지연이체제 시행·CISO 겸직금지 의무화 기관 범위 설정

[보안뉴스 김태형] 금융위원회는 국무회의에서 ‘전자금융거래법 시행령’ 개정안을 7일 의결했다고 밝혔다. 이번 시행령 개정안은 ‘전자금융거래법’ 개정(2014.10.15일 공포)에 따라 지연이체의 대상·방법, 정보보호최고책임자(CISO: Chief Information Security Officer) 겸직 제한 금융회사 범위, 전자금융거래기록 파기기준 등 법에서 위임된 사항을 규정하고 있다.

주요 내용을 보면, ‘전자자금이체의 지급효력 발생시기 지연(9의2)’으로 전자자금이체 업무를 수행하는 금융회사 및 전자금융업자 전부를 지연이체제 적용 대상으로 규정했다. 지연 이체제는 이용자가 원하는 경우 거래지시를 하는 때부터 일정 시간이 경과한 후에 전자자금이체의 지급 효력이 발생하도록 하는 제도로 송금 착오 등으로 인한 피해를 방지한다.

지연이체제 적용 대상 회사는 이용자에게 컴퓨터(인터넷 뱅킹), 전화기(텔레뱅킹, 모바일뱅킹)를 통한 지연이체 서비스를 제공해야 한다.

또한 ‘CISO 겸직금지 의무화 기관 범위 설정(11의3)’으로 CISO의 다른 업무 겸직이 제한되는 금융회사 등의 범위를 총자산이 10조원 이상, 상시 종업원 수가 1,000명 이상인 금융회사로 규정했다. 현재는 임원급 CISO 지정대상 회사 기준은 총자산 2조원 이상, 상시종업원수 300명 이상인 금융회사 또는 전자금융업자 등이다.

아울러 ‘전자금융거래기록의 파기기준 등(12)’에 따라 전자금융거래기록의 파기 절차와 방법은 ‘개인정보보호법 시행령’ 제16조를 준용하도록 명시했다. ‘개인정보 보호법 시행령’ 제16조에 의하면 전자적 파일은 복원이 불가능한 방법으로 영구삭제하고  기록물·서면 등은 파쇄 또는 소각하도록 규정하고 있다.

그리고 파기기간의 기산점이 되는 ‘상거래관계가 종료된 날’의 기준은 관계 법령·약관·합의 등에 따라 금융회사등과 거래상대방과의 거래가 만료, 해지, 취소된 날 등으로 구체화했다.

한편, 이번 개정사항은 4월 16일부터 시행될 예정이다. 다만, 지연이체제(9의2)는 금융회사의 준비 기간 등을 고려해 오는 10월 16일부터 시행된다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>