금융보안 거버넌스 가이드와 전자금융감독규정 5.5.7 규정 일몰

5.5.7 규정 일몰 (2020.01.01)

2019년 12월 금융보안원은 "금융보안 거버넌스 가이드"에 2020년 1월 1일 부로 5.5.7 규정이 일몰 됐음을 밝혔다.

5.5.7 규정은 전자금융감독규정 제8조(인력, 조직 및 예산) 2항에 해당하는 내용이다.

2011년에 발생한 농협과 현대캐피탈 침해사고 이후 금융회사들의 IT 및 정보보안 인력과 예산 강화를 위한 제도였다.

총 임직원수의 5% 이상의 정보기술부문 인력, 정보기술부문 인력의 5% 이상의 정보보호인력을 채용해야 하며, 정보기술부문 예산의 7% 이상을 정보보호 예산으로 책정해야 된다는 내용이다.

표면적으로는 권고사항이었지만 전자금융감독규정에 있음으로써 준수하지 않을 경우 과태료 부과가 가능했다.

하지만 1월 1일 자로 일몰 됨에 따라 준수하지 않더라도 이전과 같은 제재는 힘들어질 것으로 보인다.

규제 완화와 자율보안 강화

이번 가이드에서일몰과 함께 눈여겨 볼만한 내용은 기업의 자율 보안을 점점 강화하는 내용이란 것이다.

이에 CISO(정보보호최고책임자)를 넘어 CEO까지 참여하는 거버넌스, 전사적 보안 체계 구축에 대한 설명이 있었다.

또한 규제완화와 통제 정책에 대한 자율성을 부여하되 보안사고 발생 시 과징금, 과태로, 형사처벌 등이 강화됐다.

이는 전자금융감독규정과 금감원과 금융보안원에서 발행하는 가이드 토대로 대응하고 시스템을 구축하던 분위기상

금융회사와 전자금융거래업자들에게 골치 아픈 부분으로 다가올 수도 있을 것 같다.

그동안은 관련 규정과 가이드가 기준이 되어 준수 여부를 확인하는 것이 주된 업무였다.

앞으로는 각 금융사가 자율적으로 하되 사고가 날 경우 과징금 등으로 기업에 막대한 책임과 금전적 손해가 부과될 수도 있기 때문이다.

업계 분위기 및 향후 방향

가이드에서도 이점을 의식했는지 일정 비율 이상의 IT/정보보호 인력 및 예산 확보를 다시 권고하고 있다.

권고안의 최소 기준은 5.5.7 규정과 동일하다. 이는 해당 규정이 일몰 됐지만 다시 준수하라는 메시지로 읽힐 수 있다.

업계 담당자 몇 분에게 문의를 해보니 해당 규정은 일몰 되었지만 준수하라는 의미로 이해하고 있는것을 확인할 수 있었다.

2019년 6월 금감원 발표에 다르면 국내 금융권의 정보보호 예산은 IT 예산 대비 10.6% 였고,

정보보호 인력의 비율은 IT 인력 대비 10.2% 수준으로 조사됐다.

하지만 해당 규정이 중, 소형 회사들에게는 부담으로 다가오는 부분이 있었기에 비율은 낮아질 것으로 생각된다.

경영진에게도 정보보호는 아직도 비용으로 인식되는 경향이 있기 때문에 대형사들도 그 비율이 줄어들지 않을까 싶다.

(금융보안원) 금융보안 거버넌스 가이드.pdf

1.16MB