11월부터 금융전산사고땐 ‘CEO 책임’
2013.08.15 16:36
수정 : 2013.08.15 16:36기사원문
또 농협 등 단위조합과 새마을금고 같은 중소 금융회사의 정보보호최고책임자(CISO)의 자격요건이 완화된다.
금융위원회는 이 같은 내용을 담은 전자금융거래법(전금법) 시행령 개정안을 추진한다고 15일 밝혔다.
이번 법안은 오는 11월부터 시행되는 전자금융거래법 개정법률의 위임사항을 정하고 금융전산 보안강화 종합대책을 이행하기 위해 마련됐다.
전금법은 △해킹사고로 인한 이용자 손해에 대한 금융회사의 일차적 책임 명확화 △금융회사 등의 정보기술부문 계획 수립·금융위 제출 의무화 및 계획 관련 최고경영자(CEO)책임 강화 △금융회사 전자금융기반시설의 취약점 분석.평가 의무화 △해킹 등 전자적 침해행위 금지 및 침해행위에 대한 대응 체계 강화 △금융회사 등이 전자금융거래 안정성 확보의무 불이행 시 제재 근거 신설 등의 내용을 담고 있다.
시행령에 따르면 금융회사 및 전자금융업자는 매년 정보기술부문 추진목표 및 전략, 투입 인력 예산 등의 추진실적 및 향후계획을 수립하고 대표자의 확인 서명을 받아 금융위에 제출해야 한다.
특히 현실적인 부분을 고려해 중소 금융회사의 CISO 자격요건을 완화했다. 일부 중소금융회사는 내부인력 중 CISO 자격요건 등을 충족하는 사람이 없어 지정에 애로를 겪으면서 정보기술(IT)보안 업무수행의 책임성 확보가 곤란하다는 지적을 받아왔다.
실제로 신협 등 단위조합(2343개)의 CISO 지정률은 22.8%에 불과해 단위조합을 제외한 전체 금융회사(623개)의 평균 지정률(79.5%)을 크게 밑돌았다.
김영권 기자