이 누리집은 대한민국 공식 전자정부 누리집입니다.
여러분 반갑습니다.
금융위원회 기획조정관 정지원입니다.
오늘은 금융회사 IT보안 강화 종합대책에 대해서 설명 드리도록 하겠습니다.
먼저 첫 번째 추진배경입니다.
인터넷뱅킹 등 비대면 금융거래의 비중이 급격하게 증가하는 상황에서 여러분도 아시다시피 최근에 현대캐피탈 사건이나 농협 사건 등 우리 금융회사 IT보안 전반에 대한 종합대책의 필요성을 제기한 바 있고, 아울러 향후 우리나라가 금융허브를 추구하는 데에 있어서는 **우위가 있는 IT 강점을 적극 활용하고, 이와 함께 금융거래 안전성 강화대책도 요구되고 있습니다.
이에 따라 지난 4월 19일 민간합동으로 금융회사 IT보안 강화 T/F를 구성한 이후, 서면점검, 현장점검, 제도개선작업을 병행한 바 있습니다.
점검결과를 토대로 마련된 개선방안에 대해서는 수차례 민간 IT보안 전문가와 금융회사 IT임직원과의 의견수렴을 실시한 바 있습니다.
2페이지입니다.
금번 종합대책의 주요 내용에 대해서 설명 드리도록 하겠습니다.
먼저 이번 대책의 기본방향은 사고발생에 따른 일시적 대응체계 아닌 근원적인 IT보안 강화대책이 될 수 있도록 경영진의 인식전환과 IT보안조직의 실질적 역량강화에 중점을 두고 추진할 예정입니다.
우선 IT보안 CEO의 책임부여, 정보보호최고책임자(CISO) 지정 의무화 등을 통해서 책임관리시스템을 구축하고, 사고 시에는 제재수준을 강화하는 한편, IT보안 인프라 개선 및 IT 통제강화 등 기술적 보안관리 강화를 통해 해킹 등 침해사고 발생 가능성을 최소화하는 한편, 그럼에도 불구하고 발생하는 여러 가지 불가피한 침해사고에 대해서는 신속한 위기대응 및 재해복구체계 구축으로 피해확산을 최소화하도록 하겠습니다.
항목별로 보다 구체적으로 설명 드리도록 하겠습니다.
첫 번째, IT보안 투자 및 조직역량강화 내용입니다.
먼저 IT보안에 대한 CEO의 역할제고와 책임을 부여하도록 하겠습니다. 현재 IT보안에 대한 CEO 등의 저조한 관심도가 보안사고의 주요 원인 중 하나로 지적되고 있습니다.
최근 한 보안연구기관에서의 설명조사에 대해서도 가장 문제가 임직원의 인식결여 등 **문제를 지적하였고, 그에 대한 해결방안도 경영진의 관심제고라고 답변한 바 있습니다.
이를 위해 CEO가 연간 IT보안계획을 직접 승인하고, 그 이행여부를 확인토록 하며, 임원성과평가와도 연계하도록 유도토록 하겠습니다.
3페이지입니다.
두 번째 정보보호최고책임자(CISO) 지정을 의무화하겠습니다.
현재 상당수 금융회사는 정보최고책임자가 정보보호책임자를 겸직하거나 CISO를 지정하지 않고 있는 실정입니다. 이에 따라 일정 규모 이상의 금융회사의 경우에는 CISO 지정을 의무화하고, CISO 업무범위, 자격요건, 책임, 권한 등을 전자금융거래법을 개정해서 명시토록 하겠습니다.
또한, IT보안업무와 관련된 정보교류, 주요 정책방향 협의 등을 위해서 CISO 협의체를 운영토록 하겠습니다.
다음으로 IT보안인력과 IT보안투자확대 관련되는 사항입니다.
