「전자금융감독규정」 개정안 예고

2024.2.1. 금융위원회는 금융보안 규제 선진화의 1단계 추진 방안으로서 「전자금융감독규정」 개정안에 대한 규정 변경을 예고하였습니다. 예고 기간은 2024.2.1.~2024.3.12.까지 총 40일이며, 이후 금융위원회 의결 등의 절차를 거쳐 공고 시부터 시행될 예정입니다. 다만, 재해복구센터 설치 의무 확대 등 규제 강화 조항의 경우, 업계 의견 등을 수렴하여 개정안 시행 후 최소 6개월 이상의 유예 기간이 부여될 예정입니다.

1. 「전자금융감독규정」 개정 배경
    「전자금융감독규정」은 2006년 제정된 미시적 행위 규칙(Rule) 중심의 금융보안 규제를 현재까지 큰 틀에서 유지하고 있어, 금융회사에 수단 선택의 자유를 주지 않고 구체적인 보안 수단, 방법을 열거식으로 특정하고 있습니다. 이에 상황별 유연한 보안 대응을 곤란하게 하고 금융회사의 소극적 행태를 초래한다는 지적이 있어 왔습니다. 특히, AI, 클라우드 등 기술 변화 및 고도화되는 사이버 위협 등에 효과적으로 대응하기 위해, 금융보안 체계의 유연성 제고와 회복력 강화에 중점을 둔 제도 개선의 필요성이 제기되어 왔습니다.

    이에 따라 2022년 12월 「제5차 금융규제혁신회의」에서 ‘금융보안 규제 선진화 방안’을 논의하였으며, 여기에는 (i) 금융회사 등이 리스크 기반의 자율 보안 체계를 구축할 수 있도록 규율 체계를 개선하고, (ii) 목표∙원칙 중심, 사후 책임 중심으로 규제를 전환하고자 하는 내용이 포함되어 있었습니다. 금번 「전자금융감독규정」 개정안은 위 ‘금융보안 규제 선진화 방안’의 1단계 추진 방안으로서, 보안 규제 선진화의 시급한 요구를 감안하여 법률 개정 없이 가능한 범위 내에서 「전자금융감독규정」 개편을 우선적으로 추진하여 자율 보안의 기초 토대를 마련하고자 하는 것이며, 이를 바탕으로 법률 개정과 자율 보안 체계로의 단계적인 전환도 검토할 예정입니다.

2. 「전자금융감독규정」 개정안의 주요 내용
    「전자금융감독규정」 개정안은 크게 금융보안 규제를 ‘규칙(Rule)→원칙(Principle) 중심’으로 개선하는 내용과 함께, 2022년 카카오 데이터센터 화재 이후, 재해·전자적 침해 등으로부터 금융 전산 복원력 강화와 신속한 소비자 피해 구제 필요성 등이 증대됨에 따라 일부 강화된 규제의 내용을 담고 있습니다. 주요 내용은 다음과 같습니다.

    ① ‘규칙(Rule)→원칙(Principle) 중심’의 규제 개선 및 자율성 강화
        우선, 금융보안 규제를 규칙(Rule) 중심에서 원칙(Principle) 중심으로 개선하고자 293개에 달하는 세세한 행위 규칙(Rule)을 166개로 획기적으로 줄였습니다. 규정 형식도 사전 통제적·열거적 형식을 지양하고 원칙과 목적을 제시하는 방향으로 개선하였고, 나머지 세세한 부분은 금융회사가 스스로 결정할 수 있도록 자율성을 대폭 확대하였습니다. 이에 따라 ‘삭제’한 규정 일부는 시행세칙에 규정하고 그 밖의 규정은 폐지∙통합하거나 해설서로 설명할 예정입니다. 해설서는 시행세칙 등의 이해를 위한 설명자료에 해당하므로 미준수 시에도 제재 대상이 되지 않는다는 점을 명확히 하고 있습니다.

        대표적인 규제 완화 사례는 다음과 같습니다.
        
