이찬진 "금융사 보안 사고 재발 시 '무관용 원칙' 제재"

[아이뉴스24 임우섭 기자] 금융감독원이 보안 취약 금융회사를 선별해 상시 감시 체계를 가동한다. 정보기술(IT) 사고 재발 시에는 무관용 원칙으로 제재에 나선다.

이찬진 금감원장은 7일 "사고 개연성이 높은 고위험 금융회사를 선별해 집중적으로 관리하겠다"며 "기본적 의무 미준수 또는 내부통제 미흡으로 IT 사고가 재발하면 무관용 원칙에 따라 엄중한 책임을 묻겠다"고 밝혔다.

금감원은 각 금융사가 취약점 분석·평가·보완 프로세스를 이행하도록 점검한다. 분석 결과에 따라 정기·불시 현장점검을 실시한다.

사고 가능성이 높은 금융사는 별도로 선별해 관리한다. 고위험 금융사에 대해서는 경영진 면담을 통해 취약점 개선을 직접 요구한다. 개선이 미흡하거나 중대 사고가 발생하면 현장점검 및 검사 이후 엄중 제재를 적용한다.

금감원은 지난 2월부터 운영 중인 '금융 보안 통합 관제시스템(FIRST)'을 통해 주요 보안 위협 요인을 금융회사에 실시간으로 전파한다. 각 금융사의 자율 점검 및 시정 조치를 유도한다. 이후 금융회사의 조치 결과를 다시 집계·평가해 감독에 반영할 방침이다.

금감원은 침해사고 및 전산 장애 발생 시 대응 절차를 표준화한다. 중대 사고 발생 시 신속 대응이 가능하도록 '금융권 중대 전자금융 사고 대응 가이드라인'을 마련한다.

또 합동 재해복구 전환 훈련과 블라인드 모의해킹, 버그 바운티 프로그램 등을 확대해 취약점을 사전에 발굴하고 디지털 복원력을 높일 계획이다.

금감원은 전자금융거래법 개정을 통해 최고 경영자(CEO)·최고 정보보호 책임자(CISO)의 보안 책임을 강화한다. 징벌적 과징금과 정보보호 공시 도입 등을 추진한다.

이 원장은 "금융 보안 패러다임 전환을 위해서는 국회와 금융협회의 적극적인 도움이 절실하다"며 "국회에 계류 중인 전자금융거래법 개정안의 조속한 처리를 부탁드린다"고 말했다.