1. 추진 배경 및 경과
□ 이번 「전자금융감독규정」 일부개정규정안은 지난 5월 개정된 전자금융거래법의 시행을 위해 동법 시행령에서 위임한 사항을 규정하고
ㅇ 해킹 등으로부터 금융회사의 전산시스템 등을 보호하기 위한 「금융전산 보안강화 종합대책」(7월 발표)의 내용을 반영함
□ 동 감독규정 일부개정규정안은 오늘(11월 27일) 금융위원회에서 의결되었으며, 관보게재 후 시행될 예정임
2. 감독규정 개정안 주요 내용
(1) 시행령 위임사항 규정
□ 상시 종업원 수 산정방식 마련
ㅇ 상시 종업원 수는 소득세법에 따른 원천징수의무자가 근로소득세를 원천징수한 자를 기준으로 산정
① 정보보호최고책임자(CISO)를 임원으로 하는 대상범위
* 시행령 : 총자산 2조원이상이고 상시 종업원 수 300명이상
② CISO를 대표 또는 대표가 지정하는 자로 정할 수 있는 신협 등 조합과 지역금고의 범위
* 시행령 : 상시 종업원 수 20명 이하인 조합 또는 지역금고 |
□ 임직원에 대한 정보보호 교육계획 수립·시행
ㅇ CISO의 소속 임직원에 대한 정보보호 교육관련, 의무교육시간* 등 관련 세부절차를 규정
* 임원 : 3시간 이상/年, 직원 : 6시간 이상, 정보보호담당직원 : 12시간 이상
□ 취약점 분석·평가관련 주기 및 간이 취약점 분석 등
① 분석·평가 주기
- 1년 : 총자산 2조원·상시 종업원 수 300명이상
* 농협중앙회를 제외한 개별법상 중앙회(수협, 신협 등) 포함
② 간이 취약점 분석 대상기관
- 대상기관 : 위의 요건 이외의 나머지 대상기관
- 분석·평가 내용의 완화 및 자체전담반 구성의무면제
* 취약점 분석·평가내용은 금융감독원장이 시행세칙에서 정함
③ 취약점 분석·평가 자체전담반 구성
- CISO(반장) 및 내·외부전문가로 전담반 구성
* 취약점 분석·평가를 외부 전문기관에 위탁할 경우 자체전담반 구성의무를 면제
④ 취약점 분석·평가 외부전문기관 지정
* ⅰ) 「정보통신기반보호법」에 따른 정보공유 분석센터
ⅱ) 「정보통신산업진흥법」에 따른 지식정보보안 컨설팅전문업체
ⅲ) 침해사고대응기관(금융결제원, 코스콤)
ⅳ) 금융위원회가 지정하는 자
□ 침해사고대응기관 지정 및 업무범위
ㅇ 침해사고대응기관 : 금융결제원, 코스콤
* 합동조사단 : 금융위원회는 침해사고대응기관의 장을 포함하여 침해사고조사단을 구성할 수 있음
ㅇ 업무범위 : ⅰ) 정보수집·전파를 위한 정보공유체계구축
ⅱ) 침해사고 예보·경보 발령내용의 전파
ⅲ) 침해사고에 확산방지를 위한 필요조치
□ 과징금 환급가산금 적용이율 고시
ㅇ 국내은행(국민, 신한, 하나, 농협, 우리)의 1년만기 정기예금 이자율을 감안하여 산정
(2) 보안강화 종합대책
□ 정보보호위원회 운영근거 마련
ㅇ 금융회사內에 정보기술보안사항을 심의·의결하는 정보보호위원회 설치 근거규정 마련
* CISO 주관하에 준법감시인, 정보보호업무 관련 부서장 등으로 구성
□ 금융전산 망분리 의무화
ㅇ 모든 금융회사의 전산센터는 ’14말까지 외부통신망과 분리·차단하고, 본점·영업점의 경우 단계적*으로 추진
* 본점·영업점의 경우 ’15년말까지 분리·차단
□ 정보처리시스템 접근통제 강화
ㅇ ID·비밀번호 이외의 추가인증을 의무화하고, 정보처리시스템에 대한 상시 감시체계를 구축
(3) 기타
□ 보안규정 위반에 따른 내부 처벌근거 마련 의무화
ㅇ 보안관련 규정을 위반한 임직원에 대해 이를 제재하기 위한 내부절차를 수립하도록 의무화
□ 국외 사이버몰 결제업무에 대한 전자금융업 등록요건 완화
ㅇ 국외 사이버몰에서의 상거래에 대한 결제업무를 대행하는 전자지급결제대행업자의 등록요건 완화