□ 전자금융거래법? 개정(‘14.10.15), 금융권 사이버 안전대책 강화 방안, 금융규제 개혁 관련 사항 등의 후속 조치를 추진하기 위한 전자금융감독규정 개정

※ 금번 감독규정 개정에는 전자금융거래법 개정 사항 중 시행령 정비 없이 감독규정 개정이 가능한 내용만을 반영 (그 외 사항은 시행령 정비 후 개정 예정)

□ 정보보호업무의 재위탁 기준 마련

ㅇ 전자금융거래정보의 보호 및 안전한 처리를 저해하지 않는 범위 내에서 제3자에 대한 정보보호업무 재위탁 허용 기준을 설정

- (재위탁 가능업무) 전자금융거래정보의 보호와 관련된 전산장비·소프트웨어에 대한 개발·운영·유지 관리 업무

- (재위탁 가능환경) 금융거래정보는 위탁회사의 데이터센터에 보관하는 것을 원칙으로 하되, 제3의 장소로 이전시 비식별처리 의무화

□ 금융회사별 “보안점검의 날” 지정·운영

ㅇ 금융회사 내부통제 강화를 위해 금융회사별 보안점검의 날을 지정하여 정보보호최고책임자(CISO) 책임하에 보안점검을 실시

□ 금융회사의 외부주문 통제 강화

ㅇ 외부주문 통제 소홀에 따른 정보유출 방지 등을 위해 외부주문의 단계(입찰→계약→수행→완료)별 보안관리방안을 준수하도록 함

ㅇ 외부주문 개발업무에 활용되는 업무장소 및 전산설비를 내부 업무용과 분리하여 설치·운영하도록 함

□ 전자금융사고 보고 창구 일원화

ㅇ 보다 신속한 금융사고 보고체계 구축을 위해 금융회사의 사고보고창구를 금융감독원(기존 : 금융위, 금감원)으로 일원화

□ 정보기술(IT)부문 정보보호 인력 산정기준 변경

ㅇ 비상주 외주인력, 공동수탁사(코스콤, 저축은행중앙회 등) 인력, IT자회사 인력 등을 금융회사 IT인력으로 포함

□ 금융회사 망분리 규제 예외 허용

ㅇ 외국계 금융회사 국내지점 등 망분리 규정 일괄적용이 불가능·불합리한 사례에 대해 금감원장이 인정하는 경우 예외 허용

□ 금융공공기관 보안성심의 적용 면제

ㅇ 타법규상 ‘보안성검토’를 받는 금융공공기관은 ‘보안성심의’ 적용을 면제하여 중복 규제 해소

□ 금융회사 기술 자율성 제고

ㅇ (단말기 보호대책) 금융회사가 자율적으로 단말기 보호대책을 마련할 수 있도록 중요원칙만 제시, 세부사항은 삭제·조정

ㅇ (공개용 웹서버 관리 대책) 특정 인증수단의 사용관련 조문을 삭제하여 금융사의 자율적인 공개용 웹서버 관리를 가능케함

ㅇ (전자금융거래시 보안대책) 사실상 Active-X를 강제하는 보안프로그램 설치 의무를 삭제하여 전자금융거래 안정성 조치를 자율적으로 마련할 수 있게 함

ㅇ (거래인증수단 선택) 금융회사가 일회용 비밀번호 등의 거래인증수단으로 새로운 기술을 활용할 수 있도록 자율성 부여

□ 규정변경예고(‘14.11.14~12.24) 후 규개위 심사, 금융위 의결을 거쳐 ’15.1월까지 감독규정개정 개정절차를 마무리할 예정