현재는 여러분도 아시다시피 IT보안업무 전담부서를 별도로 운영하는 금융회사가 적고, 보안전담 인력과 예산도 부족한 실정입니다. 금융감독원이 IT보안예산을 5% 이상 유지토록 권고한 바 있지만, 준수의무가 없어 제대로 지켜지지 않는 실정입니다.
이에 따라 IT보안인력 및 IT예산비율을 감독규정으로 일정 수준 이상 유정토록 의무화하고, 그 준수여부를 경영실태평가에 반영토록 함으로써 실질적 투자와 인력확충으로 연결되도록 하겠습니다.
4페이지입니다.
구체적인 비율은 총자산규모나 직원 수, 전자금융거래 규모 등을 감안해서 단계적으로 높여나갈 예정입니다. 다만, 권역별, 회사별 특성을 감안하여 규제준수가 어려운 합리적인 이유가 있다고 판단되는 경우에는 그 사유를 소명토록 하여 탄력적으로 운영토록 하겠습니다.
두 번째 IT업무 감독검사강화와 제도개선 사항입니다.
먼저 금융회사 IT보안 사고에 대한 제재수준 강화 내용입니다.
현행 전자금융감독법상으로도 법령위반 시에는 시정명령, 임직원 문책, 임원해임 등이 가능하지만, 그간 감독자의 경우에는 1, 3단계 감경할 수 있는 감경조항에 따라서 경미하게 조치하는 경향이 많았습니다. 따라서 경영진의 불이익이 크지 않아서 IT보안업무에 대한 경각심이나 관심도 제고가 부족한 실정이었습니다.
그래서 앞으로는 관련규정 개정을 통해서 위반행위자, 감독자, 경영자를 포함한 감독자와 금융회사 등 대상별 제재규준을 별도로 마련하여 각자의 책임별로 엄중 제재, 조치를 시행토록 하겠습니다. 아울러 공익침해의 정도가 심화된 경우에는 해당 회사의 업무정지 등이 가능하도록 근거를 신설토록 하겠습니다.
5페이지입니다.
현행 IT부문 실태평가 대상은 120개사 정도가 되고 있는데, 여신전문금융회사 등 일부 금융회사가 제외되고 있습니다. 따라서 이번에는 할부·리스업을 영위하는 여신전문금융회사, 관련협회 등을 IT부문 평가대상에 포함토록 하겠습니다. 그리고 7대 평가결과를 경영실태평가에 의무적으로 반영토록 추진토록 하겠습니다.
세 번째로 침해행위 처벌 및 보고 체계에 관한 내용입니다.
현행 전자금융거래법은 해커 등 침해자 처벌근거가 없는 실정입니다. 그래서 앞으로는 침해행위 금지조항과 처벌조항을 신설하고, 사고보고 범위 및 절차 등에 대해서 관련법령에서 명확하게 규정토록 하겠습니다.
6페이지입니다.
전자금융사고에 대한 고객 피해보상을 확대토록 하겠습니다.
현재 금융회사 등은 전자적 전송처리 과정에서 손해배상 책임을 지고 있지만, 해킹사고 등에 대해서는 책임이 불명한 실정입니다. 따라서 관련법령 개정을 통해서 손해배상 책임을 해킹사고에 대해서 금융회사가 지도록 하고, 필요시 보상한도도 상향조정을 검토토록 하겠습니다.
다음으로 IT보안기술 인프라 및 내부통제 개선입니다.
해킹피해 최소화를 위한 시스템 개선을 유도토록 하겠습니다.
일부 보안회사의 경우에는 우리가 실태점검을 한 결과, 취약한 위험구간과 내부망을 구분하지 않은 채 전산망을 구성하고 있었고, 외부공개형 웹 서버에 고객 비밀번호를 암호화하지 않은 채 저장하였습니다.
따라서 앞으로는 안전한 내부망 구간에만 DB를 설치, 운영토록 하고 고객 비밀번호 암호화 등 고객정보를 강화토록 하겠습니다.
