최근 잇따라 금융회사에서 해킹으로 인한 정보 유출 사고가 터지고 있는 가운데 이찬진 금융감독원장이 "기본적인 의무 미준수 또는 내부통제 미흡에 따른 IT 사고가 재발하는 경우 무관용원칙하에 엄중히 책임을 물을 것"이라고 강조했다.
이 원장은 7일 국회, 금융협회, 보안업계 등과 함께 금융보안패러다임을 '사전예방적'으로전환하기 위한 간담회를 개최하고 "금융회사 스스로 IT리스크나 보안상 취약점을조기에 식별해 적시에 조치하는 '선제적리스크관리체계'를 확립하는데감독역량을 집중하겠다"며 이같이 밝혔다.
금융권에서는 롯데카드, 서울보증보험, 업비트 등을 비롯해 대부업체 리드코프 자회사, 보험대리점 등에서도 연달아 해킹으로 인한 정보유출 사고가 터지고 있다. 이 원장은 "원인을 살펴보면 보안상 취약점을 장기간 방치하거나 거래수요가 급증할 것으로 예상됨에도 처리용량을 확충하지 않고, 서비스단위를 잘못 입력하는 등 기본적의무를 지키지 않았거나 내부통제가 미흡한 경우가 다수"라고 지적했다.
이 원장은 "철저한 리스크관리를 통해 사건·사고를 방지하는 것이 시장 신뢰를 굳건히 지키는 초석임을 인식하고 IT·정보보안에 충분한 인력과 예산을 투자할 수 있도록 독려해야 한다"고 당부했다.
금감원은 '선제적위험관리'를 확립하도록 하는 데 초점을 두고 감독수단을 재설계한다. 지난 2월 본격가동한 '금융보안통합관제시스템(FIRST)'을 통해 금융감독원→금융회사위협요인을 신속전파 및 자율점검·시정하고, 금융회사→금융감독원조치결과가 적절한지 집계·평가할 예정이다.
사고대응체계정비와 함께 합동재해복구전환훈련, 블라인드모의해킹, 버그바운티등 비상대응훈련을 통해 취약점을 발굴·보완하고, 유사시서비스가 신속히 재개되도록 디지털 복원력 강화할 방침이다. 특히 전자금융거래법 개정 지원 등을 통해 금융회사의 '선제적리스크관리'와 금융감독원의 '사전예방적 감독'을 제도적으로 뒷받침 예정이다. 현행 전금법에서는 해킹 사고로 인해 소비자 피해가 발생하더라도 제재 근거가 명확하지 않았다. 금융당국은 '징벌적 과징금' 제재가 필요하다는 입장이다.
이정문 더불어민주당 의원은 "금융권의 정보보호수준을 제고하기 위한 전자금융거래법 개정안이 신속히 통과되도록 노력하는 등 금융소비자보호를 위한 입법 지원을 아끼지 않겠다"고 밝혔다.
