[3줄 요약]
1. 개인신용정보 유출 등 중대 사고 발생 시 강력한 제재 예고
2. 유동수 의원 대표 발의 “이용자 피해 막기 위한 특단의 조치”
3. 금융권 “사고 책임론 넘어 실질적 보안 강화 유도할 시행령 필요”

[보안뉴스 조재호 기자] 최근 빈번해지는 금융권 해킹 및 정보 유출 사고에 대해 국회가 전방위적 규제 강화를 담은 전자금융거래법(이하 전금법) 개정안을 내놨다. 앞으로 금융사 대표이사(CEO)가 보안 대책의 최종 책임자로 법에 명시되며, 중대 사고 발생 시 전체 매출액의 최대 3%까지 과징금을 물고, 공시 제도도 의무화된다.


[자료: 생성형 AI 이미지]

유동수 더불어민주당 의원 등 10인은 지난 달, 이 같은 내용을 골자로 한 ‘전자금융거래법 일부개정법률안’을 발의했다. 이번 개정안은 고도화된 사이버 위협 대응을 위해 금융권의 고질적인 보안 불감증을 타파하고 실효성 있는 제재 수단을 마련하기 위해 추진됐다.

유동수 의원은 “전자금융 침해사고는 금융 시스템 전체의 신뢰를 무너뜨리는 중대한 사안”이라며 “이번 개정안을 통해 금융권의 정보보호 수준을 근본적으로 높이고, 이용자를 두텁게 보호하겠다”고 입법 취지를 밝혔다.

전자금융거래, PC·스마트폰·ATM 통한 거래 등 매우 광범위
이번 법안의 배경인 ‘전자금융거래’는 금융권에서 PC, 스마트폰, ATM 등 전자장치를 통해 금융상품이나 서비스를 제공하고, 이용자와 직접 대면하지 않고 자동화된 방식을 이용하는 거래를 말한다. 우리가 일상적으로 쓰는 인터넷 뱅킹이나, 간편결제, 주식 거래 등이 여기에 속한다.

최근 해킹이나 랜섬웨어 등 전자금융 기반시설을 교란·마비시키거나 ID·비밀번호·인증서 등 접근 매체를 위·변조해 금전적 피해를 야기하는 ‘전자금융거래 사고’가 연달아 벌어지고 있다. 이러한 사고는 단순 시스템 오류를 넘어 금융 시스템 전체의 신뢰를 무너뜨릴 수 있는 중대한 재난으로 간주된다.

보안 사고, CEO 책임 명문화
이번 개정안의 가장 큰 특징은 ‘경영진 책임 강화’다. 현행법상 모호했던 책임 소재를 분명히 하기 위해 금융회사 또는 전자금융업자의 대표이사를 전자금융거래 안정성 확보 및 이용자 보호를 위한 관리 조치의 최종 책임자로 명시했다. 보안 사고에서 경영진이 책임을 회피하는 관행을 원천 차단하겠다는 의지다.

또한, 정보보호최고책임자(CISO)의 권한을 강화해 독립적인 업무 수행을 보장한다. CISO를 임명할 때 이사회의 의결을 거치도록 하고, 임기 2년 보장 및 별도의 보수·평가 기준을 마련하도록 해 소신 있는 보안 업무를 수행하도록 했다.

뚫리면 ‘매출 3%’ 솜방망이 대신 ‘징벌적 과징금’
제재 수위도 획기적으로 높였다. 기존 정액 과징금 체계에서 △전자금융거래 정보 누설 △해킹으로 인한 개인신용정보 유출 등 중대 사고 발생 시 전체 매출액의 3% 이하를 과징금으로 부과한다.

과징금 상한도 기존 5천만원에서 ‘업무 정지 기간 동안 얻은 이익’을 기준으로 산정하도록 현실화했다. 이는 보안 투자를 비용으로만 여기는 금융권의 인식을 바꾸기 위한 조치로 풀이된다.

정보보호 공시제도도 도입된다. 일정 규모 이상의 금융회사는 정보보호 관련 예산과 인력, 지배구조 현황을 의무적으로 공개해야 한다. 아울러 금융당국의 취약점 보완 명령을 이행하지 않을 경우, 최대 5천만원의 이행강제금을 반복 부과할 수 있는 근거도 마련했다.

이번 전금법 개정안에 대해 금융권 보안 담당자들은 “정보보호 공시제도나 CISO 권한 강화 등 법률 개정 취지에는 공감하지만, 중소 금융회사의 보안 부담이 커질 것으로 예상된다”며 우려를 표했다.

또한 “과징금 규모 증가로 페널티만 높아진 상황은 보안 사고의 외부 노출을 오히려 꺼리게 만드는 문화로 이어질 위험성도 높다”면서 “단순 사고 발생에 대한 책임만 묻는 것이 아니라 기업마다 실질적인 보안 수준을 강화할 수 있는 형태로 추후 시행령이 다듬어져야 한다”고 입을 모았다.

[조재호 기자(sw@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>