전자금융 '세세한 보안규정' 삭제
2015-02-11 11:27:14 게재
금융·IT사 자율성 보장 … 내부통제는 강화, 4월부터 보안점검일 지정해야
반면 금융회사들은 오는 4월부터 정보보안점검의 날을 지정해 자체 보안점검을 강화해야 한다.
금융위원회는 이 같은 내용을 담은 전자금융감독규정 개정안을 마련해 지난 3일부터 시행에 들어갔다고 11일 밝혔다.
그동안 전자금융감독규정은 보안 규정 준수와 관련해 금융회사가 지켜야할 구체적인 지침을 열거했고 공익인증서라는 특정 인증 수단의 의무적 사용을 명시하고 있었다. 하지만 개정 규정은 구체적인 규정을 포괄적으로 바꿔서 금융회사 자율에 맡겼다.
전자금융감독규정 12조는 단말기 보호대책을 명시한 조항으로 개정 전에는 '업무당당자 이외의 사람이 단말기를 무단으로 조작하지 못하도록 단말기별 취급자 및 비밀번호를 지정하고 화면보호기능을 부여할 것'이라고 규정했다. 하지만 개정 규정은 '업무담당자 이외의 사람이 단말기를 무단으로 조작하지 못하도록 조치할 것'이라고 원칙만을 제시했을 뿐 구체적인 지침은 금융회사가 정하도록 했다.
또한 '전자금융거래시 준수사항'과 관련해 '해킹 등 침해행위로부터 전자금융거래를 보호하기 위해 이용자의 전자적 장치(모바일·PC)에 보안프로그램 설치 등 보안대책을 적용할 것'이라고 명시된 조항은 삭제됐다. 전자금융을 이용하는 고객 입장에서는 의무적으로 내려 받았던 키보드보안 프로그램 등을 받지 않아도 된다.
홈페이지 등 공개용 웹서버 관리대책을 명시한 17조의 1항 2호는 개정 전 '사용자 계정을 업무관련자만 접속할 수 있도록 제한하고 불필요한 계정 또는 서비스번호는 삭제할 것(공인인증서 추가 인증수단을 반드시 적용해야 한다)'고 공인인증서의 의무사용을 규정했다. 하지만 개정 조항은 '추가 인증수단을 적용할 것'이라고만 적시해 공인인증서 부분을 삭제했다.
김동환 금융위 전자금융과장은 "획일적이고 건건이 간섭했던 규제를 완화하고 공인인증서에 국한하지 않고 보안이 작동되는 다른 인증수단을 사용할 수 있도록 함으로써 기술중립성 원칙을 적용했다"고 말했다.
한국산업은행과 중소기업은행 등 보안성심의를 받아야 했던 기관들도 개정 규정에서는 제외됐다. 이들과 함께 공공기관들은 국가 정보통신 기반시설로 지정돼 있어 다른 법률에 따라 보안성심의를 받는 만큼 중복 심의가 이뤄지지 않도록 전자금융감독규정에서 빠진 것이다.
금융위는 금융회사에 자율적인 권한을 준만큼 내부통제는 강화했다. 개정 규정에는 정보보호최고책임자의 업무 규정이 신설됐다.
정보보호최고책임자는 정보보안점검의 날을 지정하고 임직원이 정보보안 점검항목을 준수했는지 여부를 매월 점검해 최고경영자에게 보고해야 한다.
해당 조항은 오는 4월 16일부터 시행되기 때문에 금융·IT 회사들은 정보보안점검의 날을 각자 지정해야 한다.
이경기 기자 cellin@naeil.com
이경기 기자 기사 더보기