[단독]금융사 정보보안 성적 매긴다

금감원, 별도 항목으로 5등급 평가… 점수 낮으면 점포 개설 등 불이익

금융감독원이 앞으로 은행, 증권, 보험 등 금융회사의 정보보안 등급을 매기면서 낮은 등급을 받은 금융사에 대한 감독을 강화한다.

연초에 터진 신용카드 개인정보 유출에 따른 재발방지 대책으로 금융당국이 금융사에 정보보안 평가등급을 매기는 것은 이번이 처음이다. 금융사가 정보보안을 소홀히 해 낮은 등급을 받을 경우 자회사 설립이나 해외점포 개점에 불이익을 받을 것으로 보인다.

31일 금융권에 따르면 금감원은 이 같은 내용의 전자금융감독규정 시행세칙 개정안을 마련해 이날부터 시행에 들어갔다. 금감원은 이 개정안에 따라 금융사의 정보기술(IT) 부문 실태평가 항목에 ‘IT 정보보안 및 보호’ 부문을 따로 두기로 했다.

금감원 관계자는 “지금까지 정보보안을 점검하기는 했지만 별도 항목으로 평가하지는 않았다”며 “평가를 강화하면 금융사들이 정보보안에 더욱 신경을 쓰게 될 것”이라고 말했다.

금감원은 금융사들이 정보보안 인력을 제대로 고용하고 있는지, 예산은 제대로 확보하고 있는지 등을 집중적으로 살펴볼 계획이다. 금융사가 정해진 보안 절차를 지키는지, 해킹에 따른 위험 수준을 제대로 관리하는지도 평가한다.

금감원은 금융사별로 정보보안 및 보호 항목에 대해 1등급(우수)∼5등급(위험)으로 등급을 매기고 결과를 해당 금융사에 통보할 예정이다. 4등급 이하를 받은 금융사에 대해서는 IT보안 개선권고 조치가 내려진다. 재무 건전성이 뛰어나도 보안등급이 4등급 이하면 경영실태 평가에서 1등급을 받을 수 없다. 금감원 관계자는 “IT 보안등급이 떨어져 경영실태 평가에서 낮은 점수를 받으면 자회사나 해외점포를 개점할 때 제한을 받게 될 것”이라고 설명했다.

다만 금감원은 개별 금융회사의 IT보안 평가등급을 외부에는 공개하지 않기로 했다. 금감원 측은 “금융사별 보안등급을 섣불리 공개하면 해커들의 공격 목표가 될 수 있다”고 설명했다. 하지만 금융권 일각에서는 각 금융사의 개인정보보호 수준에 대해 국민의 관심이 높은 만큼 평가 결과를 투명하게 공개해 금융사의 보안역량을 끌어올리는 방안을 검토해야 한다는 지적도 나오고 있다.

이상훈 기자 january@donga.com