금융위원회는 2024. 2. 1. 자로 규정 변경을 예고한 「전자금융감독규정」 일부 개정 규정안을 2025. 2. 5. 의결하였습니다. 이는 같은 날 시행되었고, 이에 맞추어 「전자금융감독규정 시행세칙」도 개정ㆍ시행되었습니다. 금번 개정은 금융보안 규제를 “규칙(Rule) → 원칙(Principle) 중심”으로 개선하여 금융권의 자율보안 토대를 마련하고, 금융 전산 복원력을 강화하여 재해ㆍ전자적 침해 등으로부터 금융시스템을 안정적으로 보호하는 내용을 담고 있습니다.
개정 배경, 원칙 중심으로 변경된 구체적인 사항에 관하여는 본 뉴스레터에 첨부된 저희 법무법인의 지난 뉴스레터를 참고하여 주시고, 이하에서 개정 「전자금융감독규정」의 주요 내용에 관하여 살펴보겠습니다.
1. 금융 전산 복원력 강화를 위한 규제 강화
1) 재해복구센터 구축 의무 확대(§23⑧)
개정 「전자금융감독규정」에서는 시스템 오류, 자연재해 등으로 인한 전산센터 마비에 대비하여 업무 지속성을 확보할 수 있도록 적정 규모ㆍ인력을 구비한 재해복구센터를 주 전산센터와 일정 거리 이상 떨어진 안전한 장소에 구축ㆍ운용할 의무를 다음과 같은 자에 대하여 확대하였습니다.
다만, 해당 규정은 물적 설비 구축 기간을 감안하여 개정 「전자금융감독규정」이 시행된 후 1년이 경과한 2026. 2. 5.부터 시행됩니다.
2) 전자금융사고 책임이행 보험 한도 상향(§5①,②)
금융회사 또는 전자금융업자는 전자금융사고 책임이행을 위하여 보험 또는 공제에 가입하여야 하는데, 개정 「전자금융감독규정」에서는 보험의 최저 보상 한도를 다음과 같이 상향하였습니다. 2개 이상의 인허가를 보유하고 있는 금융회사는 보상 한도의 금액을 합하되 전자금융업자의 경우에는 15억 원을 최대로 합니다.
■ 자산이
2조 원 이상인 금융투자업자: 5억 원 →
10억 원
■
여신전문금융회사(신용카드업자 제외), 보험회사, 상호저축은행 등 금융회사: 1억 원 →
2억 원
■ 선불전자지급수단 발행 및 관리업자 등
전자금융업자(은행, 금융투자업자, 신용카드업자 등의 금융회사가 발급한 신용카드, 직불카드 등 거래지시에 사용되는 접근매체의 정보를 저장하는 전자지급결제대행업자 제외): 1억 원 →
2억 원
또한, 금융회사가 명시된 보상 한도에 대하여 보험에 가입하는 것에 그치는 것이 아니라 “전자금융거래 규모, 전자금융사고 발생 건수 등”을 고려하여 최저 보상 한도 ‘이상’으로 책임이행보험 등에 가입하도록 명확하게 규정하였습니다.
다만, 위 규정은 보험 가입 기간 등을 감안하여 개정 「전자금융감독규정」이 시행된 후 1년이 경과한 2026. 2. 5.부터 시행됩니다.
3) 침해사고, 전자금융사고 관련 보고 의무(§37-4, §37-5)
개정 「전자금융감독규정」에서는 전자적 침해 행위로 인하여 전자금융기반시설이 교란ㆍ마비되는 등의 침해사고가 발생한 사실을 안 때에는 지체 없이 보고할 의무를 부과하였으며, 이는 정당한 사유 없이 그 사실을 안 때로부터 24시간을 경과하여서는 아니 됩니다.
또한, 기존에 전자금융사고 보고에 관하여 제73조에 규정되어 있었는데, 이를 제3장(전자금융거래의 안전성 확보 및 이용자 보호)의 제37조의5로 이동하여, 사고 보고 위반 시 법률 제21조 제2항 위반으로 과태료 부과가 가능하도록 개정하였습니다.
한편, 보고 대상인 사고는 「전자금융감독규정 시행세칙」 제7조의4에서 규정하고 있는데, 주요 변경 내용은 다음과 같습니다.
