금감원, "핀테크 보안, 사전규제 최소화·사후점검 강화"

[SFIS 2015]보안성 심의·인증방법평가위원회 폐지…거래 종료 때 개인정보 신속 삭제 지도

핀테크 시대, 금융감독원(이하 금감원) 정보보호 정책의 핵심은 '사전규제 최소화'와 '사후점검 강화'다. 핀테크가 활성화 되도록 보안에 대해서 시장의 자율성을 높여주되, 대신 책임은 엄격하게 묻겠다는 뜻이다.

금감원이 이와 같은 정보보호 정책 방향을 정한 것은 최근 정보보호에 대한 인식이 바뀌고 있다는 점이 반영됐다.

지금까지는 보안을 '비용'이라고 생각하는 경우가 많았다. 하지만 각종 보안사고를 겪으면서 더 이상 비용이 아닌 '투자'라는 인식이 강해졌다. 보안을 신경써야 하는 분야도 정보, 시스템 등 IT 분야로 한정돼 있었다면, 이제는 전사적, 사업 전체에 걸쳐 보안을 생각하지 않을 수 없게 됐다. 또 정보보호는 IT부서 직원, 보안전문가 등이 해야 하는 일로 여겼지만, 지금은 전부서, 전사원의 필수 업무로 자리잡았다.

보안에 대한 인식이 달라진 만큼 금감원은 핀테크가 활성화 될 수 있도록 정보보호에 대한 사전규제는 최소화화고, 사후점검은 강화할 계획이다.

사전규제 최소화는 보안성 심의와 인증방법평가위원회 폐지, 건별 규제에서 원칙중심의 보안체계 개선 등으로 실현한다.

사후점검 강화를 위해서는 개인정보 수집을 최소화하고 금융거래 종료 때 신속한 삭제가 되도록 지도하며, 카드정보 저장 PG(결제대행업체)에 대한 IT실태평가도 실시한다.

이와 함께 공인인증서 등 특정 기술의 의무 사용을 폐지하고, 은행·증권사 전자금융거래에 탑재된 액티브엑스(Active-X) 제거도 유도해 기술중립성의 원칙을 구현할 계획이다.


보안사고에 대해서는 비금융사가 법적 공동책임자가 되도록 하는 법 개정 등을 통해 책임부담을 명확히 할 수 있도록 하고, 전자금융사고에 대한 책임이행보험제도도 개선한다.

이 밖에 금융권 FDS(이상금융거래탐지시스템) 구축·고도화 지속 독려 및 지원, 보안인증 획득 유도와 매체분리 원칙 폐지, 앞서 발표된 금융전산 보안강화 종합대책(2013년 7월), 개인정보 유출재발 종합대책(2014년 3월) 등 기존 정보보호 강화 대책 충실 이행 등도 지속 추진한다는 방침이다.