금감원, SKT해킹에 "보안사고 최종 책임은 경영진"

금감원 이세훈 수석부원장은 15일 "보안사고는 금융회사의 중대한 피해로 직결될 수 있다"며 "이에 대한 최종 책임은 CEO 등 경영진에게 있다는 점을 명심하여 사이버위협에 대비한 보안체계 구축에 각별한 관심을 기울일 필요가 있다"고 밝혔다.

그러면서 "이를 위해 CISO는 이사회에 중요사항을 충실히 보고하는 등 최고 경영진의 보안 리더십이 원활하게 발휘될 수 있도록 적극 지원해야 한다"고 강조했다.

최근 SKT 유심정보 해킹 여파로 사이버 위협이 고조된 가운데 금융감독원 이세훈 수석부원장은 이날 열린 주요 금융업권 정보보호최고책임자(CISO) 간담회에서 이같이 밝혔다.

이날 간담회에서는 금융회사의 사이버 위협 대응 현황을 점검하는 한편, 금융권 보안 강화를 위한 당부 사항을 전달하고 애로·건의사항을 청취했다.

이 수석부원장은 또한 "금융회사의 업무범위 및 영업 확장 등 외형 성장에 따라 내부 IT 보안 역량도 이에 걸맞는 수준으로 갖추도록 노력해야 한다"며 "특히, 기본적인 보안 역량이 미흡함에도 업무 확장에만 치중하는 회사에 대해서는 업무 범위·규모에 제약이 따를 수 밖에 없다"고 언급했다.

이 수석부원장은 제21대 대통령 선거 등 정치적 상황을 틈탄 사이버 공격 가능성에 대비해 CISO들에게 평시보다 긴장감을 가지고 보안과 안전에 각별히 유의해 줄 것을 요청했다.

그는 "IT 정보자산에 대한 악성코드 탐지·방어체계의 보안 사각지대를 전사적으로 재점검하고 미흡사항은 즉시 보완해야 한다"고 당부했다.

금감원은 현재 가동 중인 비상대응본부를 중심으로 SKT 해킹 사고 여파로 인해 금융소비자 2차 피해가 발생하지 않도록 추후에도 집중 모니터링을 지속할 예정이다.

아울러 전 금융권이 신속하고 효율적으로 사이버 보안 위협에 대응할 수 있도록 금감원은 이달 중 금융보안원과 정보공유 및 협력강화를 위한 MOU를 체결하고 하반기까지 금융권 실시간 쌍방향 비상연락체계를 구축할 계획이다.

또, 금감원은 변화하는 디지털 금융 환경에 맞춰 금융회사 자율보안 역량과 IT 안전성 강화를 위한 감독 대책 마련에 나선다.

세부적으로 금감원은 금융권의 IT 안정성 및 복원력을 강화하고 사이버 위협의 복잡·다양화에 효과적으로 대응하기 위해 해외 감독기구 사례 등을 참고하여 대응방안을 수립할 예정이다.

더불어 금융권의 IT 인프라 운영 및 통제에 사각지대가 발생하지 않도록 금감원은 소규모 금융회사 또는 제3자에 대한 감독 강화도 추진한다. 금감원은 이들의 영세한 규모를 감안해 규제수준을 높이기 보다는 자체점검, 컨설팅 등을 통해 보안수준 개선을 유도하는 맞춤형 대책을 마련할 계획이다. [파이낸셜신문=임영빈 기자]