전 금융권 CISO 대상 긴급 침해사고 대응회의 개최

다음은 대한민국 정부 부처에서 발표한 보도자료 '전 금융권 CISO 대상 긴급 침해사고 대응회의 개최'에 대한 상세하고 포괄적인 요약입니다.

1. 핵심 요약

2025년 9월 23일, 금융위원회는 권대영 부위원장 주재로 전 금융권 정보보호최고책임자(CISO, Chief Information Security Officer) 약 180여 명과 금융감독원, 금융보안원 등 유관기관 관계자들이 참석한 가운데 '긴급 침해사고 대응회의'를 개최했습니다. 이 회의는 최근 고도화되는 사이버 위협에 대한 최고 수준의 경각심을 고취하고, 금융보안 역량을 전사적으로 강화하기 위한 대응 방안을 논의하기 위해 마련되었습니다. 금융위원회는 최고경영진의 책임 하에 금융보안 역량 및 운영복원력(Resilience)을 확보하고, 체계적인 보안시스템 구축·운영을 강조하며 미비 시 엄정 제재할 것임을 밝혔습니다. 또한, 소비자 피해 발생 시 즉각적인 대응 프로세스를 마련하여 금융소비자 보호에 만전을 기할 것을 강력히 당부했습니다.

2. 주요 내용

1. 최고경영진 책임 하 금융보안 역량 및 운영복원력 확보:
   금융위원회는 금융회사 최고경영진이 금융소비자에게 막대한 피해를 야기할 수 있는 침해사고 방지를 경영의 핵심 과제로 인식하고 책임과 리더십을 발휘하여 금융보안 및 고객정보 보호 강화에 만전을 기할 것을 주문했습니다. 특히, 금융회사의 외형적 성장에 걸맞은 수준의 금융보안 역량과 운영복원력(Resilience, 시스템 장애나 사이버 공격 등 예기치 못한 상황 발생 시에도 핵심 업무를 지속하고 신속하게 정상화할 수 있는 능력)을 갖추는 것이 필수적임을 강조했습니다.

2. 체계적인 보안시스템 구축·운영 및 엄정 제재:
   금융회사는 스스로 보안체계에 대해서는 '과하다'고 생각될 정도로 빈틈없이 점검하고 보완할 필요가 있으며, 업무 및 서비스 설계 단계부터 보안을 우선 고려하여 시스템 안전성을 확보해야 합니다. 금융당국은 체계적인 보안시스템 구축·운영을 강조하는 한편, 보안체계를 부적정하게 운영하거나 금융회사의 부주의로 침해사고가 발생할 경우 철저한 조사를 통해 엄정하게 제재할 것임을 명확히 밝혔습니다.

3. 소비자 피해 발생 시 즉각적인 대응 프로세스 마련:
   사이버 공격의 피해를 최소화하고 전자금융서비스를 신속하게 재개하기 위한 필수 역량으로서 운영복원력의 중요성을 환기했습니다. 금융회사는 업무연속성계획(BCP, Business Continuity Plan, 재해나 재난 발생 시에도 핵심 업무를 중단 없이 수행하기 위한 계획)을 최신 상태로 유지하고 반드시 실제적인 복구 훈련 등을 통해 실효성을 확보해야 합니다. 또한, 서비스 중단 및 정보 유출 등으로 인한 소비자 피해 발생 시 즉시 대고객 안내 및 피해 구제를 실시할 수 있도록 소비자 보호 대응 매뉴얼을 고도화할 것을 당부했습니다.

4. 전 금융권 정보보호 체계 전수 점검 및 보완:
   금융위원회와 금융감독원은 전 금융권이 최고 수준의 경각심을 가지고 CEO 책임 하에 전사적 차원(회사 전체적인 관점)에서 정보보호 체계를 지체 없이 전수 점검하고, 미흡사항은 즉시 보완하도록 강력히 요구했습니다. 금융감독원과 금융보안원은 금융회사의 자체 점검 결과를 확인하고 꼼꼼히 지도·감독하여 철저한 관리가 이루어지도록 할 계획입니다.

