|
2단계에서는 가명정보에 국한된 데이터를 개인신용정보를 직접 처리할 수 있도록 범위를 늘린다. 가명정보는 특정 집단에 맞추는 상품 개발에 용이하다면, 개인신용정보를 활용하면 개개인 맞춤형 상품 개발이 가능하다.
금융당국의 최종목표는 ‘디지털 금융보안법’(가칭) 제정이다. 이를 통해 ‘자율보안-결과책임’이라는 원칙을 확립하겠다는 방침이다. 이에 따라 열거식 행위 규칙(Rule) 중심의 금융보안 규제를 목표·원칙(Principle) 중심으로 전환하고, 금융회사 등은 자체 리스크 평가를 바탕으로 세부 보안 통제를 자율적으로 구성할 수 있도록 한다.
다만 자율에 따른 책임은 강화한다. 중요 보안사항의 CEO·이사회 보고의무 등 금융회사 등의 내부 보안 거버넌스를 강화하고, 전산사고 발생시 배상책임 확대 및 실효성 있는 과징금 도입 등 법적 근거 마련을 통해 금융회사 등의 보안 노력 제고를 유도할 예정이다.
아울러 제3자 리스크(3rd-party risk)에 대한 관리를 강화하기 위해 제도를 정비할 계획이다. AI, 클라우드, 데이터센터 등 금융권의 제3자에 대한 정보처리 위탁이 지속적으로 증가하는 만큼 이에 대한 리스크 관리방안이 필요하다는 판단에 따른 것이다. EU·영국 등 해외 선진사례 연구를 토대로, 국내 환경에 맞는 도입 방향을 검토해 관련 제도 정비를 추진할 방침이다.
김병환 금융위원장은 “망분리 의무화 규정은 그동안 금융권의 IT 자산을 보호하는 중요한 역할을 해왔으나, 이제는 그 시대적 소임을 다했다”며 “디지털 금융혁신이라는 새로운 시대적 요구에 맞춰 망분리를 과감히 개선할 것”이라고 말했다.