이 기사는 2025년 05월 15일 14시55분 thebell에 표출된 기사입니다

SK텔레콤 유심정보 유출 사고가 금융권 전반에 경각심을 불러일으킨 가운데 금융당국이 사이버 보안 체계에 대해 대대적인 손질에 나섰다. 전 금융권에 실시간 통합관제망을 구축하는 한편 보안사고에 대한 책임 범위를 최고경영자(CEO)까지 확대한다.

오는 8월부터는 금융사의 정보보호 책임자가 전자금융 관련 보안 위험을 이사회에 직접 보고해야 한다. 하반기까지 금융권 전반에 비상연락체계를 마련해 유사 위협이 발생하면 즉각적인 정보 공유와 공동 대응이 가능하도록 한다는 방침이다.

◇"보안 사고, 이제 CEO가 직접 챙겨야 할 리스크"

금융감독원은 15일 서울 여의도에서 은행·보험·증권·여신전문금융업권 정보보호최고책임자(CISO)들과 간담회를 열고 해킹 사고와 같은 사이버 위협에 선제적으로 대응하기 위한 실시간 통합관제체계 구축 방안을 제시했다. 동시에 사이버 보안 사고 발생 시 최종 책임 소재를 경영진 및 CEO까지 확대할 수 있다고도 강조했다.



간담회는 최근 SK텔레콤 해킹 사태로 인한 2차 금융 피해 우려가 커지는 가운데 마련됐다. 당시 고객의 휴대전화 번호와 유심 일련번호 등이 외부로 유출되며 이를 악용한 2차 금융 피해 가능성도 나왔다. 금융권은 사고 이후 부정거래 발생 여부에 대한 일일 모니터링을 실시하며 비상 대응 체제에 돌입한 상태다.

이세훈 금감원 수석부원장은 "보안 사고가 이제는 금융회사의 존망은 물론 결제 시스템 실패로까지 이어질 수 있는 심각한 사안"이라며 "단순히 실무진 차원에서 챙길 이슈가 아니라 경영진과 이사회가 관심을 갖고 주도적으로 챙겨야 한다"고 강조했다.

이 부원장은 "과거에 전산 구축이나 정보보안 측면에서 사고가 나도 경영에 큰 영향을 미치지 않는 만큼 실무진의 일이었지만 이제는 CEO를 비롯한 경영진이 직접적으로 관심을 가져야 할 경영 리스크가 됐다"고 밝혔다.

금융당국은 제도적 측면에서도 보안 책임을 강화하는 방향으로 규정을 개정했다. 지난 2월 개정된 전자금융감독규정에 따라 오는 8월부터는 각 금융회사의 CISO가 전자금융거래 관련 위험요인을 이사회에 직접 보고해야 한다.

이는 보안 사고에 대한 최종 책임이 CEO에게까지 확대될 수 있다는 의미다. 기존에는 보안 이슈가 실무선에서 소화되는 경우가 많았지만 앞으로는 경영진이 보안 이슈를 경영의 핵심 리스크로 인식하고 체계적으로 관리하도록 압박을 강화하는 방향이다. CISO의 위상을 제도적으로 끌어올림으로써 보안 관련 의사결정이 현장이나 전산부서가 아닌 이사회 차원에서 이뤄지도록 유도하는 셈이다.

현장에서도 이 같은 변화에 대한 기대가 감지된다. 이날 간담회에 참석한 한 카드사 CISO는 더벨과 만나 "CEO의 책임이 전반적으로 강화되는 가운데 정보보호 역시 CEO가 챙겨야 하는 리스크 중 하나"라며 "투자 결정에 있어서도 효과적이고 전략적으로 보안에 투자할 유인이 될 수 있다"고 말했다.

◇전 금융권 실시간 대응망 착수…제3자 감독도 강화

제도 개편과 함께 공동대응 체계 구축도 추진한다. 금감원은 이달 중 금융보안원과 정보공유 양해각서(MOU)를 체결하고 하반기 중 전 금융권을 대상으로 실시간 쌍방향 비상연락체계를 구축할 계획이다.

이 체계가 본격 가동되면 특정 금융회사에서 탐지된 해킹 시도가 다른 기관에도 즉시 공유돼 피해를 최소화할 수 있다. 과거에는 사고 발생 이후 개별 대응에 머물렀다면 이제는 네트워크 기반의 공동 대응 체계를 통해 사이버 위협을 실시간으로 차단하는 시스템으로 전환시킨다는 게 금감원의 목표다.

보안 인프라 투자 여력에 취약한 중소형 금융사를 향해서도 경고했다. 외형 성장에만 집중해 보안 인력과 예산 확충을 소홀히 할 경우 오히려 사고 위험이 더 커질 수 있다는 지적이다.

이 부원장은 "보안에는 많은 비용이 들어가지만 현실적으로는 비용 대비 효과를 따지다 보니 의사결정이 비용 절감 쪽으로 기울기 쉽다"며 "특히 계속해서 영업을 확장하고 업무를 늘려가는 중소형 금융사의 경우 그에 걸맞는 보안투자가 이뤄지지 않으면 사고 위험에 노출되기 쉽다"고 밝혔다.

금감원은 IT 인프라 운영과 통제에 사각지대가 발생하지 않도록 소규모 금융회사와 제3자에 대한 감독 강화도 추진할 계획이다. 중소 금융사에 대해서는 규제 강화보다는 자체 점검과 컨설팅 등을 통해 보안수준 개선을 유도할 방침이다.