5. 금융보안 체계 근본적 개편을 위한 제도 개선 추진:
   금융당국은 금융보안 체계를 근본적으로 개편하기 위한 종합적인 제도 개선 사항을 신속히 추진할 계획입니다. 여기에는 침해사고 발생 시 금융회사의 책임을 강화하는 '징벌적 과징금(위법 행위로 얻은 이익을 환수하고 재발을 막기 위해 부과하는 강력한 벌금)' 도입, 금융회사 간 보안 수준을 비교하여 공개하는 '보안수준 비교 공시' 도입, 그리고 정보보호최고책임자(CISO)의 권한을 강화하는 방안 등이 포함됩니다.

6. 롯데카드에 대한 소비자 피해구제 최우선 당부:
   금융당국은 최근 전산침해 사태를 겪은 롯데카드에 대해 소비자 피해구제 및 불편 해소에 최우선 순위를 두고 상황에 대처해 줄 것을 특별히 주문했습니다. 특히, 고객들이 손쉽게 카드 재발급 및 해지 등을 지원받을 수 있도록 전사적인 역량을 기울여 달라고 강조하며, 신속한 피해 복구를 위한 노력을 촉구했습니다.

3. 배경 및 목적

이번 긴급 침해사고 대응회의는 금융산업의 급격한 디지털 전환과 함께 고도화되는 사이버 위협에 대한 절박한 위기감과 무거운 책임감에서 비롯되었습니다. 금융위원회 권대영 부위원장은 과거 2009년 디도스 공격, 2011년 농협 전산망 마비, 2014년 카드 3사 정보유출, 2018년 KT 화재사태 등 굵직한 전산보안 및 정보유출 사고가 반복되어 왔음을 상기시키며, 그간 "침해와 응전"의 역사를 통해 금융보안 체계가 마련되었음을 언급했습니다. 그러나 현재는 'AI 도약의 시대'를 맞아 비대면 금융서비스, 클라우드 기반 근무환경 등 사실상 모든 업무가 전산시스템에 의존하는 상황에서 해킹 세력의 조직화 및 범행 방식 고도화로 인해 과거와는 비교할 수 없는 치밀하고 교묘한 침해 위협에 직면해 있습니다. 작은 보안 실수나 허점만으로도 걷잡을 수 없는 소비자 불편과 피해가 발생하고, 어렵게 쌓은 금융의 신뢰성이 한순간에 무너질 수 있다는 인식이 이번 회의의 중요한 배경이 되었습니다.

회의의 주된 목적은 이러한 거대한 위협 앞에서 금융회사들이 "보안"을 단순히 귀찮고 부차적인 업무로 여기거나 과거의 제도만으로 안이하게 대응하지 않았는지 정부와 금융회사 모두 반성하고, 최고 수준의 경각심을 가지고 전사적 차원에서 금융보안 역량을 강화하는 것입니다. 궁극적으로는 작금의 침해사고를 현명하게 극복하고 든든한 제도적 기반 하에 금융 신뢰성을 회복하며, 금융소비자를 보호하는 데 있습니다. 이를 위해 그 어떤 위험 요인도 그냥 지나치지 않는 '제로 트러스트(Zero Trust, '아무도 믿지 않는다'는 원칙으로, 모든 접근 시도를 철저히 검증하여 보안 위협을 최소화하는 전략)' 원칙에 입각한 전사적인 관리 노력을 통해 금융권 전반의 보안 수준을 근본적으로 끌어올리는 것을 목표로 합니다.

