금융회사 보안담당자가 반드시 알아야 하는 것-1

로마는 로마법. 금융회사는 여러법?

법! 법!! 법!!!

금융사 면접을 앞두고 있다면 관련법부터 봐야 한다. 전자금융거래법, 전자금융감독규정, 개인정보보호법 등. 이외에도 어느 정도 숙지해야 할 법들은 더 있으나 저 3개부터 먼저 보면 된다. 정말 시간이 없다면 전자금융감독규정만이라도 한번 읽어보길 바란다.

<www.law.go.kr과 친해져야 한다>

위 사진처럼 국가법령정보센터에 들어가면 모든 법을 검색할 수 있다.

법에도 우선순위가 있다. 법 하나에 모든 내용을 담을 수 없기 때문에 구조적으로 되어있다.

<법령 구조, 출처: 한국법제연구원>

이해를 돕기 위해 한 가지 예시를 들어 보겠다.

---

“모든 사과는 공식 마트에서만 판매해야 한다.” --- 사과법

“사과법의 ‘공식 마트’는 아래와 같다.” ---사과법 시행령

1. 파란 마트

2. 빨간 마트

3. 기타 마트

“사과법 시행령에서 ‘기타 마트’란 아래와 같다.” ---사과 규정

1. 보라 마트

2. 채소 법에서 정한 마트

---

사과 하나 판매하기 위해 사과법, 사과법 시행령, 사과 규정에 채소 법까지 봐야 한다. 또 채소 법은 채소 법 시행령, 채소 규정으로 구성되어있을 것이다.

법이 생각보다 완벽하게 정리되어 있지 않은 부분도 있다. 해석의 차이도 있기 때문에 법의 내용만 봐서는 안된다.

예를 들면 “파란 마트 안에 있는 녹색 마트는 사과를 팔아도 되는지”.

녹색 마트는 공식 마트가 아니지만 공식 마트 안에 있는 경우인데 상당히 애매하다.

공식 마트 안에서 파는 거니 상관이 없을 수도 있고, 법에 녹색 마트는 나와있지 않으니 안될 수도 있고. 사람마다 다양하게 생각하기 때문에 해석상의 차이가 있을 수밖에 없다.

파란 마트의 사과를 녹색 마트가 위탁 판매하는 거라면 업무 위수탁 관련법을 봐야..

이렇게 애매한 경우 비조치 의견서를 통해 감독당국의 의견을 받을 수 있다. 비조치의견서는 특정 행위가 금융감독법규에 위반되는지 여부를 회신받은 문서다. 감독당국의 제재 여부에 대한 의사결정을 문서로 알려주어 법적 불안을 줄여줄 수 있다. 이러한 의견서는 금융규제민원포털에서 조회해 볼 수 있다.

<금융규제민원포털>

대부분의 금융회사 정보보안담당이 하는 업무는 법적인 이유 때문이다. 금융감독원같은 감독기관은 종종 금융회사를 점검하곤 하는데 법 조항들을 하나하나 들이밀면서 법을 지켰는지, 지키기 위해 노력은 했는지, 얼마나 했는지에 따라 과태료를 부과한다.

많은 금융회사들이 금융감독원에게 제재와 경영유의를 받는다. 어떤 금융회사가 검사를 받고 제재를 받았는지 금융감독원 사이트에서 공시하고 있다.

<제재관련 공시를 검색할 수 있다.>

주로 관련부서가 IT·핀테크 전략국이나 디지털 금융 검사국인 경우 전자금융거래법이나 전자금융감독규정을 근거로 제재하고 중요정보는 비식별화하여 공개한다.

<제재 내용>

금융회사도 은행, 증권 , 보험 등 여러 개로 나뉘기 때문에 업권에 따라 추가적으로 참조해야 하는 법도 다르다. (제재근거도 업권마다 다 다르다.)

뒤에서 설명하겠지만 시행령의 한 부분만 바뀌어도 담당자가 검토해야 할 것들이 많기 때문에 미리 관련 법규에 익숙해지면 좋다.

금융회사의 정보보안은 법으로 시작해서 법으로 끝난다고 봐도 과언이 아니다.

법적 근거에 의해 수행되는 업무가 대다수이지만, 신규 솔루션 도입이나 개선을 위해 비용이 들어갈 때에 경영진을 법적 근거만으로 설득시키기 어려울 때도 있다.

"금감원이 하라고 하면 꼭 해야 해? 왜? 그냥 과태료 내면 안되나?"라고 하는 경영진도 있기 마련이다.

과태료나 감사지적을 한번 받는 게 신규 투자비용 대비 낫다고 생각할 수 있으나 금융회사 이미지 타격 등 보이지 않는 손실이 있기 때문에 보안성을 강화하기 위한 사유를 함께 강조하면 좋을 것이다.