또한, 인터넷망과 업무망의 분리를 상당수 회사가 안하고 있는데, 단계적으로 유도토록 하고, 무선망 사용에 대한 보안조치 및 점검을 강화토록 하겠습니다.
또한, 노트북, 휴대용 저장매체 보안통제·강화를 위해서 시스템 운영실에서는 원칙적으로 전용단말기 사용만을 허용하는 등 시스템 접속통제를 강화하고, 무선망 접속을 차단토록 하겠습니다.
또한, 시스템 개정관리 강화를 위해서 사용자 식별이 가능하도록 접근권한을 부여하고, 패스워드 변경 등 보안수칙 준수여부 등을 자체점검을 강화토록 하겠습니다.
8페이지입니다.
일부 금융회사의 경우에는 정보시스템 취약점 점검을 실시하지 않거나 형식적으로 실시하고 있는 실정입니다. 따라서 민간 보안전문업체를 활용해서 매년 취약점을 자체 점검토록 하고, 금융위·금감원 합동 점검하는 이행***을 불시에 점검토록 하겠습니다.
네 번째로 농협이나 현대캐피탈 사고에서도 나타났듯이 아웃소싱 관련한 지도개선 사항입니다.
외주업체 및 외주인력 강화를 위해서 외주계약 시에 보안 대책을 준수하고, 재위탁을 금지하고 손해배상 책임을 지는 등 계약서상 보안책임 관련내용이 지금 불명하게 운영되고 있어서 앞으로는 이러한 표준계약서 마련 등을 통해서 보안사고 발생시에 책임관계를 보다 명확히 하도록 하겠습니다.
9페이지입니다.
위탁업무의 적정성 관리 강화를 위해서 내부 위탁에 관한 의사결정 시에는 CISO 참여를 의무화하고, 위탁업무의 적정성에 대한 업무분석과 자체 보안성 검토 실시를 의무화토록 하겠습니다.
다섯 번째, IT사고 대응 및 재해복구 체계 관련되는 내용입니다.
현재 은행과 증권, 국회 경우에는 금융아이삭(ISAC)이라고 하는 아이삭 대상 금융회사가 포함되어 있지만, 중소금융회사는 여기에 포함되지 않습니다.
그래서 앞으로는 금융 아이삭 참가대상을 현행 비증권 중소금융회사로 확대토록 추진토록 하겠습니다.
또한, 해킹유형 및 사고 정도에 대한 실시간 공유 등을 위해서 금융회사 IT보안 지식공유센터 운영을 추진할 예정입니다.
10페이지입니다.
또한, 불가피하게 나타나는 해킹 등의 외부 사고에 대해서는 현행 금융분야 사이버테러 대응훈련을 실제 복구 중심으로 실질적 재해복구 훈련으로 강화토록 하겠습니다.
세 번째, 기대효과가 되겠습니다.
이번 대책을 통해서 금융회사 최고 경영자의 IT보안에 대한 책임강화와 관심도 제고를 통해 IT보안 수준의 전반적인 향상을 도모하는 한편, IT보안인력 및 예산 확충을 통해서 금융회사 IT보안 역량의 내실화가 기대됩니다.
또한, IT보안 인프라 개선과 내부통제 강화를 통해서 침해사고 발생 가능성을 최소화하는 것이 기대됩니다.
11페이지입니다.
향후 추진일정입니다.
전산사고 예방에 필요한 최소한의 IT보안업무 처리절차는 금융회사 IT보안업무 모범기준을 8월 중으로 마련해서 시행하고, 제도개선과 관련되는 사항에 대해서는 우선 전자금융 감독기준 및 시행세칙 개정을 통해서 즉시 개정에 착수하여 조속하게 시행하는 한편, 법령개정의 사항에 대해서도 최대한 신속하게 추진토록 하겠습니다.
향후 우리가 T/F 후속자격 진행 동안에 금융위 내에 헬프데스크를 설치해서 이러한 금융업계나 IT업계의 건의사항을 지속적으로 반영토록 하겠습니다.
