금융위원회가 금융사 정보보호최고책임자(CISO)에게 타 부서 보안 관련 자료를 볼 수 있는 권한을 부여하는 방안을 검토하고 있다. CISO의 영향력을 강화해 금융사 내부 보안 수준을 높이기 위해서다. 금융위는 현재 입법 추진 중인 ‘디지털금융보안법’에 관련 내용을 포함하기 위한 논의에 나섰다.
30일 금융 당국에 따르면 금융위는 디지털금융보안법을 통해 금융사 CISO의 권한을 강화하는 방안을 검토하고 있다. 보안 점검에 필요한 정보를 다른 부서에서 제공받을 수 있도록 하는 조항을 법안에 포함하는 것이 골자다. 금융위는 조만간 주요 금융사 관계자와 모여 의견을 수렴한 뒤, 국회에도 이 같은 안을 제출할 계획이다.
금융위는 지난 2월 디지털금융보안법 제정을 추진한다고 밝혔다. 금융사 자율적으로 보안 체계를 구축하게 하되, 사고 발생 시 높은 수준의 징벌적 과징금을 부과하는 게 핵심이다. 금융위와 금융감독원이 해당 금융사의 보안 자율 체계 평가 결과를 감독·검사 때 참고한다는 내용도 포함돼 있다.
디지털금융보안법에는 CISO 권한 강화에 대한 내용도 담길 예정이다. 금융 보안을 정보보호부서만의 일로 여기는 경향이 있어 전사적 차원에서 적극적으로 보안 역량 강화에 힘을 쏟지 않는다는 지적이 이어졌기 때문이다.
국회에서도 CISO의 권한을 강화하기 위한 입법 논의가 이어지고 있다. 지난달 유동수 더불어민주당 의원은 CISO 권한을 강화하는 내용을 골자로 하는 ‘전자금융거래법 일부개정법률안’을 발의했다. 대표이사가 CISO에게 업무를 독립적으로 수행할 수 있도록 실질적인 권한과 책임을 부여하고, 임기 2년을 법적으로 보장해야 한다는 내용이 포함돼 있다.
최근 금융권 내 보안 사고가 이어지며 당국도 대책 마련에 나선 상황이다. 지난달 가상자산거래소 업비트에서 해킹으로 회원 자산 445억원이 외부로 유출되는 사고가 발생했고, 지난 8월에는 롯데카드 회원 297만명의 개인정보가 유출됐다. 이달에는 신한카드 가맹점주의 개인정보 19만개가 외부로 빠져나가는 사고가 발생했다.
금융위 관계자는 “CISO가 사내 보안 관련 사안에 대해 보다 명확하게 의사결정을 할 수 있도록 지원하는 내용을 디지털금융보안법에 담기 위해 준비하고 있다”고 말했다.