금융감독원이 국내 금융사들에게 정보보안을 경영의 핵심 과제로 삼을 것을 공식적으로 요구하고 나섰다. 사이버 위협이 나날이 고도화되는 가운데, 단순한 비용이 아니라 금융회사의 생존을 위한 투자라는 인식 전환이 필요하다는 판단에서다.

이세훈 금융감독원 수석부원장은 12월 16일 열린 ‘금융정보보호협의회’ 제23차 정기총회에서, 모든 금융회사의 최고경영자(CEO)가 정보보안을 직접 챙겨야 한다고 강조했다. 외형 성장만을 중시할 게 아니라, 그에 걸맞은 보안 능력을 갖춰야 금융 시스템 전반의 신뢰를 지킬 수 있다는 설명이다. 한마디로 지금의 사이버 보안은 경영진의 선택이 아닌 필수 책무로 올라섰다는 의미다.

이날 금감원은 정보보호최고책임자(CISO)의 역할 강화도 적극 주문했다. CISO가 단순 기술 담당자 수준을 넘어서 정보기술(IT) 리스크를 진단하고 기업 전체의 보안 문화를 주도하는 핵심 리더로 자리매김할 수 있도록 제도적 지원을 확대할 방침이다. 이를 통해 현장 실무자 중심의 보안 대응에서 벗어나, 경영진과 조직 전체가 참가하는 구조로 전환하겠다는 의도다.

구체적인 보안 관리 방안으로는 '제로 트러스트(Zero Trust, 기본적으로 아무도 신뢰하지 않고 모든 접근을 검증하는 보안 모델)' 방식에 기반해 정보 자산의 지속 점검과 취약점 대응을 강화할 것도 당부했다. 이는 단일한 방어벽에 의존하던 기존 모델의 한계를 극복하려는 전환 전략으로, 악성코드나 해커의 침입 시 내부 확산을 차단하는 데 중점을 둔 방식이다.

감독 체계도 사후적 대응에서 사전 예방 중심으로 전환된다. 금감원은 앞으로 금융회사의 보안 취약점에 대한 평가, 분석, 감시에 보다 적극적으로 나서겠다고 밝혔다. 아울러 보안 사고 발생 시 신속한 복구를 위한 맞춤형 대응 계획 수립과 금융당국 보고 체계 정비, 소비자 보호 대책 마련까지 포괄하는 종합적인 관리 체계를 요구하고 있다.

한편 박상원 금융보안원장은 이날 회의에서 인공지능(AI), 블록체인 같은 첨단 기술들이 보안환경에 새로운 유형의 위험을 끊임없이 만들어내고 있다고 언급했다. 향후 금융기관 간 협력을 통해 이러한 신기술 기반 위협에 공동 대응하는 체제를 강화하겠다는 입장도 밝혔다.

이 같은 흐름은 앞으로 금융산업 전반의 보안 대응 수준을 한 단계 끌어올리는 계기가 될 수 있다. 보안 리스크가 현실화될 경우 금융시장 전체의 신뢰가 흔들릴 수 있는 만큼, 향후 감독당국과 금융사 간 협업이 더욱 중요해질 것으로 보인다.