자율적으로 판단․대처할 수 있는 능력

8월 7, 2020 by 댓글 없음

금융시장의 혁신을 위해 정책적으로 시장 참 여자를 확대하는 상황에서 목적을 훼손하지 않 으면서도 다양

한 특성을 가진 기관이 금융시장 에서 직면할 보안위험에 적정하게 대응할 수 있도록 전자금융에 대한 규제

를 개선할 필요가 있으며, 유럽연합과 미국 등이 제도적으로 위 험평가에 기반한 보안위험 관리․대응 체계

를 강조하는 것은 의미 있는 시사점을 제시한다. 앞서 분석한 것처럼 국내 규제체계는 금융기 관이 보안위

험에 대응하기 위하여 보유해야 할 물리적․논리적․관리적 보안수단과 통제절 차를 분야별로 상세하게 제시

하고 기관은 이를 준수함으로써 보안위험에 대응하도록 하고 있 으며, 금융기관에 대하여 위험평가와 위험

관리 체계 등을 보유하도록 직접적으로 규정하고 있 지는 않다. 현재의 규제방식도 대상과 환경에 따라 규

정 을 지속적으로 변경․확대하여 규제 대상 기관 이 보안위험에 적정하게 대응토록 할 수 있지 만, 이는 단순

히 규정 준수만을 목표하는 경향 과 직면한 보안위험과 대응 역량의 차이에 관 계없는 동일한 수준의 대응

이라는 부작용이 있 을 수 있다. 또한 규제 대상이 빠르게 변화․증 가하는 상황에서는 대응할 보안위험도 보

다 다 양해지며, 대상 기관이 잠재적인 위험에 대해 서도 자율적으로 판단․대처할 수 있는 능력을 보유토록

할 필요도 있다. 따라서 규제 대상 기관의 자율적인 보안위험 대응능력 향상이 보다 적합한 규제방향이라

할 수 있으며, 앞서 확인한 것과 같이 기관이 위험 평가에 기반한 보안위험 관리․대응 체계를 보 유하도록 규

정하되, 필요한 부문에 대해서는 지금과 같이 보안수단과 통제절차 등을 상세하 게 제시하는 규제방식의 개

선이 필요하다. 국내 금융당국도 2015년 ‘금융IT부문 자율보 안체계 확립 방안[14]’에서 법규 및 행정지도

를 준수하는데 그치는 기존 방식이 아니라 기관의 자율적인 보안능력 향상을 통해 자신의 보안에 대해 스스

로 책임지는 자율 보안체계를 강조하 였다. 또한, ‘정보통신망 이용촉진 및 정보보호 등 에 관한 법률’ 제47

조에 근거하여 ISO27001를 기반으로 조직의 정보보호관리체계를 평가하는 정보보호 관리체계 인증

(Information Security Management System, 이하 ISMS인증)에서도 [24], 이러한 방향성을 확인할 수 있

다. 동 인증 은 전기통신 사업자 등은 의무적으로 획득해야 하며 금융 분야에서도 적극 활용하고 있는데, 전

체 3개 인증영역 중 관리체계 수립 및 운영 영역의 16개 인증기준에 위험관리 관련 4개 기 준을 포함한다

[25]. 이처럼 금융시장에서 보안위험에 대응하는 정부의 규제는 이미 대상 기관이 적정 보안위 험 관리체계

를 구축하도록 하는 방향성을 보이 고는 있으나, IT기업 등 기존과 다른 유형의 조 직에 대한 금융시장 참여

를 촉진하는 상황에서 는 본 연구에서 확인한 PSD2의 제도적 대응과 같이 서비스 제공자가 시장에 진입하

기 전인 허가 또는 등록 단계부터 위험평가에 기반한 보안위험 관리체계를 보유․유지․개선하도 록 전자금융

감독규정 등 관련 법규에서 보다 적극적으로 반영할 필요가 있다. 다만 앞서 제4장의 PSD2와 국내법규의

보안 위험에 대한 제도적 대응의 비교․분석 등에서 확인한 것처럼 규제 대상 기관이 보유해야하는 각 분야

별 보안통제와 수단 등에 대한 요건은 이미 국내법에서 높은 수준으로 규정하고 있으 므로, 규제 대상 기관

의 조직 요건에 위험평가 에 기반한 보안위험관리 관련 역할․책임 및 보고체계 등 조직 관련 요건을 반영하

고, 실제 각 분야의 보안수단 및 통제절차에 관한 규정 중에서 위험평가에 근거하도록 규정에 명시할 필요

가 있는 경우 관련 내용을 추가하는 방식 의 개선이 가능할 것이다

출처 : 사설토토사이트 ( https://ptgem.io/ )

Leave a Comment