금융위원회는 6일 이러한 내용의 '정보보호 상시평가제'를 내년 2월4일부터 시행한다고 밝혔다. 금융당국에 점검결과를 제출해야 하는 대상은 금융회사, 공공기관 등 약 3653개 기관이다.
이는 가명정보, 데이터 결합 등 새로운 데이터 환경에서 금융기관의 개인신용정보 보호 수준을 더욱 체계적으로 점검하기 위해 마련됐다. 최근 인공지능(AI) 등 신기술, 가명·익명정보, 데이터 거래·결합 등 데이터의 종류와 양이 많아지고 활용방식이 다변화됨에 따라, 정보보호 체계도 지속적으로 개선해야 할 필요성이 커지고 있다.
이에 따라 금융당국은 우선 금융권 정보보호 실태를 면밀히 점검할 수 있도록 점검항목을 9개 대항목 143개 소항목으로 정밀하게 나눴다. 동의·수집·제공·삭제 등 정보의 생애주기(Data Life-Cycle)에 따른 전반적인 사항을 점검할 수 있도록 평가항목을 구체화했다.
또 정보보호 점검항목별로 준수정도에 따라 이행, 부분이행, 미이행, 해당없음 등 4단계로 구분해 촘촘한 정보보호 체계를 마련했다.
새로 도입되는 제도를 체계적으로 관리하고 파악할 수 있도록 평가기준도 마련된다. 가명정보와 추가정보의 분리보관, 전송요구·철회 이행 현황, 데이터 전문결합을 통해 데이터 결합했는지 여부 등을 점검하고, 일정기간 점수가 우수하고 사고가 없는 기업은 사고발생시 제재감면 등의 혜택을 부여하는 '안전성 인증마크'를 부여한다.
점수·등급부여 방안과 안전성 인증마크 운영 세부사항은 추후 안내할 예정이다.
효율적인 검증시스템도 도입된다. 전문기관인 자율규제기구(금융보안원)를 통해 금융권 정보보호 실태 점검을 수행해 점검의 효율성을 높인다는 방침이다. 정보보호 실태 점검을 위한 인력을 보강하고, 레그테크(RegTech) 기반 상시평가지원시스템을 구축해 점검 과정을 자동화 한다. 레크테크란 규제(Regulation)와 기술(Technology)의 합성어로 복잡한 금융규제들을 비대면·자동화를 통해 쉽게 준수할 수 있도록 지원하는 기술을 말한다.
금융권 정보보호 수준을 수치화, 통계화 등을 통한 전산자료 형태로 축적해 금융당국의 감독·검사에 활용할 계획이다.
금융회사 등은 직전연도 개인신용정보 보호 실태에 대한 자체평가를 수행하고 금융보안원에 결과를 제출한다. 금융보안원은 금융회사의 제출내역에 대해 점검을 수행하고 점검결과를 기반으로 점수·등급을 부여하며, 금융당국은 금융회사 등의 평가결과를 기반으로 현장점검, 테마검사 등 취약점 보완 조치를 수행하는 방식이다.
이밖에 적극적인 점검 환경을 조성하기 위해 금융회사 등의 규모·역량과 관계없이 일정 수준 이상의 정보보호 체계를 스스로 갖출 수 있도록 지원한다. 중·소형 금융회사도 대형 금융회사와 유사한 수준의 정보보호 역량을 갖출 수 있도록 유도한다는 것이다.
금융회사 등은 사례별·유형별로 정보보호를 스스로 수행할 수 있는 가이드라인을 마련한다. 정보보호 평가항목 및 근거법령 내용해설, 평가방법, 증빙방법(예시 등)으로 구성해 자가점검과 개선을 지원한다.
금융위는 "정보보호 상시평가제로 새로운 데이터 처리 환경에서도 일관성 있고 안전한 정보보호를 통해 국민의 신뢰성을 제고할 수 있게 된다"며 "금융권 정보보호 수준의 체계적 점검, 금융당국의 정밀한 모니터링, 금융권의 자체점검 능력향상을 통해 정보유출 등 사고 발생 가능성을 낮출 것으로 기대한다"고 말했다.
금융위는 금융권 정보보호 상시평가제 시행에 앞두고 내년 1월까지 시범운영을 실시하고, 상시평가제 세부적인 운영을 위한 가이드라인은 내년 1월 배포할 계획이다.
상시평가제 운영에 대한 공정성·객관성 등을 확보하기 위해 이달 중 금융보안원에 상시평가위원회를 10명 이내로 구성한다. 올해 개인신용정보 관리·보호 실태평가는 내년 3월 말까지 제출해야 한다.
◎공감언론 뉴시스 channa224@newsis.com