[서울=뉴시스] 최홍 기자 = 금융회사 해킹사고가 빈번하게 발생하자 금융당국이 금융사의 보안성 평가를 법적으로 강화한다.

그간 보안 평가는 법적 강제력이 없어 권고 수준에 그쳤는데, 앞으로는 해당 평가 결과가 미흡할 경우 이행강제금 등 금전제재가 부과될 방침이다.

25일 금융권에 따르면 금융당국은 이같은 내용을 '디지털금융안전법'에 반영 중이다.

디지털금융안전법은 지난해 말 이재명 대통령 업무보고에서 금융당국이 해킹 재발을 막기 위해 내놓은 것이다. 금융사, 전자금융업자, 가상자산사업자 등 전 업권의 금융보안체계를 구축하기 위해 마련됐다.

그간 금융당국은 전자금융거래법(전금법)을 통해 금융사의 해킹 사고를 관리·감독해 왔다.

그러나 전금법은 페이업체 등 전자금융업자의 거래를 중심으로 명시돼 있어 모든 업권의 해킹 사고를 세밀하게 감독하기엔 한계가 있었다.

전금법에 가상자산사업자가 포함되지 않은 점도 문제로 꼽힌다. 최근 업비트가 445억원의 자금을 해킹 당했으나, 보안 책임과 관련해 법적으로 업비트를 제재할 근거가 없는 것도 이 때문이다.

또 전금법 시행령에는 금융사가 금융보안원 등 외부 전문기관을 통해 전자금융기반시설에 대한 취약점을 분석·평가하고 금융위에 보고하도록 돼 있으나, 이를 강제할 제재 근거는 없다.

이에 금융당국은 디지털금융안전법에 전자시설 취약점 분석·평가와 관련해 금전제재를 마련한다는 계획이다.

외부기관과 금감원이 요구하는 개선사항을 금융사가 제 시간에 이행하지 않을 경우 과태료를 비롯해 강제이행금을 부과하는 방안을 검토하고 있다.

아울러 금융보안원이 금융사의 보안 수준을 진단하는 이른바 '보안성 실태평가'도 해당 법에 반영된다.

▲지배구조 ▲물리적 인프라 ▲탐지·방어 능력 등의 체크리스트 항목을 통해 보안성을 체계적으로 진단하는 것이다. 금감원의 경영실태평가와 유사한 방식이다.

4점을 만점으로 하며, 결과를 토대로 개선계획 등 컨설팅도 이뤄진다.

해당 점수는 향후 금융사들이 해킹사고를 당했을 때 제재 근거로 활용되기도 한다. 점수가 미흡할 경우 제재가 가중되고, 점수가 높으면 일정 수준으로 제재를 감면해 준다.

금융권 관계자는 "보안체계가 상대적으로 약한 중소형 금융사들에 긍정적으로 작용할 것으로 전망된다"며 "금융권 전반적으로 해킹 방어 능력이 제고될 것으로 보인다"고 밝혔다.


◎공감언론 뉴시스 hog8888@newsis.com