이찬진 "내부통제 미흡으로 IT 사고 재발 시 무관용"

금융당국이 금융보안 분야 감독·관리를 현행 사후 제재 중심에서 사전예방 기조로 전환하겠다고 밝혔다.

이찬진 금융감독원장은 7일 '금융보안 패러다임 전환 간담회'에서 "금융보안 패러다임을 근본적으로 바꿔야 할 때"라며 "금감원부터 감독방식을 기존의 사후제재 중심에서 사전예방 중심으로 전환하겠다"고 말했다.

금감원은 우선 금융사 스스로 IT리스크나 보안상 취약점을 조기인식·적시 대응하는 '선제적 위험관리' 체계를 확립하는데 감독역량을 집중한다는 방침이다.

이를 위해 경영진 간담회, 실무자워크숍·세미나 등 맞춤형 소통을 통해 금융사 임직원의 금융보안 의식과 역량을 지속해서 제고해 나갈 계획이다.

또 선제적 위험관리 정착을 위해 △IT자산 식별·관리 강화 △취약점 분석·평가 내실화 △자율 시정 활성화 등을 통해 금융사 스스로 위험요인을 조기에 파악·대응하고, 침해사고 등에 적극 대비하도록 유도한다.

아울러 보안 취약점 감독을 내실화하고 고위험사 선별해 집중 관리한다. 상시감시·환류체계를 고도화해 금융사의 선제적 위험관리와 금감원의 사전예방적 감독을 유기적으로 연계할 계획이다.

이 원장은 "침해사고가 발생하더라도 금융소비자 피해가 최소화되도록 사고 대응 체계도 면밀히 정비하겠다"며 "국회의 관심과 도움을 받아 금융사의 정보보호 수준을 높이기 위한 제도개선에도 속도를 내겠다"고 강조했다.

금감원은 합동 재해 복구 전환 훈련, 블라인드 모의해킹, 보안 취약점 신고 포상제(버그바운티) 등을 통해 사고 취약점을 발굴·보완하고 디지털 복원력을 강화한다.

이와 함께 '전자금융거래법' 개정 지원을 통해 금융사의 선제적 위험관리와 금감원의 사전예방적 감독을 제도적으로 뒷받침한다는 방침이다.

이 원장은 "이러한 노력에도 불구하고 기본적인 의무 미준수 또는 내부통제 미흡에 따른 IT 사고가 재발하는 경우에는 무관용 원칙하에 엄중히 책임을 물을 것"이라며 "IT·정보보안에 충분한 인력과 예산을 투자할 수 있도록 독려해 주길 바란다"고 말했다.

노정동 한경닷컴 기자 dong2@hankyung.com