금융위원회(금융위)는 1일 금융보안 규제를 '규칙(Rule) → 원칙(Principle) 중심'으로 개선해 금융권의 자율 보안 토대를 마련하고, 금융전산 복원력을 강화해 재해·전자적 침해 등으로부터 금융시스템을 안정적으로 보호하는 등 내용을 담은 '전자금융감독규정' 개정안의 규정 변경을 예고했다.
특히 AI(인공지능), 클라우드 등 기술변화·고도화되는 사이버 위협 등에 효과적으로 대응하려면 금융보안체계의 유연성 제고와 회복력 강화에 중점을 둔 제도 개선의 필요성이 제기됐다. 이에 금융보안 규제를 목표·원칙 중심으로 합리화해 금융회사의 자율적 판단 영역을 확대하고 적극적 보안투자를 이끌어 내기 위해 전자금융감독규정 개정안을 마련했다.
대표적으로 사용자 비밀번호 설정 방식을 구체적으로 특정하던 규정을 삭제하고 금융회사 스스로 안전하다고 판단되는 비밀번호와 인증수단 관리 방식을 도입할 수 있도록 허용했다.
현행 비밀번호 설정 관련 규정은 '주민등록번호·동일 숫자·연속숫자 등 제3자가 쉽게 유추할 수 있는 비밀번호의 등록 불가', '비밀번호는 아이디·생년월일·전화번호를 포함하지 않은 숫자와 영문자 및 특수문자 등을 혼합해 8자리 이상으로 설정' 등 매우 세부적이다.
이 시각 인기 뉴스
금융당국은 비밀번호 설정 방식을 구체적으로 특정하는 건 오히려 보안에 뛰어난 다른 비밀번호 정책 채택을 제한할 수 있다고 판단했다. 또 다른 입법 사례와 비교해도 과도하며 생체정보 등 신기술을 활용한 인증수단 도입에도 장애로 작용한다고 봤다.
이에 '제3자가 쉽게 유추할 수 없는 비밀번호 작성 규칙 및 등록·변경 절차를 수립·운영할 것'처럼 규정을 단순하게 개선했다.
이 외에도 건물·설비·전산실 관리 및 각종 내부통제·사업 운영 등에 금융회사의 자율성을 대폭 확대했다.
2022년 카카오 데이터센터 화재 이후 재해·전자적 침해 등으로부터 금융전산 복원력 강화와 신속한 소비자 피해구제 필요성 등이 증대됐다. 이에 그간 규제 사각지대에 있던 일부 중소금융사와 전자금융업자에 재해복구센터 설치·업무복구 목표시간 설정 등이 의무화된다.
금융위는 전자금융감독규정 개정안의 규정 변경을 오는 3월1일까지 예고한다. 이후 금융위 의결 절차를 거쳐 공고 시부터 시행할 예정이다. 다만 재해복구센터 설치 등 일부 조항은 금융회사의 준비기간 등을 감안해 시행 시점을 일정 기간 유예하는 등 경과 규정을 마련한다.