규칙의 시대에서 원칙의 시대로: 금융보안의 패러다임 시프트 [김앤장 핀테크·가상자산 인사이트]

최근 금융권에서 발생한 일련의 IT·보안사고는 금융회사들은 물론 규제당국까지 긴장감을 갖게 하였으며, 지난 4월 7일 금융감독원은 ‘금융보안 패러다임 전환 간담회’를 통해 금융회사 스스로 IT리스크를 조기 인식하고 적시 대응하는 ‘선제적 위험관리’를 확립하도록 감독 수단을 재설계할 것을 발표했다. 이제 금융회사는 이러한 패러다임 변화에 맞추어 IT·보안 규제의 적용 여부를 일일이 따지는 방식에서 벗어나, 스스로 취약점을 발굴하고 통제 체계를 구축해야 하는 시대를 맞이하게 됐다.

현재의 금융당국이 패러다임의 변화는 ‘선제적 위험관리’에 관한 것으로 IT·보안 규제의 근본적 전환을 의미한다. 2025년 2월 대폭 개정된 전자금융감독규정은 293개 행위규칙을 166개로 축소하며 ‘규칙(Rule)→원칙(Principle) 중심’으로 개편되었으며, 이는 단순히 규정의 숫자만을 줄인 것이 아니라, 금융회사가 전사적 차원에서 보안위협을 스스로 진단하고 유연하게 대응하는 자율보안체계로의 전환을 의미한다.

금융회사는 이제 규정에 명시된 내용만 준수하는 소극적 차원의 컴플라이언스 체계로는 IT·보안사고 예방에 대해 실효성을 확보할 수 없고, 스스로 IT내부통제의 미흡한 영역을 발굴하고 다양한 시나리오와 상황을 가정하여 선제적으로 보안체계를 마련할 필요가 있다.

통제 영역별 자율관리 체계 구축

금융회사가 자율보안체계를 실질적으로 구축하기 위해서는 다음과 같은 핵심 통제 영역에서 자체적인 관리 체계 마련이 필요하다.

첫째, 프로그램 변경 통제 영역이다. 금융업과 관련된 모든 프로그램 변경에 관하여 승인, 테스트, 이행, 검증의 전 과정을 체계적으로 관리해야 한다. 최근 일련의 사고에서 드러났듯 기본적인 보안 설정조차 관리되지 않는 상황에서는 프로그램 변경 과정의 취약점이 치명적 침해 경로가 될 수 있으므로, 긴급 변경을 포함한 프로그램 변경 절차에 있어 승인과 책임 추적 체계를 명확히 할 필요가 있다.

둘째, 전산원장 및 중요 데이터 변경 통제이다. 전산원장이나 고객정보 데이터베이스에 대한 직접 적인 변경은 엄격한 승인 절차와 이중 확인 체계를 요구한다. 이를 위해서 일괄작업을 이용한 원장변경을 포함하여 모든 변경 이력을 자동으로 기록하고, 긴급상황시에도 평사시와 유사한 수준의 통제가 적용될 수 있는 체계와 시스템 구축이 필요하다.

셋째, 외부 업체 및 제3자 리스크 관리다. 이는 단순한 계약 관리를 넘어선다. 외부 개발 업체, 클라우드컴퓨팅 서비스 제공자, 제휴 핀테크 업체 등 모든 제3자에 대한 보안 수준을 정기적으로 평가하고, 금융회사 시스템에 접근하는 경로를 식별하여 통제하는 활동이 필요하다.

시나리오 기반 보안리스크 관리의 중요성

일련의 사고로 인해 금융당국이 개최한 점검회의, IT리스크 대응 대책회의 등에서 공통적으로 강조된 것은 ‘실체적 관리와 조치’이다. 형식적 점검을 넘어 다양한 침해 시나리오를 가정하고 이에 대한 대응 체계 검증이 이루어질 필요가 있다.

예를 들어, VPN 장비에 대한 해킹 시나리오, 내부자에 의한 데이터 유출 시나리오, 취약점을 통한랜섬웨어 공격 시나리오, 클라우드 서비스 장애 시나리오 등을 구체적으로 설정하고, 각 상황에서 어떻게 탐지하고, 대응하고, 복구할 것인지 실제 훈련을 통해 검증하는 방안을 고려할 수 있다.

또한 금융회사 스스로 IT리스크 항목을 추출하는 능력이 중요하다. 노후 장비 및 EoS(End of Service, 서비스 지원 종료), 내부망 시스템의 망분리 미흡, 주요계정 관리 부실, 긴급 보정작업(Patch) 미실시 등 기본적이지만 치명적인 취약점을 자체적으로 발굴하고 우선순위를 정하여 단계적으로 개선하는 노력이 필요하다.

자율보안체계에 따른 결과책임과 자체 통제의 필요성

전자금융거래법 및 하위 법령에는 IT·보안사고 발생 시 금융회사에 결과책임을 부과할 수 있는 근거 조항이 존재한다. 실제 과거 사례를 보면, 금융감독원은 다수의 사고 및 장애 사례에서 프로그램의 운영시스템 적용시 충분한 테스트 및 관련 책임자의 승인을 의무화한 전자금융감독규정 제29조 위반으로 제재한 바 있다.

이러한 결과책임 체제에서는 규제기관의 가이드라인을 적극적으로 반영하는 것이 필수적이다. 금융감독원은 물론 개인정보 보호위원회, 금융보안원 등 각 규제기관 및 관련기관이 제시하는 가이드라인은 단순한 참고사항이 아니라, 결과책임 체제에서 스스로를 방어하기 위한 최소 기준이 된다.

이를 위해 금융회사는 경영진, 이사회, 현업부서를 포괄하는 전사적 보안 거버넌스를 구축할 필요가 있다. IT내부통제는 IT부서만의 문제가 아니라 경영 전반의 이슈로 다루어져야 하며, 보안과 IT분야에 인력과 예산 등 자원을 투입하는 것에 대해 결과책임을 감당하기 위한 전략적인 접근이 요구된다.

체질 개선을 통한 자율관리 역량 확보

현 시점에서 금융회사는 ‘사고를 막는 보안’에서 ‘사고 후 복원력을 위한 보안’까지 사고의 전환을 고려해야 할 시점이다. 규제 적용 여부를 일일이 따지는 수동적 자세에서 벗어나, 스스로 취약점과 내부통제 미흡 영역을 발굴하고, 프로그램 변경·데이터 관리·제3자 리스크·신기술 도입 등 다양한 방면에서 자체적인 통제 장치를 마련할 필요가 있다.

자율보안체계는 이제 선택이 아닌 생존의 조건이 되었다. 자율관리 역량을 갖추지 못한 금융회사는 결과책임의 무게를 고스란히 감당해야 할 것이다. 현재와 같이 규제환경과 보안체계가 급변하는 상황에서는 한 발 앞서 선제적으로 문제를 해결하고자 하는 자세가 절실히 요구된다.

[김앤장 핀테크·가상자산 인사이트]에서는 빠르게 변화하는 디지털 금융 환경 속에서 핀테크, 가상자산, 블록체인 산업을 둘러싼 법제〮도와 규제 동향을 살펴보고 기업과 실무자들에게 필요한 시사점을 전달하고자 합니다.
김동일 변호사는 디지털금융, 핀테크 등 금융IT 및 정보보호 규제 분야에서 법률자문을 제공하며, IT 컴플라이언스 현황 컨설팅 및 유관기관의 IT검사 대응 업무를 활발히 수행하고 있습니다.

이 기사가 마음에 들었다면, 좋아요를 눌러주세요.