현재 규제 대상 기관의 인력․조직․예산 등을 규정하고 있는 전자금융감독규정 제8조

와 제8조의2 등에 위험 평가에 기반한 보안위험관리에 관한 역할과 책 임을 규정하는

등 관련 요건을 명시적으로 규정 하고, 앞서

에서 제시한 PSD2의 구 성을 기준으로 보유한 정보 등의 보호와 취약점 분석을 규정

하고 있는 전자금융감독규정 제12 조, 제13조, 제37조의 2 등은 위험평가에 근거하 여

정보자산이나 업무의 중요성을 인식하고 이 에 근거하여 보안수단의 적용․평가와 접

근기 록 관리를 적용하며, 재난 등에 대비한 비상대책 수립을 규정하고 있는 제23조는

복구조치의 우 선순위를 위험평가에 근거하도록 규정하고, 소 속 임․직원에 대한 보안

교육에 관한 제19조의2 는 위험평가에 따라 핵심역할을 수행하는 대상 자를 선별하고

역할에 보다 특화된 교육을 제공 하도록 규정하는 것이 가능할 것이다. 새로운 금융시

장 참여자가 규제 목적에 적합 한 보안 역량을 보유하고 시장에 진입하며, 이 후에도

지속적으로 유지․개선하도록 하기 위해 허가 또는 등록 단계부터 대상 기관에게 규제

목적에 부합하는 명확한 기준과 가이드를 제공 할 필요가 있다. 영국의 경우 영업행위

감독청 (Financial Conduct Authority, FCA)이 시장참 여를 희망하는 기관 등에 대해

PSD2에 대응하는 자국 법규(The Payment Services Regulations 2017)의 이해를 돕

기 위한 가이드 문서[10]를 제공하고 있는데, 여기서 허가 또는 등록 요건 의 하나인

보안위험관리를 위한 보안수단의 기 준으로 2014년에 영국정부가 중소기업 정보보

호 컨소시엄(Information Assurance for Small and Medium Sized Businesses,

IASME) 등과 공동으로 개발한 보안인증체계로 사이버 안전 관련 기본적인 공통 필수

항목을 제시하는 사이버 에센셜(Cyber Essentials)[30]을 참조하도록 예시하고 있다.

국내에도 PSD2와 같은 제도가 도입된다면 IT기업 등 기존 금융기관과는 다른 새로운

시 장 참여자가 금융시장에 적합한 보안체계를 보다 용이하게 확보하여 금융시장의

안정성 을 저해하지 않도록, 법규 등에서 보안위험 대 응 관련 요건을 적정하게 제시하

는 것뿐만 아 니라 금융시장에 적합한 보안위험관리체계의 가이드를 제공하는 것이

적절한 지원이 될 수 있다. 이를 위해 앞서 확인한 ISMS인증 제도의 활 용을 고려할 수

있는데, 동 인증은 금융보안원 이 금융 분야 인증기관으로 금융에 특화된 점 검항목 등

을 개발․운용하여 왔으며, 2019년부 터 기존 ‘정보보호 관리체계(ISMS)’ 인증과 ‘개 인

정보보호관리체계(PIMS)’ 인증을 ‘정보보호 및 개인정보보호 관리체계(ISMS-P)’ 인

증으 로 통합하여 수요 기관의 필요에 따라 인증 종 류를 선택할 수 있도록 변경된 제

도[29]하에서 도, 인증기관으로서 동일한 역할을 수행한다. 따라서 금융당국과 협력하

여 동 기준을 기반 으로 새로운 시장 참여자를 위한 금융시장 진 입 시 보유해야하는

보안체계에 대한 가이드를 수립하기에 용이하며, 앞서 영국의 사례처럼 금융당국이

동 가이드를 규제요건에 대한 참조 예시로 제시하는 방식 등으로 규제 목적과 내 용에

대한 이해를 높이는 유용한 수단이 될 수 있다. 또한, 법규에서 모든 보안 요건을 제시

하 는 것보다 기술 발전과 보안위험 변화에 더 유 연하게 대처할 수 있고, 시장 진입 시

에 구축한 보안체계의 참조기준과 서비스 제공 시 인증기 준에 통일성이 있으므로, 실

제 인증 취득 여부 와 관계없이 서비스 제공 단계에서도 지속적으 로 보안위험 대응에

관한 참조 지침으로 활용 하는 것이 가능하다.

출처 : 토토사이트추천 ( https://ptgem.io/ )

댓글 남기기