금감원은 ‘금융회사 IT보안강화 종합대책’의 후속조치로 이같은 내용의 CEO 및 담당 임직원 제재방안을 마련했다고 8일 밝혔다.
이 제재 방안에 따르면 외부 해킹을 통해 고객정보가 유출되는 양에 따라 제재 수위가 달라진다.
1만건 이상 10만건 미만 고객정보가 유출됐을 경우 주의적 경고, 10만건 이상 100만건 미만은 문책경고, 100만건 이상이거나 전체 고객수의 10% 이상 정보유출 시 직무정지 등의 징계를 받도록 기준을 정했다.
금감원 고위 관계자는 “최근 해킹으로 전산상에서 일어난 고객정보유출 등의 사고를 통해 CEO도 IT보안에 책임을 져야 한다는 측면에서 구체적인 가이드라인을 만들게 됐다”고 말했다.
금융당국이 금융회사 임직원에게 내리는 징계수위는 주의, 주의적 경고, 문책경고, 직무정지, 해임권고 등 5단계로 나뉜다. 주의적 경고까지는 경징계로 분류되며 문책경고 이상은 중징계로 분류된다. 문책경고 이상의 징계를 받으면 3~5년간 금융기관의 임원이 될 수 없기 때문이다.
또한 고객정보 유출을 통해 사회적 물의를 일으키거나 정보유출 사실을 은폐한 사실이 밝혀질 경우 해당 임직원은 징계수위가 높아지는 가중처벌을 받게 된다.
반면 고객정보 유출이 발생하더라도 사고예방이나 수습노력을 적극적으로 했을 경우 사고규모를 감안해 징계수위가 한단계 낮아질 수 있도록 했다.
이는 현대캐피탈 등 최근에 발생했던 IT보안 사고에 대한 사후 처리의 방식이 모범적으로 반영된 것으로 보인다.
현대캐피탈은 지난 4월 해킹을 통해 175만건의 고객정보유출이 있었지만 정태영 사장이 직접 나서 적극적으로 수습해 정보유출 사태를 잘 마무리 했다는 평가를 받은 바 있다. 이에 정 사장의 징계수위가 문책적 경고에서 주의적 경고로 한단계 낮아지기도 했다.
한편, IT보안과 관련된 제재 가이드 라인은 현재 금융기관들의 의견을 받고 있으며 내주 정도에 마무리 한 후 올 연말까지 검사 및 제재규정 시행세칙에 반영한다는 계획이다.
금감원 관계자는 “올 연말부터 제재기준이 반영될 수 있도록 현재 금융기관들의 의견을 받고 있는 중”이라고 말했다.