금융위원회는 2024. 2. 1. 전자금융감독규정 개정안에 대한 규정 변경을 예고하였습니다. 이번 개정안은 금융보안 규제를 “규칙(Rule) → 원칙(Principle) 중심”으로 개선하고, 금융전산 복원력을 강화하여 재해·전자적 침해 등으로부터 금융시스템을 안정적으로 보호하는 내용 등을 담고 있습니다.
금융회사 스스로 새로운 리스크에 유연하게 대응할 수 있도록 감독규정 정비를 통해 293개에 달하는 행위규칙(Rule)이 166개로 줄어들 예정입니다(삭제 134건, 강화 5건, 현행유지 114건, 조정·합리화 45건). 규정 형식이 목표·원칙 중심으로 합리화되면서 세세한 부분은 금융회사가 스스로 결정할 수 있도록 규제가 완화되지만, 반대로 금융전산 복원력(Cyber Resilience), 이용자 보호, 금융보안 거버넌스 관련 규제는 강화됩니다.
주요 강화 및 조정 규정
1. |
전자금융사고 책임이행보험 한도 상향 (제5조)
|
2. |
금융보안 거버넌스 강화 (제8조, 제8조의2) |
3. |
재해복구센터 설치의무 확대 (제23조)
|
4. |
사고보고 의무 위반 시 과태료 부과 (제37조의4, 제37조의5) |
주요 규제완화 사례
수범사항 중 내용이 지나치게 지엽적·미시적인 경우, 유사 입법례 대비 과도한 규정의 경우, 금융회사의 자율성이 존중되어야 하는 경우, 과거 제재사례가 드문 경우 등은 원칙적으로 삭제되었습니다. 삭제된 규정 중 일부는 시행세칙에 규정되며(총 134건 중 29건), 그 밖의 규정은 폐지·통합하거나 해설서로 설명될 예정입니다. 주요 삭제 규정은 아래와 같습니다.
-
건물, 설비, 전산실 등 관리·보호 규정 (제9조 - 제11조)
-
악성코드 및 공개형 웹서버 관리대책 규정 (제16조 - 제17조)
-
정보보호 교육시간 규정 (제19조의2)
-
IT시스템 사업추진, 계약, 감리 관련 규정 (제20조 - 제22조)
-
직무분리 세부 규정 (제26조)
-
일괄작업에 대한 통제 규정 (제30조)
-
비밀번호 설정방식 규정 (제32조 - 제33조)
-
이용자 유의사항 공지 규정 (제35조)
향후 대응 방향
금번 전자금융감독규정 개정안에 대해서는 2024. 2. 1. 부터 2024. 3. 12. 까지 40일 간의 예고기간 동안 의견을 수렴한 후 금융위원회 의결 등 절차를 거쳐 공고 시부터 시행될 예정입니다. 다만, 재해복구센터 설치의무 확대 등 강화된 규제에 대해서는 업계 의견을 수렴하여 최소 6개월 이상 유예기간이 부여될 수 있습니다.
한편, 금융위원회는 2022. 12. 단계별 금융보안 규제 선진화 방안을 마련하였으며, 금번 전자금융감독규정 정비(1단계) 이후, 금융보안 분야만의 별도 법률개정(2단계) 및 이를 바탕으로 자율보안 체계로의 단계적 전환(3단계)을 추진할 예정입니다. 특히, 법률개정과 관련하여 CEO, 이사회, 현업부서의 책임이 강화되도록 내부 보안거버넌스를 설계하고, 사고 후 책임 강화를 위한 과징금 제도를 실질화하며, 위험에 비례한 규제체계 도입(과태료 차등 등) 기반을 마련할 계획이 있다는 점도 참고하시기 바랍니다.
개정안은 금융회사의 자율적 판단영역을 확대하고 적극적 보안투자를 이끌어내기 위한 취지로 마련되었으나, 금융보안 거버넌스 강화 등 일부 강화된 규제에 따라 신규 또는 확대된 의무를 부담하게 될 수 있습니다. 따라서 기존 사업구조 및 보안 체계가 개정안의 내용에 부합하는지 검토하고, 관련 내규·지침의 개선을 준비할 필요가 있습니다. 또한, 개정안의 해석이 불분명한 경우 등 예고 사항에 대해 의견을 신속히 개진할 필요가 있는지 여부도 점검하시기 바랍니다.
[영문] Pre-Announcement of a Proposed Amendment to the “Electronic Finance Supervisory Regulations”
관련 이슈