앞으로 금융회사들은 내부망시스템이나 DMZ구간 시스템에 악성코드 등 IT 침해사고가 발생했을 경우 사고금액과 사고 영향 이용자수 등을 즉각 금융당국에 보고해야 한다.
11일 관련 업계에 따르면 금융감독원은 이같은 골자로 전자금융감독규정 시행세칙을 개정하고 새로운 '정보기술부문 및 전자금융 사고내용'에 대한 서식을 배포했다. 개정 세칙에 따라 정보처리시스템 또는 통신회선의 장애로 인해 30분 이상 전자금융업무가 지연됐거나 중단된 경우 또는 10분 이상 지연·중단되고 가입자가 1만명 이상인 경우 등에는 지체 없이 금융당국에 이를 보고해야 한다.
기존의 사고내용 보고가 IT보안사고와 정보기술장애로 단순 보고하던 기존 방식도 침해사고 전산장애사고로 나눠 침해사고의 경우 공격 대상과 공격 방법, 공격에 따른 피해 등을 세분화해 보고해야 한다. 예컨대 △내부망 시스템(공격대상)에 △서비스 거부 공격이 발생(공격방법)해 △정보 유출 및 중요정보 조작(공격에 따른 피해)이 발생했다는 식으로 보고 체계를 세분화했다.
이 과정에서 배상금액과 배상인원수만을 집계해 보고했던 것과는 달리 사고금액과 사고 영향 이용자수를 동시에 파악해 보고하도록 했다. 전산장애의 범위가 1개 영업점 내에 국한됐거나, 공개용 웹서버 또는 금융상품 및 서비스와 무관한 경우에는 사고보고 대상에서 제외된다. 사고금액이 100만원 미만인 경우도 마찬가지다.
이번 보고 내역 개편은 앞서 금융당국이 전자금융감독규정을 개정한데 따른 조치다. 개정 감독규정에는 293개에 달하는 세세한 행위규칙을 166개로 정비하는 내용이 담겨 있다. 전자금융사고 책임이행 보험 등의 가입 기준의 현실화 조치부터 정보보호위원회 심의·의결사항 가운데 중요한 사항의 이사회 보고 의무화 조항 등이 담겼다. 이와 함께 침해사고가 발생했을 경우 금융보안원 등을 중심으로 침해사고조사단을 구성·운영할 수 있는 근거도 남겼다.
금융당국 관계자는 “금융회사의 정보보호시스템 운영에 대한 사항부터 가동기록, 프로그램 통제 등 큰 틀의 원칙은 정하고 세부적인 행위 규칙은 줄이는 방향으로 감독 규정을 정비했다”면서 “향후 제정될 디지털 금융보안법제에도 마찬가지로 원칙 중심의 철학이 반영될 수 있도록 제도를 우선 정비한 것”이라고 밝혔다.
류근일 기자 ryuryu@etnews.com
