앞으로 금융회사의 정보보호 최고책임자(CISO)의 권한을 확대하고, 전사적 차원에서 금융보안을 준수할 수 있도록 자율보안체계를 구축한다. 자율보안체계를 구축하지 않거나 보안사고가 발생한 경우 사후책임도 강화한다.

금융위원회는 27일 이 같은 내용을 담은 '금융보안 선진화방안'을 발표했다.

금융위 관계자는 "금융회사들이 금융보안을 정보보호 최고책임자(CISO)의 실무적 문제로만 인식하고, 사고발생시 임기응변식으로 대응하고 있다"며 "급변하는 IT환경에서 리스크에 효과적으로 대응할 수 있도록 제도를 개선하고자 한다"고 설명했다.

금융위는 우선 CISO의 권한을 확대하고, 중요 보안사항은 이사회에 보고할 수 있도록 의무화 한다. 현재 미국 뉴욕주 금융사이버 보안규정(23 NYCRR 500)은 CISO가 사이버보안 프로그램과 중요보안리스크를 이사회에 보고토록 하고 있다.

금융회사 전직원이 금융보안을 준수할 수 있도록 자율보안체계도 마련한다. 현재 금융기관은 '전자금융감독규정'에서 제시하고 있는 의무교육시간 충족 등 최소한의 기준만 준수하고 있는 상황이다. 직원들이 스스로 보안리스크를 분석·평가하고 보안방안을 수립할 수있도록 하겠다는 의도다.

아울러 전자금융감독규정 8조부터 37조중 필수사항만 남기고 세부적으로 규율할 사항은 가이드라인, 해설서로 전환한다.

미국 뉴욕주 금융사이버 보안규정(23 NYCRR 500)을 보면, 정보보호의 3요소인 기밀성, 무결성, 가용성을 원칙으로 제시하고, 금융회사가 보안체계를 수립하도록 최소한의 의무만을 부여하고 있다. 금융회사등의 특성에 따라 내부위험평가 등을 통해 보안기술을 자율로 채택할 수 있게 하겠다는 설명이다.

금융회사가 자율보안체계를 구축하지 않거나 보안사고가 발생한 경우 사후책임도 강화한다.

금융위 관계자는 "금융당국의 관리·감독방식을 자율·책임 원칙으로 전환하겠다"며 "금융보완 전문기관을 통해 금융회사 등의 자율보안체계 검증 및 이행 컨설팅 기능을 강화하겠다"고 말했다.