주메뉴 바로가기 본문 내용 바로가기

eg(전자정부)이 누리집은 대한민국 공식 전자정부 누리집입니다.

[보도자료] 급변하는 IT 환경에 탄력적으로 대응할 수 있도록 금융보안 규제 선진화를 추진하겠습니다.
2022-12-27 조회수 : 34044
담당부서전자금융과 담당자안영비 사무관 연락처02-2100-2975


 

급변하는 IT환경새로운 보안 리스크금융회사 등탄력적으로 대응할 수 있도록 「금융보안규제 선진화 방안」을 마련하고,

 

ㅇ 「제5차 금융규제혁신회의」(12.20일)에서 해당 안건논의하였습니다.

 

< 「금융보안규제 선진화 방안」 주요 내용 >

 

(보안 거버넌스 개선) 금융회사 등전사적 차원에서 보안준수하고, 리스크 기반자율보안체계구축할 수 있도록 규율체계개선

 

(보안규제 정비) 목표·원칙중심, 사후책임 중심으로 규제전환

 

(관리·감독 선진화) 금융보안 전문기관금융회사 등보안체계검증하고 컨설팅할 수 있도록 지원 기능강화

 

 

□ 금융규제혁신회의 논의사항바탕으로, `23년 상반기 중금융보안 규율체계 정비 TF」를 구성하여 보안규제 선진화 로드맵검토예정입니다.

 



1. 추진 배경

 

□ 최근 금융분야에서 클라우드·빅데이터·AI 등 디지털 신기술 활용확대됨에 따라 금융보안중요성증가하고 있습니다.

 

신기술 도입에 따른 보안 취약점을 이용한 랜섬웨어, DDoS 공격*사이버 위협유형다변화하고 있으며,

 

 * DDoS(Distributed Denial of Service) : 다수의 기기를 특정 시스템에 일시적으로 접속시켜 시스템을 마비시키는 공격

 

빅테크금융업 진출, 클라우드 등 아웃소싱 확대 등으로 제3자 리스크*(3rd Party Risk)가 심화되고 있는 상황입니다.

 

 * 非금융부문의 장애발생, 정보유출 등의 사고가 금융 부문으로 전이되는 리스크

 

□ 그러나 現 금융보안 규제급변하는 IT환경보안 리스크효과적으로 대응하기 어렵다의견지속 제기되고 있습니다.

 

ㅇ 이에 따라, 디지털 금융혁신뒷받침하면서 리스크효과적으로 대응할 수 있는 금융보안 규제 선진화 방안마련하였습니다.

 


2. 현황 및 문제점


[1] (금융보안 거버넌스의 문제) 금융회사 등금융보안정보보호최고책임자(CISO) 중심실무적 문제로만 인식하고 있으며, 사고 발생시 임기응변식으로 대응하고 있는 실정입니다.

 

 * 금융보안을 정보보호 부서에만 맡겨놓고, 현업부서나 내부 감사조직 등을 모두 포함하는 전사적 차원의 금융보안 역할 및 책임 부여는 미흡

 

 

금융보안기술적 영역으로 한정함에 따라, 기업의 핵심전략우선순위 등반영종합적보안전략 수립이 어려우며,


자율보안체계 구축을 위한 자체 리스크 평가, 전문인력 육성 등에 대한 투자미흡*하여 보안 리스크 대응한계가 있습니다.

 

 * 임직원 의무 교육시간 충족 등 「전자금융감독규정」상 안전성 확보조치의 최소 기준만 준수하려 할 뿐, 전문 보안인력 양성 등 능동적 보안활동에는 소극적

 

[2] (금융보안 규제의 문제) 現 보안 규제미시적규정 중심이며, 사전통제적 성격이 강하여 제도개선필요성제기되고 있습니다.

