금융위, 정보보호업무 재위탁 허용기준 설정

2014-11-12 14:38

아주경제 김부원 기자 = 금융권의 정보보호업무 재위탁 허용기준이 명확화된다. 재위탁된 금융거래정보는 위탁회사의 데이터센터에 보관하며, 장소 이전 시 반드시 비식별처리 해야 한다. 

금융위원회는 이같은 내용을 골자로 한  '전자금융감독규정' 개정안을 규정변경예고 한다고 12일 밝혔다. '전자금융거래법' 개정, 금융권 사이버 안전대책 강화 방안, 금융규제 개혁 관련 사항 등의 후속 조치 추진을 위한 것이다. 

우선 전자금융거래정보의 보호 및 안전한 처리를 저해하지 않는 범위 내에서 제3자에 대한 정보보호업무 재위탁 허용 기준을 설정했다. 

재위탁 가능업무는 전자금융거래정보의 보호와 관련된 전산장비·소프트웨어에 대한 개발·운영·유지 관리 업무에 해당된다.

재위탁 가능환경은 금융거래정보를 위탁회사의 데이터센터에 보관하는 것을 원칙으로 하되, 제3의 장소로 이전시 비식별처리가 의무화됐다. 또 금융회사별 보안점검의 날을 지정해 정보보호최고책임자(CISO) 책임하에 보안점검을 실시하도록 했다.

외부주문 통제 소홀에 따른 정보유출 방지 등을 위해 외부주문의 단계별 보안관리방안을 준수하고, 외부주문 개발업무에 활용되는 업무장소 및 전산설비를 내부 업무용과 분리해 설치·운영하도록 했다.

신속한 금융사고 보고체계 구축을 위해 금융회사의 사고보고창구를 기존의 금융위, 금융감독원에서 금감원으로 일원화했다.
이밖에 비상주 외주인력, 공동수탁사(코스콤, 저축은행중앙회 등) 인력, IT자회사 인력 등을 금융회사 IT인력에 포함하게 된다.

외국계 금융회사 국내지점 등 망분리 규정 일괄적용이 불가능하거나 불합리한 사례에 대해선 금감원장이 인정하는 경우 망분리 규제를 받지 않는다. 타법규상 '보안성검토'를 받는 금융공공기관은 '보안성심의' 적용을 면제 받는다.

아울러 금융회사 기술 자율성 제고를 위해 △단말기 보호대책(자율적으로 대책을 마련할 수 있도록 중요원칙만 제시, 세부사항은 삭제·조정) △공개용 웹서버 관리 대책(특정 인증수단의 사용관련 조문을 삭제) △전자금융거래시 보안대책(Active-X를 강제하는 보안프로그램 설치 의무를 삭제) △거래인증수단 선택(일회용 비밀번호 등의 거래인증수단으로 새로운 기술 활용하도록 자율성 부여) 등도 마련됐다.

금융위는 14일부터 다음달 24일까지 규정변경예고를 한 뒤 규개위 심사, 금융위 의결을 거쳐 내년 1월까지 감독규정개정의 개정절차를 마무리할 계획이다.