금융권이 일정 수준 이상의 IT·보안 인력과 예산을 확보하도록 권고하는 전자금융감독규정 제8조 2항의 효력이 지난 1일 만료됐다. 해당 규정에서 ▲전체 인력 중 IT 인력 최소 5% 이상 확보 ▲보안 인력은 IT 인력 중 5% 이상 확보 ▲보안 예산은 전체 IT 예산의 7% 이상 확보를 요구한 일명 '5·5·7' 기준은 가이드 상에 그대로 기재됐다.
금융보안원은 2일부터 시행되는 '금융보안 거버넌스 가이드' 개정판에 이같은 내용이 담겼다고 밝혔다.
금보원은 5·5·7 기준이 권고 기준임에도 대부분의 금융회사 등이 이를 상회하는 IT·보안 인력과 예산을 확보하고 있다고 설명했다. 지난 6월 기준 금융감독원 조사에 따르면 금융회사의 보안 인력은 IT 인력 대비 10.2%, 보안 예산은 IT 예산 대비 10.6%를 확보하고 있었다.
다만 전자금융감독규정 효력이 만료돼 금융권의 적정 IT·보안 인력과 예산을 확보하기 위한 민간 중심의 자율 기준이 필요하게 되면서 이번 가이드가 마련됐다.
가이드에서는 적정한 보안 인력과 예산에 대해 금융회사 등이 대내외 환경과 자체 위험분석 결과 등을 종합적으로 고려해 산정하게 했다. 아울러 산정한 보안 인력과 예산 비율이 자사의 위험 등을 적절히 반영했는지 주기적으로 검토하도록 했다.
관련기사
- 'AI·생체인증·오픈소스'…금융권 디지털 혁신 따른 해커 위협 등장2020.01.02
- 오픈뱅킹 전면 실시..."One 앱, All 금융"2020.01.02
- KISA-금융보안원, DID 생태계 조성 '맞손'2020.01.02
- 18일 오픈뱅킹 본격 실시 전 보안 점검 실시2020.01.02
5·5·7 기준에 대해서는 국내 금융권 현황과 해외 사례 등을 종합적으로 고려했다고 설명했다. 시장조사업체 가트너가 지난달 밝힌 조사 결과에 따르면 해외 금융 기업의 보안 예산은 IT 예산 대비 평균 7.6%이었다. 보안 인력은 IT인력 대비 평균 5.6%를 보유했다.
이번 가이드는 금융보안원 홈페이지와 금융보안 레그테크 포털에서 확인 가능하다.