보안, 의무대신 자율로…금융권 "만만찮네"

공인인증서 의무사용규정이 폐지됐다. 모바일뱅킹으로 자금이체할 때 보안카드, 일회용비밀번호(OTP)를 반드시 써야한다는 규정도 사라졌다. 새로운 전자금융서비스 제공 때 의무 사항이었던 보안성 사전심의, 인증방법평가위원회도 없어졌다.

보안 패러다임이 바뀌고 있다. 의무적으로 따라야하는 각종 보안규제가 사라진 대신 사고 발생시 개별 금융사의 책임이 더 무거워지는 자율보안이 대세로 떠오르고 있다.

금융권에선 자율보안시대에 제대로 적응하기 위해 분주하게 움직이고 있다. 일부에선 "알아서 하라는 데 어떻게 해야 할 지 모르겠다"는 반응도 보이고 있다.

■ 금감원 "심의 가이드는 어디까지나 예시일 뿐" 강조

그동안 금융당국은 금융사에 수많은 자물쇠를 채워놓도록 강제했다. 대신 지침을 충실히 따랐는데도 사고가 날 경우엔 책임을 경감해줬다.

문제는 이런 방식이 더이상 통하지 않는다는 점이다. 문 앞에 아무리 많은 자물쇠를 의무적으로 채워놓더라도 뒷문으로 들어오는 도둑을 막을 순 없다는 인식이 커졌다.

자율보안 정책에 따라 앞으로 금융사들은 새로운 전자금융서비스를 내놓기 전에 자체적으로 보안성 심의를 수행한 뒤 7일 이내에 관련 결과보고서를 금융감독원에 제출해야 한다.

금융당국이 정해주는 자물쇠만 달면 됐던 금융사들이 앞으로는 어떤 자물쇠를 어떻게 달아야하는지를 두고 혼란스럽다. 금감원은 자율보안을 내세운 만큼 어떤 지침을 내리기는 어렵다는 입장이다.

이런 시점에서 26일 금융보안원은 금융사 자체 보안성 심의 가이드를 발간했다. 그동안 금감원이 제시하는 가이드라인이 사실상 지침처럼 작용했던 것과 달리 가이드는 어디까지나 금융사가 자체적인 보안방안을 마련하도록 돕는 예시로서 역할을 맡았다.

이날 서울 여의도 금융투자협회에서 진행된 설명회에서 금융보안원 자율보안지원팀 조규민 팀장은 "가이드는 자율적 보안을 위한 참고자료 역할을 하는 것이기 때문에 금융사 상황에 따라 검토방안을 추가하거나 빼는 것은 금융사가 자체적으로 해결할 일"이라고 강조했다.

그럼에도 불구하고 과거 금감원이 지침을 내리고 이를 따르는 방식에 익숙해졌던 금융사 관계자들 입장에서는 어떤 식으로 자율적 보안체계를 마련해야하는지에 대해 쉽게 갈피를 잡지 못하는 실정이다.

■ 자체 심의 땐 일주일 내 결과보고서 제출해야

이와 관련 금보원은 자체 보안성 심의 체계를 마련해야 하는 금융사 담당자들로부터 가장 자주 듣는 질문들을 정리했다.

먼저 금융사 자체 보안성 심의 가이드의 용도에 대한 질문이다. 금보원은 해당 가이드는 민간 중심 자율보안체계를 지원하기 위해 개발됐으며, 참고자료로 제공된다고 말한다. 이어 가이드 내용을 일률적으로 적용하는 것은 적절치 못하며, 회사별, 업무별 특성을 반영해 응용할 것을 권고했다. 금융사를 대상으로 한 감사 과정에서 가이드라인을 따랐다는 사실만으로는 별다른 면책사유가 되지 못한다는 뜻이다.

두번째는 금융보안원 보안성검토와 금융사 자체 보안성 심의 사이 관계에 대해서다. 지난해 7월부터 금보원은 금융사가 서비스를 준비 중인 신규 전자금융업무에 대해 해당 금융사가 의뢰할 경우 보안대책이 적절한지 등에 대해 관련 문서를 검토한 뒤 컨설팅을 제공한다.

세번째는 그렇다면 자체적인 보안성 심의 대상인 '신규 전자금융업무'의 범위를 어디까지 둬야하냐는 질문이다. 금보원은 이와 관련해 금융규제민원포털(http://better.fsc.go.kr) 내 법령해석 부분을 참고할 것을 권고했다.

다만 금융사가 차세대 시스템 구축 등 자체 인프라를 개선, 포터블 브랜치 등 임직원용 서비스, 최근 도입 예정인 금융권 공동 핀테크 오픈플랫폼을 활용해 금융사 API와 연동한 핀테크 스타트업의 서비스에 대해서는 자체 보안성 심의가 제외된다.

자체 보안성 심의를 수행한 금융사들은 새로운 전자금융서비스를 제공하는 날로부터 일주일 이내에 결과보고서를 제출해야한다. 다만 새로운 서비스를 내놓기로 한 날을 기준으로 과거 1년 이내 보안사고가 없었던 금융사, 전자금융업자(PG사 등)에 대해서는 보고서 제출 의무가 사라진다.