이상 관련 설명을 드렸습니다.
[질문 답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 처리했으니 양해 바랍니다.
<질문> 전자금융거래법명 개정도 최대한 신속하게 추진한다고 하셨고, 내용을 보면 굳이 법개정이 필요하지 않은 부분도 있는 것 같은데 언제쯤 이것들이 시행됩니까?
<답변> 우리가 법령개정 할 때는 어느 정도 시간이 걸리기 때문에 필요한 부분은 맨 마지막 11페이지에 설명 드렸다시피 IT보안업무 모범기준으로 일단 하고, 가급적이면 3/4분기 내로 전자금융감독규정과 시행세칙은 개정토록 해서 이 사항에 반영할 수 있는 사항을 조속히 반영토록 하겠습니다.
<질문> 3페이지 보면, 보안인력 및 보안투자 확대에 대해서 단계적으로 높여갈 계획이라고 말씀하셨는데, 이것이 약간 구체적으로, 대략적으로 전에 금감원이 제시한 5%를 유지하실 것이라든지 좀 대략적인 비율을 어느 정도 생각하고 계신지 궁금합니다.
그 다음에 두 번째는 이런 해커들의 활동을 잡으려면 금감원, 금융위 내에서도 IT전문가들이 많이 필요할 것 같은데, 지금 확보하고 계신 민간업체나 다른 업체들의 IT능력은 어느 정도인지 이것을 객관적으로 알 수 있는 근거가 있는지 궁금합니다.
<답변> 먼저, 아까 IT보안투자 부분의 근거비율이 지금 현재 5% 되어 있는데, 아무것도 안 한 것을 발표할 수 있느냐는 그 문제는 우리가 고민을 많이 했는데요.
일단 우리가 규정으로는 여러 가지 의견수렴 절차를 거쳐서 규정으로는 일정 비율을 로드맵에 따라서 단계적으로 상향조정 할 수 있도록 하고, 그 다음에 우리가 이런 목표비율을 고정하면 여러 가지 문제가 생길 수 있기 때문에 우리가 ***말을 했다시피 일단 그 준수를 하고, 만약 못 지키는 불가피한 사유가 있을 때는 소명을 하도록 되어 있습니다.
왜냐면 IT투자를, 대규모 시스템 설비를 만약 어떤 해에 교체했다고 하면, 그 교체하고 분모가 상당히 커지지 않습니까? 그런데 예를 들어 5%를 준수하라고 하면 지키기가 쉽지 않거든요.
그래서 우리가 일단 감독규정으로는 지금 아직 결정은 안 됐지만 비율을 설정하려고 하고 있고요. 그런데 그것을 단계적으로 높이려고 하고 있고, 그 다음에 회사별로 특성이 있기 때문에 그것을 못 지키는 합리적인 사유가 있으면 소명하면 반영토록 그렇게 추진하려고 하고 있습니다.
<질문> ***
<답변> 우리가 그 비율은 제가 말씀드리기가 좀 어렵습니다.
<질문> ***
<답변> 금융위 내에 말씀하시는 것입니까? 우리가 금감원의 경우에는 금년에 조직개편을 통해서 IT감독국으로 승격을 시켰고, 필요한 부분은 다른 전문 인력을 외부에서 충원하더라도 할 것으로 생각하고 있고, 우리 금융위 차원에서도 전담과가 없습니다. 그래서 관계부처에 전담과 신설을 요청해놓고 있는 실정입니다.
<질문> 지금 보면, CEO의 책임을 강화하겠다고 밝히셨는데, 지금 현재 현대캐피탈 같은 경우에는 CEO 책임문제가 논란이 되고 있는 것 같습니다.
물론, 제재심의위원회에서 결과 나와 봐야 알겠지만, 이미 지금 현대캐피탈에 대해서는 조사도 끝난 상태이시고, 그 다음에 책임을 강화하시겠다고 하셨으니까 지금 경징계 정도 얘기가 나오는 것 같은데, 혹시 지금 내부적으로 판단하시기에 어느 정도 징계수위를 예상하고 계시는지 말씀 좀 해주십시오.