 

안전성 확보의무포괄 규정(전금법 §21)하고, 감독규정(§8~37)에서 인력‧시설, 정보기술 등의 세부사항을 열거*

 

 * (예) 경비원이 출입구를 통제 / 휴대용 손전등 비치 / 압력계, 온도계 등을 갖출 것 등

 

➁ 금융회사 등의 사전 의무사항나열하고, 이를 준수했다면 보안 책임면제하고 사고 발생시에도 경미한 과태료임직원 신분제재만을 부과


급변하는 IT환경신속하게 반영하지 못하는 경직적 규정으로 인해 새로운 리스크효과적으로 대응하기 곤란*한 상황입니다.

 

 * (예시) 빅테크 등 전금업자의 규모·영향력이 증가했음에도 불구하고 재해복구센터 설치의무가 면제되어 있고, 전자금융사고의 파급력이 확대됐음에도, 사고시 책임이행을 위한 보험 가입기준은 과거에 머물러 있음(금투업 : 5억원, 저축은행·보험·선불업 : 1억원 등)

 

금번 데이터센터 화재 사로 現 감독규정의 개정 필요성이 제기된 상황

 

보안규정 준수금융회사 등보안 목표인식되어, 수동적인 보안 활동에 머무르는 한계가 있습니다.

 

 * 규정상의 보안 의무만 준수하면 모든 보안 책임을 다하는 것이라는 인식이 만연하고, 감독규정상 보안방법 등을 특정함에 따라 자율적으로 동일 목적을 달성하거나 보안을 강화할 수 있는 他 방법에 대한 가능성을 차단

 

➌ 금융회사 등의 규모, 성격 등에 따른 리스크 경중을 고려하지 않고 평균 수준의 금융회사상정하여 통일된 의무부과함에 따라, 영세전금업자의 경우 규제 준수어려운 실정입니다.

 

 * (예시) 프로그램 등록‧변경시 제3자 검증을 받아야 하는데, 금융회사는 아웃소싱 또는 조직 내 전담팀을 통해 이를 수행하는 반면 소규모 전금업자의 경우 매번 제3자 검증을 받기 곤란



3. 개선방안


 

[ 기본 방향 ]

 

 

 

개선방안 기본 방향


[1] (보안 거버넌스) 금융회사 등전사적 차원에서 금융보안준수하고, 자율보안체계구축할 수 있도록 규율체계를 개선하겠습니다.

 

정보보호최고책임자(CISO)권한확대하고, 중요 보안사항이사회 보고 의무화 등을 통해 금융보안기업핵심가치제고하겠습니다.

 

 * CISO는 리스크 관련 주요 회의에 참석, CEO에게 직접 보고 등(美 FFIEC)

   CISO는 사이버보안 프로그램과 중요 보안리스크를 이사회에 보고(美 「23 NYCRR 500」)

 

금융회사 등보안리스크스스로 분석‧평가하고, 리스크비례하여 보안방안수립할 수 있는 리스크 기반“자율보안체계” 로의 전환추진하겠습니다.

 

 * NIST(美표준기술연구소)는 新금융리스크 대응 방식으로, 기업 스스로 리스크를 식별하고 비즈니스 환경에 맞는 보안 통제를 선택하는 RMF(Risk Management Framework) 방식 제시

 

[2] (보안규제 정비) 목표·원칙중심*, 사후책임 중심으로 규제전환하겠습니다.

 

 * 금융당국은 원칙‧상위기준을 제시, 목표 달성과정은 금융회사 등의 자율적인 판단을 존중


➊ 現 안전성 확보의무(「전금법」§21)를 인력·조직·예산, 내부통제, 시스템 보안, 데이터 보호 등으로 구분하여 금융보안의 주요 원칙과 목표법에 명시하고 세부사항은 폐지하겠습니다.

 

- 이를 위해 「전자금융감독규정」(§8~37) 중 필수사항만을 남기고, 세부적으로 규율사항가이드라인 또는 해설서 등으로 전환하겠습니다.

