금융회사인데 취약점 점검 안 해도 돼?

네니오

필자가 개인적으로 검토한 내용으로 법령해석이나 비조치의견서를 받아야 명확한 내용임을 참고 바란다.

금융회사인데 취약점 점검 및 결과보고를 반드시 하지 않아도 되는 경우가 있다.

단, 아래의 조건을 만족해야 한다.

1. 전자금융거래와 관련이 없을 것

근거 1 : 법령해석 (링크)

근거 2 : 전자금융서비스가 없는 경우 금융보안원의 홈페이지 모의해킹 대상에 포함되지 않음

2. 홈페이지의 경우 고유식별정보를 처리하지 않을 것

 근거 1: 홈페이지에서 해당 정보를 처리하는 경우 연 1회 이상 취약점 점검 및 개선 조치를 해야 함

          (개인정보보호법 제29조 -> 시행령 제30조 -> 안전성 확보조치 기준 제6조)

---

개인정보의 안전성 확보조치 기준 제6조(접근통제)  ④ 고유식별정보를 처리하는 개인정보처리자는 인터넷 홈페이지를 통해 고유식별정보가 유출ㆍ변조ㆍ훼손되지 않도록 연 1회 이상 취약점을 점검하고 필요한 보완 조치를 하여야 한다. 

---

금융회사가 위 2가지 조건을 만족하는 경우는 흔치 않다. 개발용 VM, 브랜드 홈페이지 등..

전자금융거래는 아니지만 고유식별정보를 처리하는 경우
특별법인 전자금융거래법을 우선시해서
취약점 점검 안 해도 되는 거 아니에요?

법령에서 특별히 정하는 사항에 대해서만 해당 특별법을 적용해야 한다. 하지만 위와 같은 경우, 전자금융거래가 아닌 경우는 전자금융거래법에 해당되지 않기 때문에 해당 법령의 해석이 해당되지 않고, 개인정보보호법에 따라 취약점 점검을 수행해야할 것이다.

다만, 전자금융거래법에서 요구하는 금융위원회 보고까진 하지 않고 개선 조치까지만 해도 무방할 것이다.