<답변> 잘 아시다시피 우리가 여기서 내부 검토 중인 사항을 발표할 수는 없고, 우리가 지금 제도개선 사항을 한 것은 앞으로 사항에 대해서는 그동안 여러 가지 우리 감독 제재규정 시행세칙이나 이런 데에서 보조자나 감독자에 대해서는 어느 정도 감경할 수 있는 조항이 있었기 때문에 앞으로는 우리가 했다시피 그 침해 정도나 여러 가지 사항을 감안해서 최고 경영진한테도 인사상 불이익이 확실히 갈 수 있도록 큰 제도적인 뒷받침을 하도록 하겠습니다.
<질문> 지금 현재도 개선되는 방향으로 적용을 하시겠다는 것입니까?
<답변> 시행세칙을 개정해야 되는 사항이기 때문에 그것은 우리가 지금 답변 드리기 곤란합니다.
<질문> ***
<답변> 일단 시행세칙이 개정되지 않았고, 일어난 것이 그 전이었기 때문에 소급적용은 좀 곤란하지 않을까 그렇게 생각하고 있습니다.
<질문> ***
<답변> 예.
<질문> 지금 현재 시행세칙에 관련 근거가 없는 것 아닙니까? 그러니까 근거가 없다기보다는 정확하게, 모호하게 처리되어 있는 것이잖아요. 현대캐피탈 처리 수준에 대해서.
예컨대, 중징계를 하지 못하도록 하는 근거는 없지 않습니까? 그렇지 않습니까? 근거 자체가 시행세칙보면 굉장히 모호하게 되어 있잖아요? 지금 말씀을 들어보면, 소급적용하지 않는다는 의미는 어떻게 해석되느냐면, 경징계로 간다는 이야기로 들리거든요?
<답변> 그것은 제가 분명히 말씀드리지만 감독원에서 내부검토 중인 사항이고, 제가 그 내용에 대해서 자세히 알지는 못하고 있습니다.
<질문> 어쨌든 간에 CEO에 대한 책임을 강화하시겠다고 했고, 지금까지는 CEO의 책임을 면할 수 있는 여러 가지 조치들이 있었는데, 이런 것들 없애겠다고 말씀하셨잖아요.
그러면 지금 현재 걸려있는 사안이 있기 때문에, 이 사안에 대해서는 어떻게 처리를 하실 것인지, 새롭게 적용되는 기준으로 가실 것인지, 아니면 아까 얼핏 말씀하신 것처럼 이미 만들기 전의 사안이기 때문에 그냥 소급적용하지 않고 기존에 예전의 기준대로 적용하실 것인지, 그것만 말씀을 정확하게 해주십시오.
<답변> 담당과장님이 답변해 드리겠습니다.
<답변> (은행과장) 은행과장입니다.
지금 발표 드린 것은 앞으로의 제도개선을 말씀드린 것이고요. 그래서 이미 벌어진 사안에 대해서는 벌어진 사항 당시의 법령과 규정에 따라서 처리되는 것이 타당하다고 생각하고 있습니다.
<질문> 대책을 보니까 앞으로 문제로 지적된 것에 대해서 이렇게 보신다, 저렇게 보신다, 구체적인 내용이 나왔는데요. 중요한 것이 하나 빠진 것 같습니다. 최근에 금융전산망 사고에서 드러나는 것은 무엇이냐면, 고객정보 자체가 암호화 되어있지 않은 것에서 문제가 굉장히 커지고, 확산이 되었거든요.
고객정보 자체를 암호화 하도록 유도하거나, 독려하거나 아니면 명확히 규정화 한다는 내용이 아무데도 없는데요. 그냥 ‘암호화되지 않은 고객정보를 관리만 잘하라’, 이런 틀에서 대책이 짜인 것 아닙니까?
