전자금융감독규정 개정안의 주요내용 및 시사점 


법무법인(유한) 대륙아주 이창민 변호사
법무법인(유한) 대륙아주 정한준 변호사



1. 서론

현행 전자금융감독규정(이하 “감독규정”)은 전자금융법 제21조 제2항 “안전성 확보의무”에 대응하는 수범사항을 열거식으로 특정하는 미시적 행위규칙(Rule) 중심의 금융보안을 규제하고 있어, 상황에 따른 유연한 대응을 어렵게 하고 오히려 규정상 의무만 다하면 면책된다는 인식으로 인해 금융회사의 소극적 대응을 야기한다는 지적이 있어 왔습니다. 특히, AI, 클라우드 등 고도화되는 사이버 위협 등에 효과적으로 대응하기 위해 금융보안체계의 유연성 제고와 회복력 강화에 중점을 둔 제도개선의 필요성이 꾸준히 제기되어 왔습니다. 이에, 금융위원회는 금융보안규제를 규칙이 아닌 “목표·원칙” 중심으로 합리화하여 금융회사의 자율적 판단영역을 확대하고 적극적 보안투자를 이끌어 내기 위해 본 개정안을 마련하였습니다. 본 개정안의 주요내용을 살펴보면 아래와 같습니다.



2. 본 개정안의 개요

현행 감독규정의 총 293개의 세세한 규칙들을 166개로 대폭 줄였습니다. 즉, 지나치게 미시적, 세부적 사항은 원칙적으로 삭제하고(134건), 이용자 보호에 대한 부분은 강화하였으며(5건), 금융보안 핵심은 현행 유지하되(114건), 기타 규정은 조정·합리화(45건)하는 방식으로 축소하였습니다.



3. 본 개정안의 주요 강화 내용

가. 재해복구센터 설치의무 확대(제23조)

지난 2022년 카카오 데이터센터 화재 이후 재해발생시 재해복구센터를 이용한 신속한 업무 연속성 회복의 필요성이 확대되었고 현재 재해복구센터 구축 의무가 없는 중소 금융회사, 전자금융업자의 경우 화재 등 재해발생에 취약한 측면이 있어 재해 및 전자적 침해 등으로부터 금융전산 복원력 강화와 신속한 소비자 피해구제 필요성이 증대된 상황을 반영하여, 아래와 같은 기준을 충족하는 회사들까지 재해복구센터 구축의무가 확대되었습니다(개정안 제23조 제8항 제6호의2, 제8호 및 제11호). 이에 해당하는 회사들은 재해복구센터 구축의무를 이행하여야 할 것입니다. 

① 연간 총거래액 2조 원 이상의 전자금융업자(36개사) 
② 총자산 2조원 이상의 시설대여업자·할부금융업자·신기술사업금융업자(10개사)
③ 자체 전산시스템을 구축하여 운영하는 상호저축은행(12개사)


나. 전자금융사고 책임이행보험 한도 상향(제5조)

전자금융사고에 대한 최저보상한도가 낮은 수준(1억원)에 머물러 있어 물가상승을 반영하지 못하고 실질적인 피해보상에도 한계가 있다는 지적에 따라, 전자금융사고 관련 책임이행을 위한 보험 또는 공제에 가입시 설정해야 하는 보상한도가 아래와 같이 상향되었습니다(개정안 제5조 제1항). 

① 자산 2조원 이상의 금융투자업자: 5억 원 → 10억 원
② 여신전문금융회사·보험회사·저축은행: 1억 원 → 2억 원
③ 선불업자·PG업자 등: 1억 원 → 2억 원


다. 거버넌스 관련 CISO에 의한 이사회 보고규정 마련(제8조의2)

전세계적으로 금융보안 거버넌스를 강화하는 추세임에도 우리나라는 금융보안에 대한 이사회, 최고경영진의 역할이나 관심이 제한적인 편이고, 금융보안을 CISO(최고정보보호책임자) 및 정보보호부서에만 맡기는 경향이 있어 사고방비의 전사적 대응에 취약하다는 지적에 따라, CISO로 하여금, “전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미치는 심의ㆍ의결사항에 대해서는 이사회에 보고”하도록 하는 규정을 신설하였습니다(개정안 제8조의2 제4항). 



4. 본 개정안의 주요 삭제 내용

가. 건물(제9조), 설비(제10조), 전산실(제11조) 관련 지엽적 내용 삭제

종전 감독규정 건물, 설비, 전산실 등 관리보호를 위한 규정에는 회사의 자율에 맡겨도 충분한 지엽적, 상식적 내용이 많고, 실제 해당 규정위반으로 제재사례가 거의 없는 점에서 원칙만 남기고 세부내용을 삭제하였습니다. 

