금융당국이 보이스피싱 및 금융권 해킹 사고를 근절하기 위해 근본적인 금융보안 강화 방안 마련에 착수했다. 지난 10월 출범한 보이스피싱 정보공유·분석 인공지능(AI) 플랫폼을 가동하는 동시에 해킹 사고에 대해서는 징벌적 과징금을 도입한다는 방침이다.
김태훈 금융위 금융안전과장은 11일 'AI 시대 금융보안 정책방향'을 주제로 실시한 기조발표에서 최근 이어지고 있는 보이스피싱과 해킹 사고에 대한 금융당국의 정책 추진 방향을 이처럼 밝혔다.
김 과장은 “최근 딥페이크·음성변조 등 AI 기술을 활용한 보이스피싱 범죄수법이 갈수록 지능화·교묘화돼 국민의 재산과 안전을 심각하게 위협하고 있다”면서 “ASAP를 통해 해외 보이스피싱 범죄조직의 국제 사기행각에 적시 대응할 수 있는 것은 물론 조직적인 사기범죄에 대한 차단 효과도 강화할 수 있을 것”이라고 말했다.
보이스피싱을 통한 가상자산 편취 피해를 구제해주기 위한 법 개정도 추진한다. 통신사기피해환급법'에 가상자산거래소도 일반 금융회사처럼 모든 피해구제 절차를 동일하게 이행할 수 있도록 의무를 부여한다. 개정안은 현재 국회에 발의돼 있다.
보이스피싱 무과실 배상책임도 법제화를 이른 시일 내에 추진한다는 계획이다. 금융회사 등 보이스피싱 예방에 책임이 있는 주체가 보이스피싱 피해액의 일부 또는 전부를 배상토록 하기 위해서다.
해킹 사고에 따른 책임도 대폭 강화한다. 김 과장은 “이런 동적인 환경에서는 미리 정해 놓은 체크리스트를 확인하는 것으로 더 이상 보안 사고를 막을 수 없는 상황”이라면서 “앞으로는 금융회사 스스로 상시적으로 꼼꼼하고 철저하게 보안 책임질 수 있는 체계를 만드는데 집중할 계획”이라고 밝혔다.
해킹으로 인한 정보유출에 대해서도 징벌적 과징금을 도입할 계획이다. 김 과장은 “충분히 경각심을 가질 수 있는 수준의 제재가 이뤄질 수 있도록 하겠다”면서 “해킹에 따른 정보유출 시에도 다른 정보유출과 동일한 수준의 징벌적 과제가 주어질 수 있도록 제도를 마련하고 있다”고 강조했다.
정보보호 공시도 도입한다. 정보보호수준 공시를 의무화시켜 소비자가 금융회사의 보안 수준을 직접 비교할 수 있도록 하기 위해서다. 공시 항목은 보안 예산·인력 외에도 금융회사의 보안수준 파악에 도움이 되는 항목을 폭넓게 포함할 수 있도록 한다는 계획이다.
해킹사고에 대한 대표이사에 대한 책임을 보다 명확하게 하는 것은 물론 최고정보보호책임자(CISO)의 권한도 강화하고 있다. 그간 금융권의 보안 거버넌스는 CISO가 역할을 제대로 수행하기 위한 방식으로 짜여지지 않았다는 문제의식에서다. 이를 위해 금융위에서는 CISO의 권한과 독립성, 신분보장 등의 내용을 법령상에 명문화하는 등의 정책을 추진할 계획이다.
김 과장은 “AI가 앞으로 금융 산업을 선도해 나가고 우리나라 발전에 가장 중요한 원동력이 될 것”이라면서 “특히나 정보 보안이 굉장히 중요한 금융산업에서는 AI 중요성이 더 큰 만큼 확신을 갖고 사업을 추진할 계획”이라고 강조했다.
류근일 기자 ryuryu@etnews.com
