한경 로앤비즈의 'Law Street' 칼럼은 기업과 개인에게 실용적인 법률 지식을 제공합니다. 전문 변호사들이 조세, 상속, 노동, 공정거래, M&A, 금융 등 다양한 분야의 법률 이슈를 다루며, 주요 판결 분석도 제공합니다
"해킹 막아라"…커지는 금융권 IT보안 수요, 대응 전략은? [태평양의 미래금융]
올해 3월 말 개인정보보호위원회는 A카드사에 대해 가맹점주의 개인정보를 동의 없이 마케팅에 활용했다는 이유로 과징금 134억 원과 시정·공표 명령을 부과한 바 있다. 그런데 약 한 달 뒤, B통신사는 악성코드로 인해 고객의 유심 관련 일부 정보가 유출됐다고 공지했다. 이처럼 2025년 들어 정보보호와 관련한 기업의 법적 책임이 그 어느 때보다 무겁게 부각되고 있다. 특히 금융기관의 경우, 고객 정보 보호는 일반 기업보다 훨씬 중요하다. 유출 시 피해가 크기 때문에 정보보안 문제는 더욱 철저하게 다뤄져야 한다.

증가하는 '보안 리스크'…금융보안 규제 전면 개편

금융위원회는 이미 2022년에 급변하는 IT환경과 새로운 보안 리스크에 금융회사 또는 전자금융업자(이하 “금융회사 등”)가 탄력적으로 대응할 수 있도록 금융보안규제 선진화 방안을 마련했다. 이 방안은 금융 분야에서 클라우드, 빅데이터, 인공지능(AI) 등 디지털 신기술 활용이 확대되면서 보안 취약점을 노린 랜섬웨어나 DDoS(디도스) 공격 등 사이버 위협이 다양해지는 상황에서, 기존 금융보안 규제로는 보안 리스크에 효과적으로 대응하기 어렵다는 문제의식에서 마련됐다.
김병환 금융위원회 위원장이 지난달 7일 서울 종로구 정부서울청사에서 열린 정례 기자간담회에서 모두발언을 하고 있다. 사진=뉴스1
김병환 금융위원회 위원장이 지난달 7일 서울 종로구 정부서울청사에서 열린 정례 기자간담회에서 모두발언을 하고 있다. 사진=뉴스1
올해 2월 5일에는 이 방안을 실행하기 위한 1단계 조치로 전자금융감독규정 개정안이 시행됐다. 개정안은 금융보안 거버넌스를 강화하기 위해 종전에는 정보보호최고책임자(CISO)가 정보보호위원회 심의·의결 사항을 단순히 최고경영자에게 보고하던 것을 한 걸음 더 나아가 전자금융거래의 안전성과 신뢰성에 중대한 영향을 미치는 사안에 대해서는 이사회에 보고하도록 규정했다. 또한 금융회사 등이 전사적 차원에서 보안 위협을 스스로 진단하고, 복잡하고 다양해지는 위험에 유연하게 대응할 수 있도록 규제체계를 ‘규칙(rule) 중심에서 원칙(principle) 중심’으로 (293개의 행위규칙을 166개로 정리)했다.

“IT감사 체계 구축…금융권·로펌까지 전방위 대응”

금융감독원은 규제 체계를 ‘규칙 중심’에서 ‘원칙 중심’으로 전환함에 따라, 금융회사의 자율적 IT 보안 관리 책임이 커졌다고 보고 지난 2월 13일 IT 내부통제와 감사 기준을 담은 가이드라인을 발표했다.

이번 가이드라인은 금융감독원 IT검사 지적사례 및 국제 표준 등을 참고해 금융업계(금융협회 및 저축은행중앙회, 핀테크산업협회 등) 의견 수렴을 통해 마련했다. 가이드라인은
자체 IT리스크에 맞는 3단계 IT내부통제 체계 구성 사각지대 없는 통제 범위 설정 사 IT감사 독립성 확보 및 표준 IT감사 방법론 등을 권고사항으로 제시하고 있다.
"해킹 막아라"…커지는 금융권 IT보안 수요, 대응 전략은? [태평양의 미래금융]
금융감독원은 “이번 가이드라인은 행정지도 등 금융 규제에는 해당하지 않지만 향후 이행 여부를 관리하고 IT 실태평가 기준으로 활용할 예정”이라는 입장이다. 이에 따라 금융회사 등은 사실상 가이드라인에 맞춰 IT 감사 체계를 구축할 필요가 있는 것으로 보인다. 만약 이 같은 IT 감사 체계를 갖추지 못한 상태에서 최근 카드사나 통신사에서 발생한 것과 비슷한 유형의 정보 유출 사고가 발생할 경우 금융회사는 법적 책임은 물론 사회적 비난도 피하기 어려울 전망이다. 이런 상황을 의식해 일부 회사들은 이미 단독으로 또는 컨소시엄을 구성해 가이드라인에 부합하는 IT 감사 체계 마련에 착수한 것으로 보인다.

이 같은 흐름에 발맞춰 법무법인 태평양도 이달 초 ‘정보보호 전략컨설팅팀’을 신설했다. 기업의 정보보안 리스크 진단부터 정책 수립, 대응 체계 구축, 교육 지원까지 아우르는 통합 서비스를 제공하며, 고객 요청 시 외부 보안 전문기업과의 기술 협업도 가능하다. 태평양은 특히 미래금융전략센터와 연계해 기업 맞춤형 IT 컴플라이언스 컨설팅을 강화한다는 계획이다.

경영 리스크 직결..."사전 대비 만전 기해야"

이제 금융회사 등에게 IT 보안은 정보보호최고책임자(CISO)나 관련 부서만의 업무가 아니다. 이사회와 최고경영층이 직접 정보보호 전략 수립에 참여하고 책임져야 할 문제로 전환됐다. 단순히 보안 규정을 준수하는 수준을 넘어, 회사 스스로 보안 수준을 능동적으로 끌어올려야 하는 시대로 접어든 것이다.

신뢰를 기반으로 하는 금융회사 등에게 보안 사고는 치명적이다. 감독당국이 선제적으로 IT 정보보안 관련 내부통제 자율 점검을 위한 가이드라인까지 제시한 만큼, 금융회사 등은 외부 전문가의 도움을 받아서라도 사전 대비에 만전을 기할 필요가 있다.
박영주 법무법인 태평양 변호사
박영주 법무법인 태평양 변호사
박영주 법무법인 태평양 변호사 l 고려대학교 법학과를 졸업하고 2012년 사법연수원 41기를 수료했다. 이트레이드증권에서 약 2년간 근무하면서 증권 관련 소송 및 내부통제 업무를 수행했다. 그 후 금융감독원에서 약 8년간 증권회사와 전자금융업자 감독·검사(금융회사 제재조치, 초대형 투자은행 지정 등), 은행법, 전자금융거래법 등에 관한 법률자문 업무를 담당했다. 부동산신탁회사 인가 태스크포스(TF), 전자금융거래법 개정 TF 등에도 참여했다. 현재는 선불업자, PG업자 등록 등 전자금융거래법과 관련한 법률자문을 하고 있다.

태평양의 미래금융전략센터(센터장: 한준성 고문)는 2024년 5월 출범하여, 금융권 디지털 혁신 가속화와 금융 기술 발전에 발맞춰 가상자산·전자금융·규제 대응·정보보호 등 금융 및 IT 분야 최정예 전문가들로 진용을 구축하고 있다.