건물에 관한 사항(제9조)의 경우 출입구 경비원 통제, 비상계단 및 정전대비 유도등 설치, 피뢰설비 등에 관한 규정을 모두 삭제하고(제1호~제6호), 전원·공조 등 설비에 관한 사항(제10조)의 경우 자물쇠 설치, 자가발전 설비, 무정전 전원장치 등에 관한 규정을 모두 삭제하였으며(제1호~제7호), 전산실 등에 관한 사항(제11조)의 경우 CCTV설치, 출입문 이중 안전장치, 이중바닥설치, 항온계·항습계 등에 관한 규정을 모두 삭제하였습니다. 


나. 악성코드(제16조) 및 공개형 웹서버 관리대책(제17조) 규정 효율화

감독규정의 악성코드 감염 방지대책 및 공개용 웹서버 관리대책 중 다른 규정(제15조 해킹방지 등)과 중복되는 내용은 통합 또는 이동하고, 지나치게 구체적인 규율(각 호)은 삭제하고 원칙중심으로 합리화하였습니다. 정리하면 아래와 같습니다. 




다. 비현실적인 직무분리 세부규정 삭제(제26조)

현행 감독규정 제26조는 회사 부서의 권한·책임을 명확화하여 권한 오·남용을 방지하고자 직무분리를 규정하고 있으나, “금융회사 또는 전자금융업자는 정보기술부문의 내부통제를 위한 직무분리기준을 수립ㆍ운용하여야 한다”는 내부통제 직무분리 원칙(개정안 제8조의3)만 남기고 각 호 내용을 모두 삭제하였습니다. 


라. 비밀번호 설정방식 관련 획일적 규율 삭제(제32조, 제33조)

현행 감독규정은 “주민등록번호, 동일숫자, 연속숫자 등 제3자가 쉽게 유추할 수 있는 비밀번호의 등록 불가” 등과 같이 비밀번호 설정방식을 구체적으로 특정하고 있어 오히려 보안에 뛰어난 다른 비밀번호 정책 채택을 제한할 수 있고, 생체정보 등 신기술을 활용한 인증수단 도입에도 장애로 작용하였다는 지적에 따라, “제3자가 쉽게 유추할 수 없는 비밀번호 작성규칙 및 등록ㆍ변경 절차를 수립ㆍ운영할 것”이라는 규정상 원칙만 존치하고 각 호는 삭제하였습니다(개정안 제34조의3). 또한, 비밀번호 이외의 수단(지문인증 등)이 사용될 수 있는 점을 고려하여 “생체인증 수단 등 사용자 인증수단”을 비밀번호에 준하는 수단으로 포함하였습니다(개정안 제19조의2).


마. 기타 삭제된 내용

앞서 살펴 본 삭제 내용 외에도 “교육시간”과 같은 정보보호 교육 관련 미시적 내용(제19조의2)을 삭제하고, 사업추진(제20조), 계약(제21조), 감리(제22조) 등 금융보안과 직결되지 않은 세부규정을 삭제함으로써 자율적 판단이 특히 요구되는 경영·운영 사항에 대하여 유연성을 도입하였으며, 이용자 유의사항 공지(제35조)를 규정한 조항 역시 회사가 탄력적으로 판단하여 안전성 확보의 실효성을 높일 수 있도록 세세한 내용의 각 호를 삭제하였습니다. 



5. 시사점

그동안 정보기술이 빠른 속도로 발전하고 그에 따라 금융보안 생태계에 대한 위협 역시 진화되었음에도 불구하고 이를 규제하는 조항들이 지나치게 지엽적으로 규정되어 있어 현실 사안을 제대로 포섭하여 대응하지 못하는 한계가 있었습니다. 이번 개정안은 형식적인 수범사항을 다수 삭제하는 대신 기본 원칙을 명확하게 규정함으로써, 금융회사가 형식적으로 법규에 정해진 의무만 준수하면 면책된다는 소극적 인식에서 벗어나 금융보안을 실질적으로 준수해야 하는 핵심가치로 인식하도록 유도하기 위한 것입니다. 이에 금융회사 및 전자금융업자로서는 앞으로 보다 적극적으로 이러한 기본 원칙을 구현하기 위한 구체적인 수단과 절차에 대해 고민하고 현실적이고 실효성 있는 자율보안체계를 구축함으로써 “자율보안 수립·이행 및 책임성 강화” 중심으로 전환된 패러다임에 발맞추어 가야 할 것입니다. 이번 개정안은 3월 12일까지 규정변경을 예고하고, 의견 수렴 및 금융위원회 의결 등을 거쳐 공고시부터 시행될 예정입니다. 다만, 재해복구센터 설치 등 일부 조항에 대해서는 금융회사의 준비기간 등을 감안해 시행시점을 일정기간 유예하는 등의 보다 구체적인 경과규정을 마련할 것으로 보입니다. 따라서, 금융회사 및 전자금융업자는 이번 개정안의 후속 과정에 대한 지속적인 모니터링이 필요할 것입니다.