앞으로 금융회사가 거래 인증수단과 공개용 웹서버 관리를 자율적으로 결정할 수 있게 된다. 또 제3자에 대한 정보보호업무 재위탁이 허용되며, 비상주 외주인력과 IT자회사 인력 등도 금융회사 IT인력으로 포함된다.

12일 금융위원회는 지난 9월 내놓은 전자금융거래법 개정의 후속 대책으로 이 같은 내용을 담은 '전자금융 감독규정' 개정안 규정을 변경 예고한다고 밝혔다.

개정 규정은 금융권 사이버 안전대책을 강화하기 위해 마련됐다.

이에 따라 제3자에 대한 정보 보호 업무의 재위탁은 전자금융거래정보의 보호를 저해하지 않는 범위 내에서 일부 허용된다. 재위탁이 가능한 업무는 정보 보호와 관련된 전산장비, 소프트웨어에 대한 개발과 운영, 유지 관리 등이다.

단 금융거래정보는 위탁회사의 데이터센터에 보관하는 것을 원칙으로 하되, 제3의 장소로 이전시 비식별처리 의무화해야 한다.

금융회사 내부통제 강화를 위해선 금융회사별 보안점검의 날을 지정, 정보보호최고책임자(CISO) 책임하에 보안점검을 실시토록 주문했다.

금융회사의 외부주문 통제는 단계별 보안관리방안을 준수토록 강화된다. 또 외부주문 개발업무에 활용되는 업무장소와 전산설비는 내부 업무용과 분리해 설치·운영해야 한다.

만약 전자금융사고가 발생했을 경우에는 금융감독원으로 보고토록 창구를 일원화했다.

정보기술(IT)부문 정보보호 인력 산정기준도 변경돼 비상주 외주인력과 코스콤 등 공동수탁사, IT자회사 인력 등은 금융회사 IT인력에 포함된다.

외국계 금융회사 국내지점 등 망분리 규정 일괄적용이 불가능·불합리한 사례에 대해선 금감원장이 인정하는 경우 예외 허용키로 했다.

이밖에 금융공공기관의 보안성심의 적용은 면제되며, 금융사의 기술 자율성은 더 커진다.

특히 금융사가 일회용 비밀번호 등의 거래 인증수단을 자율적으로 선택할 수 있게 됐다. 또 Active-X를 강제하는 보안프로그램 설치 의무를 삭제해 전자금융거래 안정성 조치를 자율적으로 마련할 수 있게 했다.

한편 금융위는 이 같은 내용의 규정안을 내달 24일까지 규정변경 예고 후 규개위 심사 등을 거쳐 내년 1월까지 감독규정 개정 절차를 마무리할 계획이다.