<답변> 7페이지에 보시면, 안전한 내부망 구간에만 DB를 설치 운영토록 하고, 고객비밀정보 암호화 등 고객정보 강화를 관리토록...
<질문> 여기에 나와 있는 것이 고객 비밀번호 하나만 명시가 되어있기 때문에, 제가 여쭙는 것인데요. 현재 백화점이나 다른 고객정보를 다루는 기업에 대해서도 개인정보보호법에 의해서 8개 항목에 필수개인정보에 대해서는 의무적으로 암호화를 하도록 되어 있습니다.
그런데 이렇게 큰 사고가 난 다음에 나온 대책이라는 것이 고객정보가 다른 어느 업종보다도 중요한 금융업종에서 고객정보 자체 암호화에 대한 내용이 없다는 것이 사실적으로 이해가 잘 안됩니다.
<답변> 그 내용은 담당하는 분한테 해서 별도로 설명 드리겠습니다.
<질문> 공개적으로 전체 기자들한테 그 부분을 다시 한 번 설명해 주셨으면 합니다.
<답변> 예, 그렇게 하겠습니다.
<질문> 6페이지에 보면, 전자금융사고에 대해서 고객피해보상을 확대하겠다고 하셨잖아요? 그런데 그것이 해킹사고 시에는 책임여부가 불분명하다고만 적어놓고, 그래서 앞으로 필요시 보상한도를 상향조정하고, 금융회사 등이 손해배상 책임을 질 수 있도록 하겠다고는 했는데, 이것이 너무나 불분명 한 것 같습니다.
그래서 하겠다는 취지는 이해가 가지만, 그로 인해서 고객들이 그러면 어느 정도나 보상을 받을 수 있다는 것인지, 구체적으로 최근에 있었던 것이 현대캐피탈도 그렇고, 농협도 그렇고 각각 해킹이라고 주장을 하는데, 앞으로도 이런 일들이 계속 생길 것 같거든요? 그러면 현대캐피탈이나 농협에 대해서는 어떻게 되는 것입니까?
<답변> 지금 전자금융거래법 개정안이 국회에 계류 중에 있는데요. 현재에 있는 전자금융거래법의 경우에는 해킹사고 시에 책임여부가 금융기관에 책임을 지는지 여부가 불분명했기 때문에, 지금 국회에 있는 전자금융거래법 개정안의 경우에는 해킹사고에도 원칙적으로 금융회사가 책임을 질 수 있도록 하는 조항이 국회에 계류 중이고요.
현재 전자금융거래법하고 감독규정에 보면, 이러한 해킹 말고 여러 가지 전자적 전송이나 처리과정에서 여러 가지 문제가 발생할 경우에는 보험이나 공제를 은행들이 가입하도록 하고 있습니다. 은행보험이나 전자금융업자들이.
그래서 현재 은행의 경우에는 최소한 20억 원 이상, 증권회사는 5억 원, 전자금융업자의 경우에는 1억 원으로 되어 있는데, 이런 부분도 필요한 경우에는 전자금융감독규정을 통해서 상향조정도 하겠다는 것입니다.
<질문> 지난번 40개사 대상으로 해서 조사하신 것 결과가 문제점이 있는 것으로 파악하신 것이 있으셨는지 하고, 작년에 증권사 HTS 보안강화에 대해서 일제 점검을 하시겠다고 했었는데, 그것이 실제로 이루어졌었던 것인지 아니면 일부에 대해서만 있었던 것인지 알고 싶습니다.
<답변> 첫 번째 질문은 제가 답변하고, 두 번째는 감독원이 답변하도록 하겠습니다.
우리가 40여개를 현장점검을 했는데요. 나왔다시피 우리가 첫째는 여러 가지 CEO에 대한 관심도가 미미하다는 것이고, 기본적인 보안수칙을 지키지 않는 경우도 많았다, 그리고 우리가 전반적으로 IT전문가들하고 받아 보니까, 1금융권 중심으로 물리적 보안이 상당히 잘 지키고 있는 편인데, 관리적 보안이라든지 이런 것이 미비하다는 지적이 많았습니다.