2. 금융 보안 거버넌스 강화(§8-2④)
개정 「전자금융감독규정」에서는 정보보호위원회 심의·의결 사항 중 정보보호최고책임자(CISO)가 전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미친다고 판단하는 심의·의결 사항에 대하여는 이사회에 보고할 의무를 규정하였습니다.
이는 금융보안을 정보보호최고책임자(CISO) 및 정보보호부서만의 일로 여기는 것이 아니라 전사적 차원에서 적극적으로 보안 역량 강화에 힘을 쏟도록 하기 위한 것으로 이해됩니다.
다만, 위 개정 규정은 금융회사의 내규 정비 등 준비 기간을 고려하여 개정 「전자금융감독규정」이 시행된 후 6개월이 경과한 2025. 8. 5.부터 시행됩니다.
3. "규칙(Rule) → 원칙(Principle) 중심"의 규제 개선 및 자율성 강화
개정 「전자금융감독규정」은 (i) 건물, 설비, 전산실 관련 규정(§9, §10, §11), (ii) 악성코드 및 공개용 웹서버 관리 대책 관련 규정(§16, §17), (iii) 직무 분리 관련 규정(§26), (iv) 사업 추진, 계약, 감리 관련 규정(§20, §21, §22), (v) 일괄 작업에 대한 통제 관련 규정(§30), (vi) 비밀번호 설정 방식 관련 규정(§32, §33) 등 관련하여, 지엽적인 내용은 삭제하고 원칙(Principle) 중심으로 각종 대책, 기준, 절차 등을 수립ㆍ운용하도록 개정하였습니다.
또한, 정보보호시스템 운영, 프로그램 통제 등 일부 규정에 관한 구체적인 내용은 「전자금융감독규정 시행세칙」에서 규정하고 있습니다.
4. 시사점 – 별도의 디지털 금융보안법제 마련 관련
금번 규정 개정은 자율보안의 기초 토대를 마련하고자 하는 것입니다. 금융당국은 과거부터 지속적으로 금융보안 규제 선진화 방안을 논의하였고, 금융회사가 리스크 기반의 자율보안체계를 구축할 수 있도록 규율 체계를 개선하고자 하였습니다. 이를 위하여 금번 「전자금융감독규정」 개정을 통하여 보안 규제를 정비하는 한편, 향후 “자율보안-결과책임”을 주요 내용으로 하는 별도의 디지털 금융보안법제를 마련하여 금융보안 패러다임을 자율보안체계로 전환해 나갈 것입니다.
한편, 금융감독원이 2024년 8월 발표한 「금융 분야 망분리 개선 로드맵」에도 3단계 추진 과제로 자율보안-결과책임 원칙에 입각한 새로운 금융보안체계를 구축하겠다는 내용이 포함되어 있습니다. 이에 따르면, 금융당국은 법령을 통해 주요 보안 원칙·목표를 제시하고 구체적·기술적 보안 통제 사항은 가이드로 모범 사례를 제시할 예정이고, 금융회사로서는 업무 환경, 인프라, 보안 역량 등에 대한 자체 리스크 평가를 통해 자율적으로 세부 보안 통제를 구성하여야 할 것입니다. 또한, 전산사고 등에 대한 금융회사의 책임을 강화할 예정이라고 밝힌 점도 유의할 필요가 있습니다.
이러한 변화는 금융회사가 규정만 준수하는 것에서 나아가 다변화되는 사이버 위협, 발전하는 IT 환경 등에 적극적으로 대응하도록 하기 위한 것으로 이해됩니다. 따라서 금융보안 규제를 준수하여야 하는 금융회사 및 전자금융업자는 자율보안체계로 전환되는 디지털 보안 법제에 관하여 규제 변화를 계속하여 지켜볼 필요가 있겠으며, 자체적인 보안체계를 수립ㆍ이행하고 점검하는 등 새로운 금융보안 패러다임에 대한 준비를 철저히 할 필요가 있을 것입니다.
법무법인(유) 광장의 디지털금융팀은 「전자금융거래법」, 금융보안에 대하여 탁월한 실력과 경험을 갖춘 전문가들로 구성되어 있으며 이와 관련한 다양한 법률적 사항이나 쟁점들에 대하여 폭넓게 자문을 해왔습니다. 위 내용과 관련하여 법률 전문가의 도움이 필요하신 경우 언제든지 법무법인(유) 광장의 디지털금융팀으로 연락주시기 바랍니다.