금융보안원, ‘금융보안 거버넌스 가이드’ 제시

5·5·7기준 효력 만료 따라 민간 중심 자율 기준 내놔

금융보안원(원장 김영기)은 5·5·7기준의 효력이 1일로 끝나면서 ‘금융보안 거버넌스 가이드’를 개정해 금융권의 IT·보안 인력 및 예산에 관한 권고 기준을 2일 제시했다.

5·5·7기준이란 금융회사 등이 일정 수준 이상 IT·보안 인력 및 예산을 확보하도록 권고하는 하한선 기준이다. IT인력은 전체 인력의 5% 이상 확보, 보안인력은 전체 IT인력의 5% 이상 확보, 보안예산은 전체 IT예산의 7% 이상 확보하도록 했다. 권고기준이지만 대부분의 금융회사 등이 이를 상회하는 IT·보안 인력 및 예산을 확보하고 있다.

이 기준이 지난 1일까지만 효력을 가지면서 금융권이 적정 IT·보안 인력 및 예산을 확보하기 위한 ‘민간 중심의 자율 기준’이 필요해졌고 금융보안원이 금융보안 거버넌스 가이드를 개정해 제시하게 된 것이다.

권고 기준은 IT·보안 인력 및 예산 확보를 위한 기본 원칙을 제시했다. 금융회사 등은 안정적인 정보보호 활동을 위해 적정한 보안인력 및 예산을 확보할 필요가 있다. 적정한 보안인력 및 예산은 금융회사 등이 대내외 환경 및 자체 위험분석 결과 등을 종합적으로 고려해 산정한다. 금융회사 등은 산정한 보안인력 및 예산 비율이 자사의 위험 등을 적절히 반영했는지 주기적으로 검토한다.

최소한의 IT·보안 인력 및 예산에 대한 기준도 제시했다. 전자금융거래에 대한 최소한의 안정성 확보를 위해 일정 비율이상의 IT·보안 인력 및 예산을 확보할 필요성이 있다. 국내 금융권 현황 및 해외 사례 등을 종합적으로 고려해 5·5·7 기준의 비율을 최소한 준수할 것을 권고했다.

금융보안원 관계자는 “금융회사 스스로가 안전하고 신뢰할 수 있는 서비스 제공에 필요한 보안수준을 확보해나갈 수 있도록 금융당국 및 금융회사를 지속해서 지원할 계획이다”라고 밝혔다.

민현배기자