그래서 농협 같은 경우나 현대캐피탈 같은 경우에서도 지적됐다시피, 아직 기본적인 보안수칙도 안 지켜지는 상당수 경우도 있었다, 무엇보다 CEO나 이런 데에 관심도가 낮았다, 그 정도로 말씀드리겠습니다.
<답변> (금융감독원 최한묵 IT감독국장) 아까 말씀하신 HTS 관련해서 취약점이 있다고 해서, 작년 2010년 5월부터 시작해서 우리들이 안전성 제고 마련 차원에서 전부 다 점검을 했습니다.
미비한 점은 금년 6월 말까지 하도록 되어 있는데, 작년에 %가 70% 정도는 준수가 됐고, 미비한 부분은 지금 6월 말까지 하고 있는데, 지금 거의 다 들어와 있는 상태라서 혹시 미흡한 부분은, 아까 말씀하신 보안 TF에서 전체적으로 점검한 부분을 같이 해서, 미흡한 부분이 있으면 하반기에 별도의 특별검사를 계획해서 다시 한 번 추진할 예정입니다.
<질문> ***
<답변> (관계자) NH투자증권은 내일까지 검사할 계획이 되어 있고, 일주일간 하고 있습니다. 17일에 평가가 나서, 17일 당일 점검 나가서 그 다음부터 검사로 전환을 해서 내일까지 검사계획이 되어 있습니다.
<질문> 결국에는 조사에 보신 결과, CEO들의 보안의식이 그동안 적었다고 문제판단 하신 것 같은데, 보다 구체적으로 CEO들이 어떻게 책임을 지고, 어떻게 개선해 나가도록 금융당국에서도 어떻게 관리하실 것인지, 후속적으로 어떻게 그런 부분들을 관리하실 것인지, 어떻게 조금 더 구체적으로 듣고 싶은데요.
<답변> CEO에 대한 관심도 제고를 위해서, 첫째 2페이지에 있다시피 CEO가 IT 보안계획을 직접 승인하도록 하고, 그 이행여부를 확인토록 할 예정입니다.
임원성과평가하고도 연계되도록 하고, CEO에 대해서는 우리가 IT보안교육도 정기적으로 받도록 하고, 무엇보다도 CEO들이 자체적으로 관심을 가지고 그 부분에 대한 전문가가 되어야 하기 때문에, 이번에 만약 CEO에 대한 제재강화나 이러면 자연스럽게 그렇게 연결될 수 있지 않을까 생각하고 있습니다.
<질문> 증권사에서 HTS라든지 이런 문제 때문에 요즘 많이 터지긴 하는데, 우리가 찾아보니까 IDS(Intrusion Detection System) 나 IPS(Intrusion Prevention System)나 안티** 이런 식으로의 보안장비들이 증권사에서 제대로 갖추지 않고 있거나, 혹은 HTS를 코스콤에 넘겨서 관리를 한다는 이유로 그런 장비 도입을 하지 않은 업체들이 꽤 많은 것으로 알고 있는데, 실제 여기에 있는 대책들을 보면 금융권에서 이번에 터졌던 그런 문제들을 제외하고, 증권사에서 계속적으로 문제제기가 될 수 있는 보안문제라든지 이런 내용들은 나와 있지 않은 것 같습니다.
장비에 대한 어느 정도까지 도입을 강제할 것이냐, 아니면 규제할 것인가, 이런 내용들은 나오지 않은 것 같은 생각이 드는데요. 이 부분에 대해서 얘기를 듣고 싶습니다.
<답변> 장비를 어떻게 하느냐는 나중에 감독원에서 답변을 하고, 일단 우리는 자체적으로 그런 보안을 강화토록 해야 하고, 우리가 HTS나 이런 경우에 여러 가지 문제가 많다면, 여러 가지 취약점 분석을 해야 합니다.
