금융사 IT·보안 ‘5・5・7’ 기준 효력 일몰, 완전 자율로…‘금융보안 거버넌스 가이드’ 개정
금융권의 IT・정보보호(보안) 인력과 예산에 관한 권고 기준, 일명 ‘5・5・7’ 규제 효력이 2020년 1월 1일로 일몰됐다.
지난 2011년부터 시행돼온 ‘5・5・7’ 기준은 전자금융거래에 대한 최소한의 안전성 확보를 위해 금융사 등이 일정수준 이상의 IT・보안 인력과 예산을 확보하도록 하한선 기준을 권고하는 전자금융감독규정(제8조 2항)을 마련했다. 이는 IT인력을 전체 인력의 5% 이상, 전체 IT인력 가운데 보안인력은 5% 이상, 보안예산은 전체 IT예산 중 7% 이상 각각 확보해야 한다는 내용이다.
권고 규정이긴 했지만 금융사는 이를 이행하지 않을 경우 그 사유를 공시해야했다. ‘5・5・7’ 기준의 효력이 사라지면서 금융사들의 공시 의무도 없어지게 된다. 이에 따라 금융사들이 자율적으로 IT・보안 정책과 계획을 수립할 수 있게 됐다.
이에 금융보안원(원장 김영기)은 금융권이 적정 IT・보안 인력 및 예산을 확보하기 위한 ‘민간 중심의 자율 기준’이 필요하게 됐다고 보고, 지난 2015년 4월 제정한 ‘금융보안 거버넌스 가이드’를 개정, 2일부터 시행에 들어갔다.
개정한 ‘금융보안 거버넌스 가이드’에는 금융권의 IT・보안 인력과 예산에 관한 권고 기준이 제시돼 있다.
가이드에 따르면, 금융회사 등은 안정적인 정보보호 활동을 위해 적정한 보안인력과 예산을 확보할 필요가 있으며, 적정한 보안인력과 예산은 대내외 환경과 자체 위험분석 결과 등을 종합적으로 고려해 산정해야 한다. 또 산정한 보안인력과 예산 비율이 자사의 위험 등을 적절히 반영했는지 주기적으로 검토해야 한다.
전자금융거래에 대한 최소한의 안정성 확보를 위해 일정 비율이상의 IT・보안 인력 및 예산을 확보할 필요가 있다는 점에서 5・5・7 기준의 비율을 최소한 준수할 것을 권고했다.
금융보안원은 “국내 금융권 현황은 물론 해외 사례를 고려해 5・5・7 기준의 비율을 최소한 준수할 것을 권고하도록 반영했다”며 “해외 대비 국내 금융권 현황은 수치가 좀 높게 나오고 있는 것은 사실”이라고 말했다.
금융감독원에 따르면, 2019년 6월 기준 국내 금융사의 보안인력은 IT인력 대비 10.2%, 보안예산은 IT예산 대비 10.6%를 확보하고 있다. 가트너 최근 조사에 따르면, 해외 기업의 보안예산은 IT예산 대비 평균 7.6%(금융부문)이며, 보안인력은 IT인력 대비 평균 5.6%를 보유하고 있다.
금융보안원은 “금융회사 스스로가 안전하고 신뢰할 수 있는 서비스 제공에 필요한 보안수준을 확보해나갈 수 있도록 금융당국과 금융회사를 지속적으로 지원할 계획”이라고 밝혔다.
2015년 4월에 제정된 ‘금융보안 거버넌스 가이드’는 정보보안 관련 최고경영층(CEO)의 의사결정 권한과 책임, 보안과 비즈니스 간 전략적 연계 등을 위해 지켜야 할 7개 금융보안 거버넌스 기본 원칙을 정의하고 있다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network
