CSO 자격요건 등은 향후 전자금융거래법 시행령으로 규정

[보안뉴스 김정완] 전자금융거래법 일부개정법률이 10월 28일, 국회를 통과함에 따라 금융기관들은 정보보호최고책임자(CSO)를 의무적으로 지정해야 한다. 하지만 여전히 CSO 지정 의무에 따라 규모가 작은 금융회사 등에는 인력 및 재원확보 등의 어려움이 있는 만큼 향후 이에 대한 범위가 어떻게 규정될지에 귀추가 주목된다.

동법은 “금융기관 또는 전자금융업자는 전자금융업무 및 그 기반이 되는 정보기술부문 보안을 총괄하여 책임질 정보보호최고책임자를 지정(안 제21조의2)”을 의무화하면서 “정보보호책임자의 자격요건 등에 필요한 사항은 대통령령으로 정한다”고 규정하고 있기 때문.

즉, CSO의 자격요건과 경과조치, 실효성 확보방안, 시행시기 등은 향후 동법 시행령에서 규정하게 된다. 아울러 개정안은 전자금융 업무의 성격, 종업원의 수 등을 고려해 대통령령으로 정하는 금융기관 등의 경우에는 적용대상에서 제외해 CSO를 지정하지 않을 수 있도록 하고 있다.

 

▲금융기관별 정보보호최고책임자 도입현황. [출처 - 정무위원회 검토보고서]

 

이에 금융위원회 관계자는 “아직까지는 정해지진 않았다. 하지만 향후 금융기관 등의 의견 수렴 등을 거쳐 진행할 예정”이라고 밝혔다.

이와 관련 동법 개정안 소관위원회인 정무위원회는 검토보고서를 통해 “개정안은 CSO의 자격요건 등을 대통령령으로 정하도록 위임하고 있을 뿐 CSO의 직급이나 겸임의 허용여부 등에 대해 명확한 규정이 없는 바, 향후 시행령 마련 과정에서 CSO 직급이나 겸임의 허용여부 등과 관련해 도입취지 등을 고려한 충분한 검토가 이루어져야 할 것”이며, “기존의 CSO를 지정·운영하고 있는 금융기관에 대해서는 경과조치를 규정해 일정한 유예기간 내에 법령에서 정한 요건을 갖추도록 하는 방안을 검토할 필요가 있다”고 봤다.

또한 정무위원회는 “금융기관 CSO제도의 조기정착을 위해서는 벌칙이나 과태료 등 제재수단을 도입하는 방안이 검토될 수 있겠지만, CSO의 도입은 해당 금융기관이 수행하는 전자금융 업무의 성격이나 규모 등을 고려해 자발적인 선택에 의해 도입하는 것이 가장 바람직할 것”이며, “도입 추이를 보아가며 단계적으로 벌칙을 규정하는 방안도 검토될 수 있겠다”고 밝혔다.

아울러 정무위원회는 “개정안은 그 시행시기를 공포 후 3개월로 정하고 있는 바, CSO의 자격요건 등 세부사항을 시행령으로 정하는데 상당기간이 소요되는 점과 시행령이 마련된 후에도 금융기관들이 CSO를 도입하기 위해서는 조직개편 및 신규인력의 충원 등 준비기간이 필요할 수 있는 점에서 시행일을 다소 늦추는 방안을 고려할 필요가 있을 것”으로 봤다.

반면 보안업계 한 관계자는 “금융기관의 여건 등을 고려하는 것도 중요하지만 간과해선 안될 것이 CSO제도 도입의 근본적인 취지”라며, “금융기관들이 적정한 정보보호 관리체계를 구축해 금융 IT 보안사고에 효과적으로 대처하기 위한 것인 만큼 확실한 보안체계를 갖출 수 있도록 해야 할 것”이라고 말했다.

한편, 동법은 법인의 대표자나 법인 또는 개인의 대리인, 사용인, 그 밖의 종업원이 그 법인 또는 개인의 업무에 관하여 위반행위를 하면 그 행위자를 벌하는 외에 그 법인 또는 개인을 5천만원 이하의 벌금에 처하도록 규정하고 있다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>