취약점 분석을 강화하도록 하고, 우리들이 금융위, 금감원, 이런 곳에서 취약점 분석이라든지, 이런 사항에 대해서 자체적으로 불시점검이나 이렇게 하려고 하고 있습니다. 대책 내용에도 나와 있는 것을 참고하시면 됩니다.
<답변> (금융감독원 최한묵 IT감독국장) 아까 말씀드린 대로 중간점검한 결과, 대부분 다 갖추고 있고 세칙에도 반드시 갖추도록 되어 있습니다. 그리고 그런 문제가 터지면 책임지도록 되어 있고, 아까 말씀드린 대로 이번 점검결결과 후에도 혹시 미비한 점이 있으면 다시 보완할 예정입니다.
<질문> CEO 처벌을 강화할 수 있는 조항으로 보안계획을 직접 승인, 이행여부를 확인한다고 되어 있는데, 이것이 구체적으로 어떻게 CEO들에게 향후 사고가 벌어졌을 때 책임을 물을 수 있는 것인지, 조금 더 알기 쉽게 설명해 주셨으면 좋겠고요.
해킹사고 시에 책임여부가 불분명하다고 해서, 법의 개정을 추진해서 손해배상을 할 수 있도록 만들겠다고 했는데, 이것이 잘못하면 해킹사고가 나면 무조건 금융회사들이 손해배상을 해야 한다는 식으로 우리가 전달받을 수 있는데, 어떠한 경우에 손해배상을 할 수 있는 것인지 그리고 지금하고 어떤 다른 부분에서 손해배상 업무가 생기는 것인지.
그리고 아까 잠깐 설명해 주셨는데, 보상한도 상향조정, 이것은 보험을 들어야 하는 기준액수를 높여야 된다는 것인지, 그것도 조금 더 자세하게 설명해 주셨으면 좋겠습니다.
<답변> (은행과장) 이번에 사고 관련해서 CEO의 책임문제를 논하면서 회사 내부적으로 CEO가 권한을 위임을 했을 때, 책임을 묻기가 어려운 상황이 많이 발생할 수 있습니다.
그래서 CEO가 보안계획을 직접 확인해서 승인하고 그것을 점검하도록 책임을 부여하게 되면, 그에 따른 책임이행을 하지 않았다는 제재를 할 수 있을 것이라고 생각하고요.
그 다음에 해킹에 대해서는 이미 정부안이 나가있습니다. 거기에서는 ‘해킹사고로 이용자가 손해를 입은 경우에는 금융기관이 손해배상 책임을 진다’고 되어 있고요.
다만, 금융기관 또는 전자금융업자가 계약을 통해서 이용자의 고의나 중대한 과실이 있는 경우에는 손해를 배상하지 않도록 이미 부여 되어있기 때문에, 그런 무분별한 손해배상 요구는 없으리라고 생각합니다.
또한, 아까 배상 한도 관련해서는 이미 감독 규정에서 공제나 보험가입 한도를 정하고 있습니다. 한도가 아까 설명 드린 대로 20억 원에서 2억 원 수준으로 낮은 수준이었기 때문에, 지금 벌어지는 전자금융사고가 그 규모면에서 상당히 크고, 금액도 크기 때문에 한도를 높일 필요가 있다, 그런 부분에 대해서 검토하겠다는 말씀입니다.
다만, 생각해야 될 것은 큰 은행이나 큰 금융기관은 굳이 보험에 가입하지 않더라도 배상자력이 충분히 있기 때문에 이용자 보호에 큰 문제가 없다고 생각되고, 작은 전자금융업자의 경우에는 회생 자력에 문제가 있기 문제, 그런 부분에 한도 인상을 검토하겠다는 것입니다.
<끝>
[관련페이지]
-
- 다음글
- 가계부채 대책