한경 로앤비즈의 ‘Law Street’ 칼럼은 기업과 개인에게 실용적인 법률 지식을 제공합니다. 전문 변호사들이 조세, 상속, 노동, 공정거래, M&A, 금융 등 다양한 분야의 법률 이슈를 다루며, 주요 판결 분석도 제공합니다.
금융위원회 '보안 강화 대책 회의'...주요 내용은?
금융위원회는 지난달 30일 ‘금융권·금융 공공기관 침해사고 대비태세 점검회의’를 개최했다. 이번 회의는 최근 랜섬웨어 사고 등을 계기로 금융권 및 금융 공공기관의 랜섬웨어 등 침해사고 대비태세를 점검하고 현장의 의견을 청취해 침해사고 예방을 위한 조치사항 등을 논의하기 위해 마련됐다. 구체적인 내용은 다음과 같다. 단기 대응조치로는 8월까지 전자금융서비스 제공 기관의 침해사고 대비태세 자체점검을 실시하고, 9월부터는 금감원이 금융회사를 직접 점검한다. 또한 금감원·금융보안원이 합동으로 전 금융권을 대상으로 블라인드 모의해킹도 실시한다.
제도개선 방안으로는 보안사고 발생 시 징벌적 과징금을 부과하고, CISO(정보보호최고책임자) 권한을 강화하며 금융권 위협정보를 관리·전파하는 통합관제시스템을 구축한다.
소비자 보호를 위해서는 보안사고 발생 시 투명한 공개를 의무화하고, 금융회사별 보안 수준 공시를 강화하며, 전산사고 시 신속한 우회 서비스와 피해 보상을 위한 대응 매뉴얼을 갖추도록 했다.
'무관용 원칙'과 예방 중심 전환에 주목해야
무엇보다도 이번 금융위 대책에서 가장 주목할 부분은 ‘징벌적 과징금’을 도입하겠다는 검토다. 기존의 행정처분과 달리 보안사고로 인한 피해 규모에 비례해 과중한 제재를 가하겠다는 의미이기 때문이다. 관계자의 “과하다고 생각될 정도로 빈틈없이 점검하고 보완해야 한다”는 발언은 보안사고 발생시 기업에 불이익을 주겠다는 정부의 강력한 의지를 보여준다.CISO 권한 강화 역시 의미 있는 변화다. 지금까지 대부분의 금융회사에서 CISO는 실질적 권한 없이 책임만 지는 명목상 직책에 그쳤다. 앞으로는 CISO가 보안 관련 의사결정을 주도적으로 할 수 있도록 조직 내 위상과 권한이 강화된다. 이는 보안 거버넌스 구조 자체의 변화를 의미
한다.
블라인드 모의해킹 도입도 주목할 만하다. 사전 예고 없이 실제 해킹 상황을 모사해 금융회사의 실질적 방어 역량을 평가한다는 것이다. 이제 형식적인 보안 점검으로는 통하지 않는다는 강력한 신호다.
통합관제시스템 구축을 통한 위협정보 체계적 관리도 기존의 개별 대응에서 통합적 대응으로의 전환을 의미한다. 금융권 전체가 하나의 보안 생태계로 연결돼 실시간으로 위협정보를 공유하고 대응하게 된다.
위기를 기회로: 금융회사의 대응 전략
이번 보안 강화 정책을 단순한 규제 부담으로만 볼 필요는 없다. 선제적으로 대응하는 금융회사들에게는 오히려 새로운 기회가 될 수 있다.우선 높은 보안 수준은 고객 신뢰도 향상으로 직결된다. 공시 강화로 보안 역량이 투명하게 공개되면, 보안이 우수한 금융회사는 고객 선택에서 유리한 위치를 점할 수 있다. 체계적인 보안 관리는 장기적으로 운영 효율성도 높인다. 사고 발생 후 수습하는 것보다 사전 예방이 훨씬 경제적이고, 견고한 보안 기반은 새로운 디지털 서비스를 안전하게 도입할 수 있는 토대가 된다. 무엇보다 징벌적 과징금 등 강력한 제재를 원천적으로 피할 수 있다는 점이 중요하다.
우선 8월까지 자체점검부터 확실히 해야 한다. VPN 같은 외부접속 시스템 보안 상태를 점검하고, 랜섬웨어 대응 매뉴얼이 제대로 마련돼 있는지 확인해야 한다. 백업이 잘 되고 있는지, 불필요한 네트워크 연결은 차단돼 있는지도 체크해야 한다. 9월부터 시작되는 블라인드 모의해킹에도 대비해야 한다. 예고 없이 진행되므로 평상시 보안 담당자들이 얼마나 잘 대응하는지가 그대로 드러난다.
조직적으로는 CISO 권한을 실질적으로 강화해야 한다. 지금까지는 이름뿐인 CISO였다면, 이제는 실제로 보안 관련 결정을 내릴 수 있는 권한을 부여해야 한다. 예산 집행 권한도 있어야 하고, 경영진에게 직접 보고할 수 있어야 한다. 보안 담당 인력도 늘려야 한다. 해커들이 갈수록 정교해지고 있으니, 전문가를 더 확보하는 것이 필요하다.
고객 대응도 미리 준비해둬야 한다. 보안사고가 나면 이제 숨길 수 없다. 언제, 무엇이, 왜 일어났는지 투명하게 공개해야 한다. 미리 사고 대응 매뉴얼을 만들어두는 것이 좋다. 앞으로는 고객들이 어느 은행이 보안이 더 좋은지 비교해 선택하게 될 것이므로, 자사 보안 수준을 어떻게 설명할지도 준비해야 한다.
새로운 보안 시대의 성공 조건은
금융보안을 둘러싼 환경이 근본적으로 바뀌고 있다. 과거의 수동적이고 형식적인 대응으로는 더 이상 통하지 않는다. 정부의 강력한 의지, 소비자의 높아진 기대, 갈수록 정교해지는 사이버 위협까지 모든 것이 금융회사들에게 한 차원 높은 보안 역량을 요구하고 있다.최근의 금융권 보안사고들은 값비싼 교훈을 남겼지만, 동시에 금융권 전체가 보안 체계를 재점검할 수 있는 기회를 제공했다. 이제 중요한 것은 이 기회를 어떻게 활용하느냐다. 금융회사들은 보안을 선택 사항이 아닌 필수 요소로 받아들여야 한다. 징벌적 과징금이라는 강력한 제재 수단이 생긴 만큼, 사후 대응보다는 사전 예방에 집중하는 것이 현명한 선택이 될 것이다.
<hr style="display:block !important; border:1px solid #c3c3c3" />태평양의 미래금융전략센터(센터장: 한준성 고문)는 2024년 5월 출범하여, 금융권 디지털 혁신 가속화와 금융 기술 발전에 발맞춰 가상자산·전자금융·규제 대응·정보보호 등 금융 및 IT 분야 최정예 전문가들로 진용을 구축하고 있다.
관련뉴스
