실제 효과에 대해서는 우려가 많다. 우선 감리인을 반드시 외부인으로 지정하지 않아도 되기 때문이다. 금융회사 내부인이 감리인으로 지정될 경우 독립성이 어느 정도 확보될지는 의문이다. PMO 도입도 감리로 인정한다.
<표>전자금융거래법과 전자금융감독규정 주요 개정 내용
자료:금융위원회
신혜권기자 hkshin@etnews.com
