[서울=뉴시스] 최홍 기자 = 앞으로 해킹 등 주요 보안 사고가 발생할 경우 담당 임원은 이사회에 의무적으로 보고해야 한다.

3일 금융권에 따르면 이같은 내용이 담긴 '전자금융감독규정'은 지난 2월 고시된 후 지난달부터 본격 시행됐다.

전자금융감독규정 제8조2 4항에 따르면 정보보호최고책임자(CISO)는 정보보호위원회 심의·의결사항을 최고경영자(CEO)에게 보고해야 한다.

또 CISO가 전자금융거래 안전성·신뢰성에 중대한 영향을 미친다고 판단하는 심의·의결사항은 이사회에 직접 보고해야 한다.

기존 경영진에 한정됐던 보고 의무를 이사회까지 확대한 것이다. 금융보안을 CISO와 정보보호부서만의 일로 여기는 경향을 배제하고, 전사적 차원으로 보안 역량을 강화하기 위함이다.

CISO로부터 직접 보고를 받게 된 이사회는 보안 사고와 관련해서도 강도 높은 책임을 지게 될 것으로 보인다.

다만, 이사회가 실제 제재를 받기까지는 법리적으로 모호한 부분이 남아있다.

책무구조도상 내부통제 관리 의무를 지니고 제재를 받는 대상은 대표이사, 담당 임원, 이사회 의장이고, 여기서 사외이사는 배제돼 있기 때문이다.

금융권 관계자는 "전자금융감독규정 개정에 따라 향후 이사회도 책임을 지는 방향으로 책무구조도가 변경될 수 있다"며 "중요 사항을 보고 받았다면 당연히 책임도 뒤따라야 한다"고 말했다.

실제 금융사 사외이사들은 감독규정이 개정되고 해킹 사고가 빈번해지자 외부로부터 받는 보안 교육을 늘리고 있는 것으로 알려졌다.

금융당국 관계자는 "제재하기 위해선 대상자가 감독자로서 책임이 있는 것인지 명확해야 한다"며 "책무구조도와 관련해선 아직 제도들이 적용 안 된 부분들이 있어 더 두고 봐야 한다"고 말했다.


◎공감언론 뉴시스 hog8888@newsis.com