금융위, ‘전자금융거래법 시행령’ 개정안 입법예고

[보안뉴스 김태형] 금융위원회는 지난 5월 개정·공포된 전자금융거래법(이하 ‘전금법’)의 시행령 개정안을 입법예고한다고 밝혔다.

개정안에는 정보기술부문 계획의 내용 구체화 및 CEO의 책임소재를 명확히 정했다. 금융회사 및 전자금융업자는 매년 정보기술부문 추진목표 및 전략, 투입 인력, 예산 등의 추진실적 및 향후계획을 수립하고, 대표자의 확인과 서명을 받아 금융위에 제출해야 한다.

또한, 금융회사 전자금융기반시설의 취약점 분석 평가 대상 분야가 확대되고 의무적으로 시행해야 하며, 금융위원회의 침해사고 대응 업무도 확대되어 법에서 정한 업무 외에 침해사고 대응 전담반 운영 등 침해사고 대응·관리 체계 및 침해사고 정보공유체계 구축, 피해 확산 방지를 위한 보안 소프트웨어 보완요청 등의 업무를 수행한다.

이 외에도 정보보호최고책임자(CISO) 업무에 IT보안 교육 추가, 중소 금융회사의 CISO 자격요건 완화 등이 주요 골자다.

전금법 개정 법률은 지난 5월 22일 공포됐으며 2013년 11월 23일부터 시행될 예정이다. 전금법의 주요 개정 내용은 다음과 같다.

① 해킹사고로 인한 이용자 손해에 대한 금융회사의 1차적 책임 명확화

② 금융회사 등의 정보기술부문 계획 수립·금융위 제출 의무화 및 계획 관련 CEO책임 강화

③ 금융회사 전자금융기반시설의 취약점 분석·평가 의무화

④ 해킹 등 전자적 침해행위 금지 및 침해행위에 대한 대응 체계 강화

⑤ 금융회사 등이 전자금융거래 안정성 확보의무 불이행시 제재 근거 신설

또한, 금융위 등의 침해사고 대응 전담반 운영, 금융회사의 임·직원 보안교육 강화 등의 내용이 담긴 ‘금융전산 보안강화 종합대책’을 지난 7월 10일 발표했고 이에 따라, 개정 법률의 위임사항을 정하고 종합대책을 이행하는 한편, 그동안 제도운영 과정에서 제기된 개선사항 등을 반영하기 위해 전자금융거래법 시행령 개정을 추진한 것으로 알려졌다.

이에 전금법 시행령 개정안은 지난 8월 14일 금융위에 보고됐고, 8월 21일부터 9월 30일까지 입법 예고될 예정이다. 이러한 전금법 시행령 개정안의 주요 내용을 자세히 살펴보면 다음과 같다.

가. 금융전산 보안강화

△ 정보기술부문 계획의 내용 구체화 및 CEO책임 명확화(안 §11조의2)

·금융회사 및 전자금융업자는 매년 정보기술부문 추진목표 및 전략, 투입 인력 및 예산 등의 추진실적 및 향후계획을 수립하고, 대표자의 확인·서명을 받아 금융위에 제출

△ 취약점 분석·평가 대상 분야 확대(안 §11조의4, 5)

·금융회사 등이 취약점 분석 평가를 실시할 분야(정보기술부문의 조직·시설 및 내부통제, 전자적 장치 및 접근매체, 침해사고 대응조치)에 외부 위탁된 정보기술부문, 전자금융보조업자의 시스템을 추가하고, 비용 부담, 평가전문기관의 부족 등을 고려하여 금융회사 등의 규모에 따라 분석·평가의 내용, 주기 등을 차등화한다.

단 자산규모, 종업원 수 등을 감안하여 금융위가 정하는 일정규모 이하의 금융회사 등은 일반적인 절차보다 간소화된 ‘간이 취약점 분석·평가를 실시한다.

