금융전산 보안 강화…CISO 겸직 금지

이병래 금융위원회 금융서비스국장이 11일 서울 태평로 금융위 본청에서 진행된 브리핑을 통해 ‘금융전산 보안 강화 종합대책’을 설명하고 있다.

아주경제 장기영 기자= 금융당국이 금융전산 보안 컨트롤타워로서의 역할을 강화하기 위해 관련 기관이 참여하는 금융전산보안협의회를 설치한다.

금융위원회와 금융감독원은 11일 이 같은 내용의 ‘금융전산 보안 강화 종합대책’을 발표했다.

국내 전자금융거래는 급격히 증가해 지난 3월 기준 전자금융 이용 비중은 87.7%에 달한다.

그러나 비대면 방식의 전자금융거래 이용 수단이 발달하면서 이용 편의성과 함께 보안 위협도 높아졌다.

금융당국은 3월 20일 농협은행, 신한은행 등의 금융전산 사고를 계기로 이 같은 문제를 해결하기 위한 개선 대책을 마련했다.

기존의 금융권 사이버 위협 대응 체계는 금융결제원, 코스콤, 금융보안연구원 등 금융보안 관련 기관간 역할이 중복돼 비효율적이라는 지적을 받아왔다.

이들 기관은 취약점 점검, 침해사고 대응, 보안교육 등의 역할이 중복될 뿐 아니라 사고원인조사·분석팀과 같은 전문이고 체계적인 위기 대응 조직이 없다.

금융위는 금융권 전산 보안의 효율성을 높이기 위해 관련 기관이 참여하는 금융전산보안협의회를 설치키로 했다.

이 협의회는 관련 기관간 역할을 조정 및 정립하고, 금융정보공유분석센터의 모니터링 대상 기관 확대 및 기능 효율화에 대해 협의한다.

또 금융전산 위기 대응 능력 강화와 금융보안 전담 조직 체계의 효율화 방안에 대해 논의할 예정이다.

전산시스템을 파괴하는 사이버공격과 지진, 테러 등에 의한 전산세터 파괴에 대비해 금융권 공동 백업전용센터도 구축키로 했다.

금융정보가 영구 손실되지 않도록 기존의 제2백업센터 외에 금융정보를 저장 및 보관하는 제3백업센터를 지하 벙커 형태로 설치한다.

이 밖에 금융사 보안 조직 및 인력의 역량을 강화하기 위해 정보보호최고책임자(CISO)의 역할과 독립성을 확대한다.

지금까지는 최고정보관리책임자(CIO)가 CISO를 겸직해 업무의 경계가 모호하고, 이해관계가 상충될 경우 보안 보다는 효율성을 우선시해왔다.

하지만 앞으로는 일정 규모 이상의 금융사는 CIO의 CISO 겸직을 금지하는 CISO 전임제도를 도입한다.

CISO는 전임자의 경우 부당한 인사상 불이익을 금지하고, 책임에 따른 문책 부담을 줄이기 위해 최소한의 임기를 보장한다.

금융위 관계자는 “국가 차원에서 사이버테러 대응 체계를 강화하고 있는 만큼 금융분야도 보안 대응 체계를 강화할 필요가 있다”며 “관련 법령 개정과 가이드라인 마련 시기에 따라 오는 2014년까지 순차적으로 종합대책을 실행할 것”이라고 말했다.