이찬진 "금융보안 감독 '사후제재→사전예방' 전환…재발 사고 무관용"

(서울=연합인포맥스) 윤슬기 기자 = 금융감독원이 금융보안 감독의 무게중심을 '사고 후 제재'에서 '사고 전 예방'으로 옮긴다.

금융회사의 자율 보안통제와 내부 리스크관리 책임을 강화하는 동시에, 기본 의무 위반이나 내부통제 부실로 인한 IT 사고가 반복될 경우 무관용 원칙을 적용하겠다고 예고했다.

이찬진 금융감독원장은 7일 여의도 본원에서 열린 '금융보안 패러다임 전환 간담회'에 참석해 "감독 방식을 기존의 사후 제재 중심에서 사전 예방 중심으로 전환하겠다"며 이같이 밝혔다.

이 원장은 "금융회사 스스로 IT 리스크나 보안상 취약점을 조기에 식별해 적시에 조치하는 '선제적 리스크관리체계'를 확립하는 데 감독 역량을 집중하겠다"며 "취약점 분석·평가 실태 등을 면밀히 점검하고, 사고 개연성이 높은 고위험사를 선별해 중점 관리하겠다"고 강조했다.

이어 "침해사고가 발생하더라도 금융소비자 피해가 최소화되도록 사고 대응체계도 정비하겠다"면서 "국회의 관심과 도움을 받아 금융회사의 정보보호 수준을 높이기 위한 제도 개선에도 보다 속도를 내겠다"고 약속했다.

보안 투자 확대 필요성도 강조했다.

이 원장은 "철저한 리스크 관리를 통해 사건·사고를 방지하는 것이 시장 신뢰를 지키는 초석"이라며 "IT·정보보안에 충분한 인력과 예산을 투자할 수 있도록 독려해 주길 바란다"고 말했다.

다만 기본적인 의무 미준수나 내부통제 미흡으로 인한 사고에 대해서는 강경 대응 방침을 분명히 했다.

이 원장은 "이런 노력에도 불구하고 기본적인 의무 미준수 또는 내부통제 미흡에 따른 IT 사고가 재발하는 경우에는 무관용 원칙 하에 엄중히 책임을 물을 것"이라며 "AI 디지털혁명의 높은 파고 속에서 금융산업의 지속가능한 성장과 발전을 위해서는 소비자 신뢰가 반드시 뒷받침돼야 한다"고 강조했다.

이를 위해 금감원은 금융회사 임직원의 금융보안 인식을 개선하고, 금융회사 스스로 IT 리스크를 조기에 인식·대응하는 '선제적 위험관리'가 정착되도록 감독 수단을 재설계할 계획이다.

구체적으로는 IT 자산 식별·관리 강화, 취약점 분석·평가 내실화, 자율 시정 활성화 등을 통해 금융회사의 자체 대응 역량을 높이고, 사고 가능성이 높은 고위험사는 선별해 집중 관리하기로 했다.

지난 2월 본격 가동한 금융보안통합관제시스템(FIRST)을 통해 금융권 위협 요인을 신속 전파하고 자율 점검·시정 결과를 집계·평가하는 상시 감시 체계도 고도화할 방침이다.

이와 함께 합동 재해복구 전환훈련, 블라인드 모의해킹, 버그바운티 등을 통해 사고 대응 체계와 디지털 복원력을 강화하고, 전자금융거래법 개정 지원에도 나설 계획이다.

sgyoon@yna.co.kr