 

 * (예시) 필요‧최소한의 보안 인력, 예산, 조직 등은 진입요건으로 전환하고, 침해사고 대응, 재해복구, 자율보안체계 구축 등의 필수요소만을 규율, 기술적이고 세세한 보안규정은 가이드라인이나 해설서 등으로 전환


 

< 뉴욕주 금융 사이버보안 규정(23 NYCRR 500) >

 

 

 

 

정보보호의 3요소‘기밀성’, ‘무결성’, ‘가용성’원칙으로 제시하고, 금융회사 등보안체계수립토록 최소한의무만을 부여

 

프로그램 보안, 다중 인증, 암호화 등구체적 수단특정하지 않고 금융회사 등내부 위험평가 등을 통해 보안기술 등자율 채택하도록 규정

 

금융회사 등자율보안체계구축하지 않거나, 보안사고발생경우 그에 따른 사후책임강화하겠습니다.


- 국제기준 등고려하여, 고의‧중과실에 의한 사고 발생과징금 등의 제도 신설검토예정입니다. 

 

[3] (관리감독 선진화) 금융당국의 관리‧감독방식자율·책임 원칙으로 전환하고, 금융보안 전문기관(예: 금융보안원)을 통해 금융회사 등자율보안체계 검증이행 컨설팅 기능을 강화하겠습니다.

 

보안규정 위반여부 감독 중심에서 자율보안체계 수립‧이행 등에 대한 검증 중심*으로 전환하겠습니다.

 

 * 금융회사 등이 업무 성격, 복잡성 등에 비례하여 내부 보안리스크를 평가‧관리하는지, 이를 바탕으로 자율보안체계를 구축하였는지‧적정한지 등을 주기적으로 검증

 

유럽은행감독청(EBA) 내부 거버넌스 가이드라인(Guidelines on internal governance) : 제3자(민간 보안전문기관 등 독립적 감사인)가 금융회사 등의 리스크 관리 체계, 자율보안체계 등을 검증하고, 감독당국은 제3자의 자격과 활동이 적정한지를 관리‧감독

 

금융회사 등보안 거버넌스 구축을 위한 보안성 검토 지원, 기술 공유, 인력 양성 교육지원·컨설팅 기능강화하겠습니다.



4. 향후 계획

 

 

< 금융보안 규제 선진화 로드맵 >

 

 

 

`23년 상반기 중금융보안 규율체계 정비 TF*」를 구성하여 장기적 로드맵에 대한 검토시작하겠습니다.

 

 * 금융감독원, 금융보안원, IT 보안 전문가 등 참여

 

아래에 제시된 방향으로 로드맵검토하되, 구체적인 시행 일정함께 마련예정입니다.

 

□ (1단계) 現 보안규정우선순위, 규제 타당성, 금융회사 등보안역량 등종합적으로 평가하여 규정을 정비 (감독규정 개정사항)

 

 * (예시) 최근 데이터센터 화재 후속조치로서, 일정규모 이상 전금업자 등의 재해복구센터 설치의무 신설 검토, 전자금융사고시 책임이행을 위한 보험금 가입기준을 상향하는 방안 검토 (유럽연합 PSD2의 전문인배상책임보험 최저보상한도 산출기준 등 참고)

 

□ (2단계) 금융보안의 목표‧원칙제시하고, 금융회사 등자율보안체계 구축사후책임 중심으로 규제정비 (법률 개정사항)

 

 * (예시) 금융회사 등의 리스크관리체계 및 보안역량에 따른 표준지침 등을 제시, 제3의 전문기관(금융보안원 등)을 통한 금융회사 등의 자율보안체계 검증 및 지원, 과징금, 손해배상 책임 등 엄격한 사후책임 규제 도입 등

 

□ (3단계) 포지티브 규제체계에서 네거티브 방식으로 전환하여 금융회사 등보안 자율성부여

 

  * (예시) 금융회사 등의 물리적/논리적 망분리의 선택가능성을 부여

첨부파일 (3)첨부파일 열림
221227 (보도자료) 금융보안 규제 선진화 방안.hwp (340 KB) 파일뷰어 파일다운로드
221227 (보도자료) 금융보안 규제 선진화 방안.pdf (498 KB) 파일뷰어 파일다운로드
221227 (보도자료) 금융보안 규제 선진화 방안.hwpx (382 KB) 파일다운로드
콘텐츠 내용에 만족하셨나요?