△ 금융위원회의 침해사고 대응 업무 확대(안 §11조의6)

·법에서 정한 업무(침해사고 관련 정보 수집·전파, 침해사고의 예보·경보, 침해사고에 대한 긴급조치) 외에 침해사고 대응 전담반 운영 등 침해사고 대응·관리 체계 및 침해사고 정보공유체계 구축, 피해 확산 방지를 위한 보안 소프트웨어 보완요청 등의 업무를 수행한다.

△ 정보보호최고책임자(CISO) 업무에 IT보안 교육 추가(안 §11조의3)

·금융회사 등의 임·직원의 정보보안에 대한 인식 제고를 위해 CISO 업무에 임·직원에 대한 정보보안 교육 책무를 명시한다.

△ 중소 금융회사의 CISO 자격요건 완화

·일부 중소 금융회사는 내부인력 중 CISO 자격요건(학력·경력 등)을 충족하는 자가 없어 지정에 애로를 겪고 있고, 결과적으로 CISO가 지정되지 않아 IT보안 업무수행의 책임성 확보 곤란을 겪고 있다.

특히, 신협 등 단위조합(2,343개)의 CISO지정률(22.8%)이 낮다(단위조합을 제외한 전체 금융회사(623개) 평균지정률 : 79.5%). 종업원 수가 일정 규모(20명) 이하인 농협, 신협 등의 단위조합 및 새마을금고는 대표자 또는 대표자가 지정하는 자를 CISO로 지정·운영할 수 있도록 허용한다.

나. 기존 규제 합리화

△ 일부 금융회사에 대해 전금법상 주요의무의 적용 배제(안 §5)

·전금법상의 의무가 통상 전자금융거래를 전제하고 있고, 회사 규모가 작을수록 이러한 의무이행에 따른 부담이 상대적으로 큰 점을 고려하여 전자금융업무를 수행하지 않는 금융회사 중 중소규모 회사에 대해서는 전금법상 주요의무의 적용을 배제한다.

‘중소기업기본법’상 중소기업 기준을 고려하여 “종업원 수 200명 미만 또는 영업수익 200억원 이하인 금융회사(단, 총자산이 2조원 이상이고 종업원 수가 300명 이상인 경우는 제외)”로 규정한다.

전금법상 주요의무의 적용을 배제 부분은 ①정보기술부문 및 전자금융업무 관련 금융위 규정 준수, ②정보기술부문 계획수립 및 제출, ③CISO 지정, ④전자금융기반시설의 취약점 분석·평가 등이다.

△ 해킹사고에 대한 이용자의 고의·중과실 범위 조정(안 §8)

·개정법률에 따라 해킹사고 등 발생시 금융회사가 이용자의 손해에 대해 일차적 책임을 부담하게 됨에 따라, ‘전자금융사기 예방서비스’ 실시 등 금융회사 등의 전자금융거래 보안성 확보 노력이 강화될 전망이다.

이 전자금융사기 예방서비스는 공인인증서를 (재)발급받거나 인터넷뱅킹으로 1일 누적 300만원 이상 이체시 추가적인 본인인증(단말기 지정, SMS 인증 등)을 거치도록 해 보이스피싱 등 전자금융사기를 예방하는 서비스(‘13.9.26 전면시행 예정)이다.

이에 대응해 금융회사 등이 보안강화를 위해 요구하는 본인확인절차를 이용자가 정당한 이유 없이 거부하거나, 이용자가 본인인증수단 또는 매체를 대여·위임·제공 또는 누설·노출·방치하는 경우도 고의·중과실 범위에 추가한다. 종전에는 이용자가 접근매체를 대여·위임·제공하거나 누설·노출·방치한 경우 이용자의 고의·중과실에 해당됐다.

이러한 전금법 시행령 개정안은 입법예고 이후에는 규개위·법제처 심사 등을 거쳐 개정된 ‘전자금융거래법’과 함께 올 11월 23일 시행할 계획이다. 세부 개정내용은 금융위원회(www.fsc.go.kr) 홈페이지에서 ‘법령정보 → 입법예고/규정변경예고’에서 찾아볼 수 있다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>