4. 세부 추진 내용

이번 긴급 침해사고 대응회의는 2025년 9월 23일 화요일 오전 10시부터 11시까지 KB은행 대강당(여의도 신관)에서 개최되었습니다. 회의에는 금융위원회 권대영 부위원장을 비롯해 금융안전과장, 금융감독원 이세훈 수석부원장 및 IT검사국장, 금융보안원장, 그리고 은행, 금융투자, 생명/손해보험, 여신 등 주요 금융협회와 저축은행중앙회, 핀테크산업협회 관계자들이 참석했습니다. 특히, 전 업권 금융회사 정보보호최고책임자(CISO, 기업의 정보보안 정책 수립 및 실행을 총괄하는 최고 책임자) 약 180여 명이 자리를 함께하여 금융권 전체의 보안 역량 강화를 위한 의지를 다졌습니다.

회의에서 금융위원회는 금융회사들에게 최고경영진의 책임 하에 모든 전산시스템과 정보보호체계에 보안상 허점이 없는지 '사운을 걸고' 즉시, 전면적으로 점검할 것을 강력히 요청했습니다. 금융감독원과 금융보안원은 금융회사의 자체 점검 결과를 확인하고 꼼꼼히 지도·감독하여 철저한 관리가 이루어지도록 지원할 계획입니다. 또한, 금융회사들은 CISO가 독립적으로 보안 업무를 수행할 수 있도록 보장하고, 전산 보안 인력 및 설비를 충분히 갖추는 등 상시적이고 체계적인 보안관리 시스템을 구축해야 합니다. 침해사고 발생 시를 대비하여 신속한 서비스 복구와 피해자 구제가 이루어질 수 있도록 실제 침해사고 발생을 가정한 세세한 상황별 대처 요령을 담은 면밀한 위기대응 매뉴얼을 치밀하게 마련하고, 금감원과 보안원은 그 내용을 꼼꼼히 점검할 예정입니다.

5. 기대 효과

이번 긴급 침해사고 대응회의와 후속 조치들을 통해 전 금융권의 정보보호 역량과 운영복원력이 최고 수준으로 강화될 것으로 기대됩니다. 최고경영진의 직접적인 책임 하에 전사적인 보안 점검과 시스템 개선이 이루어지면서, 사이버 침해사고의 발생 가능성이 현저히 줄어들고, 불가피하게 사고가 발생하더라도 신속한 서비스 복구와 피해 확산 방지가 가능해질 것입니다. 특히, 소비자 피해 발생 시 즉각적인 대응 및 구제 프로세스가 고도화되어 금융소비자들의 불편과 손실이 최소화될 것입니다. 궁극적으로는 금융권 전반에 대한 국민들의 신뢰가 회복되고, AI 시대의 새로운 보안 위협에 선제적으로 대응할 수 있는 견고한 금융보안 생태계가 조성되어 모든 금융소비자(수혜 대상)가 더욱 안전하게 금융 서비스를 이용할 수 있게 될 것입니다.

6. 향후 계획

금융위원회와 금융감독원은 앞으로도 전 금융권이 최고 수준의 경각심을 유지하고 CEO 책임 하에 정보보호 체계를 전수 점검하여 미흡사항을 즉시 보완하도록 지속적으로 요구하고 지도·감독할 예정입니다. 또한, 신속한 보안 유의사항 전파 및 적시 점검을 통해 침해사고 예방 및 확산 방지에 주력하고, 금융권 전반의 보안 역량을 강화하는 데 힘쓸 것입니다. 장기적으로는 금융보안 체계를 근본적으로 개편하기 위한 종합적인 제도 개선 사항들을 신속히 추진할 계획입니다. 여기에는 금융회사의 보안 책임을 강화하는 징벌적 과징금 도입, 금융회사 간 보안 수준을 투명하게 비교 공개하는 보안수준 비교 공시 도입, 그리고 정보보호최고책임자(CISO)의 권한과 독립성을 강화하는 방안 등이 포함됩니다. 정부는 타 정부부처 및 유관기관과 함께 AI 시대의 해킹 위협에 공동 대응하며, 사안별로 긴밀한 소통과 협업을 통해 근본적인 제도 개선 과제를 발굴하고 적극 추진할 것을 약속했습니다.