        

    ② 금융보안 거버넌스 강화
        현재 금융보안에 관한 사안은 정보보호최고책임자(CISO) 및 정보보호 부서에 국한되어 있어 전사적 대응이 취약하다는 문제가 있는바, 금융보안 거버넌스를 개선하였습니다.

        ■ 금융보안 관련 이사회 보고(§8-2④): 정보보호최고책임자(CISO)로 하여금 정보보호위원회 주요 심의·의결 사항 등을 이사회에 보고하여 처리하도록 하는 규정 마련

    ③ 재해복구센터 설치 의무 확대 등 금융전산 복원력 강화
        금융전산 복원력을 강화하여 재해·전자적 침해 등으로부터 금융시스템을 안정적으로 보호하고자, 재해복구센터 확충, 사고 시 이용자 보호 체계 강화 등에 중점을 두어 개정안이 마련되었습니다. 대표적인 내용은 다음과 같습니다.

        ■ 재해복구센터 설치 의무 확대(§23⑧): 일정 기준을 충족하는 전자금융업자, 여신전문금융회사, 저축은행에 대해 재해복구센터(DR센터) 구축 의무화
        ■ 전자금융사고 책임이행 보험 한도 상향(§5): 특히 최근 3년간 전자금융사고가 자주 발생한 자산 2조 원 이상의 금융투자업자에게 적용되는 최저 보상한도를 10억 원으로 상향
        ■ 전자금융사고 보고 위반 시 과태료 부과(§73→§37-5): 전자금융사고 보고 미이행 시 과태료 부과 근거가 없어 규범력 확보에 애로사항이 있었으나, 보고 의무 위반 시 과태료 부과가 가능하도록 조문을 이동함

3. 시사점
    이번 「전자금융감독규정」 개정안은 금융회사 및 전자금융업자의 자율성을 강화하는 한편 금융전산 복원력 강화와 관련하여서는 금융회사 및 전자금융업자의 책임을 확대하고 있는바, 이러한 내용의 「전자금융감독규정」 개정안이 통과되면 금융회사 및 전자금융업자는 기존 「전자금융감독규정」상의 보안수단이나 방법에 제한되지 않고 보다 효과적인 보안수단을 도입할 수 있을 것으로 기대됩니다. 다만, 금융보안 수준이 적정한지 여부는 구체적인 사안에 따라 개별적으로 판단될 것으로 예상되므로 정해진 원칙에 부합하는 수준으로 운용되도록 유의할 필요가 있을 것으로 보입니다.

    한편, 금융전산 복원력 강화와 관련하여 일부 강화되는 규제도 있으므로 각 금융회사 및 전자금융업자는 어떠한 규제를 추가적으로 준수하여야 하는지 등을 자세히 검토하여 「전자금융감독규정」 개정안의 시행에 대비할 필요가 있습니다.

    금융위원회는 금번 「전자금융감독규정」 정비를 통하여 급변하는 금융 IT 환경∙보안 리스크에 유연하게 대응하고 금융권은 자율보안 체계 확립의 토대를 마련하고자 하는 것으로, 이를 시작으로 중장기적으로 법률 개정(2단계)과 함께 자율보안 체계(3단계)로의 전환을 추진하고 있습니다. 특히, 2단계 법률 개정이 될 경우, CEO, 이사회 등의 금융보안 관여도·책임도를 높이고, ‘금융회사 수입의 일정 비율’ 혹은 ‘업무 정지 기간 이익’ 수준의 실질적 과징금 부과가 예상되는 등 위험에 비례한 규제체계 도입 기반 마련을 계획하고 있으므로, 향후 규제의 변화를 계속하여 지켜볼 필요가 있겠습니다.


법무법인(유) 광장의 디지털금융팀은 「전자금융거래법」에 대한 업계 최고의 전문가들로 구성되어 있으며 「전자금융거래법」과 관련한 다양한 법률적 사항이나 쟁점들에 대하여 폭넓게 자문을 해왔습니다. 위 내용과 관련하여 법률 전문가의 도움이 필요하신 경우 언제든지 법무법인(유) 광장의 디지털금융팀으로 연락 주시기 바랍니다.