“금융보안사고 책임 강화”…금융위, 과태료 기준 전면 손질

금융보안사고에 대한 금융기관 책임이 대폭 강화된다. 금융위원회가 전자금융거래법상 안전성 확보의무 위반에 관한 과태료 부과 기준을 재정비하면서, 금융사들은 보안역량을 유연하게 높이는 동시에 위반 유형별로 엄격한 제재에 직면한다. 당국은 복잡했던 수범사항을 통합 정비해 금융사의 제도 적응성을 높이고, 차후 징벌적 과징금, 정보보호 최고책임자(CISO) 권한 확대, 사고 공시 등 추가 보안정책을 예고해 시장 변화가 예상된다. 업계는 이번 조치를 '사이버 위협 대응 체계 고도화의 분기점'으로 본다.

금융위원회는 3일 정례회를 열고 '전자금융거래법상 안전성 확보의무 위반 과태료 부과 기준 개편방안'을 의결했다. 금융위는 현장의 보안관리가 지나치게 규정 위주로 이뤄지지 않도록 수범사항을 293개에서 166개로 통합했고, 과태료는 개별 위반사항별로 더욱 엄격히 부과한다는 원칙을 새롭게 적용한다. 이번 방안으로 기존에는 같은 조문 또는 절 내 규정들을 위반해도 단일 위반행위로 간주해 단건 과태료가 부과됐지만, 앞으로는 '법 규정의 동일성', '시간적·장소적 근접성', '행위의사 단일성'이 모두 충족될 경우에만 예외적으로 단건 부과가 허용된다.

이번 기준 개편은 2월부터 시행된 수범사항 통합 개편의 연장선에 있다. 금융위는 기존 감독규정이 지나치게 세분화돼 있을 경우, '위반 동일성'을 과도하게 엄격히 적용할 시 실제 위반의 심각성이나 책임에 비해 과도한 처벌이 발생할 수 있다는 점을 감안했다고 설명했다. 이번 조치로 보안 실무 현장에서는 불필요한 절차 반복이 줄어드는 반면, 위반 건별 처분이 강화되면서 기관별 책임이 명확해질 것으로 분석된다.

금융보안 관리체계 변화는 감독·규제 환경에도 직접 영향을 줄 전망이다. 금융위는 개편과 함께 향후 보안사고 발생 시 징벌적 과징금 신설, 정보보호최고책임자 권한과 독립성 강화, 보안사고 시 소비자 공시 의무화 등 일련의 제도 혁신도 예고했다. 미국·유럽 등도 금융기관의 사이버보안 미흡에 대해 개별 책임 및 처벌 강화 기조를 취하고 있어, 국내 금융 산업 내 '디지털 리스크' 관리 역량 경쟁이 한층 치열해질 것으로 보인다.

한편, 산업계는 실제 제재수위 상향과 수범사항 통합이 현장에 미치는 영향에 촉각을 곤두세우는 분위기다. "금융사 보안의 자율성과 책임이 동시에 강조되는 방향"이라는 평가와 함께, 정보보호최고책임자(CISO)의 조직 내 권한 확보와 의사결정의 투명성 강화 요구도 더욱 커질 전망이다.

전문가들은 이번 개편이 국내 금융보안 정책의 실효성, 합리성 개선을 겨냥한 조치라는 점을 강조한다. 데이터 기준 강화, 내부 통제 체계 개선 등과 맞물려 금융사 전반에 IT 보안거버넌스의 수준이 한 단계 높아질 것이란 분석이다. 산업계는 이번 금융위의 제도 개편이 실제 금융보안시장에 안착할지 예의주시하고 있다.