금융회사 해킹시 고객피해보상 의무화

(아주경제 방영덕 기자) 금융회사에 해킹사고가 발생할 경우 고객 피해보상이 의무화된다.
　
금융위원회는 23일 이같은 내용을 골자로 한 '금융회사 정보기술(IT) 보안강화 종합 대책 마련'을 발표했다.
　
금융위는 최근 발생한 현대캐피탈과 농협 해킹 사태를 계기로 사후 책임을 강화하고, 금융회사의 IT보안 조직의 역량 강화하는 방안을 검토해왔다.
　
이에 따라 금융위는 우선 해킹사고시 금융회사가 손해배상 책임을 질 수 있도록 전자금융거래법 개정을 추진키로 했다.
　
현행 법에는 전자적 전송·처리과정에서 발생한 사고에 대해선 금융회사의 손해배상 책임이 명문화돼 있지만, 해킹사고에 대해선 책임 여부가 불명확하다.
　
따라서 해킹시 고객피해보상이 명문화될 경우 소비자보호뿐 아니라 IT보안에 대한 금융회사의 인식 전환에도 도움이 될 전망이다.
　
금융위는 또 IT 보안사고가 발생한 금융회사에 대한 제재 수준도 대폭 상향했다.
　
특히 IT보안사고에 대해 위반 행위자와 최고경영자(CEO)를 포함한 감독자 등 대상별 제재 기준이 별도로 마련돼 엄중 제재가 이뤄질 것으로 보인다.
　
금융위 관계자는 “그동안에는 CEO 등 경영진은 감독자 감경조항 등에 따라 보안사고에 있어 경미하게 조치하는 경향이 있었다”며 “하지만 앞으로는 대상별 제재 기준을 마련해 각자의 책임별로 엄중 제재할 계획이다”고 설명했다.
　
이와함께 금융위는 할부ㆍ리스업 등 여신전문금융회사와 금융관련협회를 금융감독원의 IT부문 실태평가에 추가키로 했다.
　
아울러 IT보안에 대한 금융회사의 관심 제고를 위해 CEO가 직접 연간 IT보안계획을 승인하도록 책임을 부여하고, 임원성과 평과와도 연계토록 유도할 방침이다.
　
앞으로는 그 동안 유명무실했던 정보보호최고책임자(CISO)를 의무적으로 둬야 한다.
　
금융위는 또 IT 보안예산비율을 감독규정에 명시하고, 준수여부를 경영실태평가에 반영키로 했다.
　
현재 금융감독원이 IT 보안예산 비율을 5% 이상 유지하도록 권고하고 있지만 준수의무가 없어 이를 개선한 것이다.
　
IT 보안을 위한 내부통제 제도도 개선된다.
　
금융회사의 인터넷망과 업무망의 분리를 단계적으로 유도하고, 시스템운영실에선 전용단말기 사용만을 허용하는 등 시스템 접속통제와 계정관리도 강화할 계획이다.
　
이와 함께 금융회사가 IT업무에 대한 외주계약시 금융회사가 자체 IT보안전담조직을 통해 외주업체 보안관리를 철저히 수행토록하고, 외부위탁시에는 IT 개발과 운영에 대해 내ㆍ외부 감리를 실시토록 유도할 방침이다.