<대한금융신문=문지현 기자> 금융보안원은 2일 ‘금융보안 거버넌스 가이드’ 개정안을 발표해 금융권의 IT·보안 인력 및 예산에 관한 권고 기준을 제시했다. 가이드는 이날부터 시행된다.

그간 금융권은 전자금융감독규정에 따라 5·5·7 권고 기준을 따라왔다. 이 권고 기준은 금융회사가 전체 인력의 5% 이상을 IT 인력으로 채용하고 IT 인력 가운데 5% 이상은 보안 인력으로 두며 IT 예산의 7% 이상을 보안 예산으로 확보하라는 내용이다.

다만 해당 권고 기준이 올해 1일부로 효력을 잃게돼 금융보안원은 금융권이 적정 IT·보안 인력 및 예산을 확보하기 위한 민간 중심의 자율 기준인 금융보안 거버넌스 가이드를 수립했다.

가이드를 살펴보면 금융보안원은 금융회사의 안정적인 정보보호 활동을 위해 적정한 보안인력 및 예산을 확보할 필요가 있다고 조언하고 있다.

적정한 보안인력 및 예산은 금융회사 등이 대내외 환경 및 자체 위험분석 결과 등을 종합적으로 고려해 산정해야 하며, 해당 비율이 자사의 위험을 적절히 반영했는지 주기적으로 검토할 필요가 있다고 의견을 제시했다.

또 해외 사례를 고려해 기존 권고 기준인 5·5·7 기준의 비율을 최소한 준수할 것을 권고했다. 가트너 조사결과에 따르면 해외 기업의 보안예산은 IT예산 대비 평균 7.6%(금융부문)이며, 보안인력은 IT인력 대비 평균 5.6%를 보유하고 있다.

금융보안원 관계자는 "금융회사 스스로가 안전하고 신뢰할 수 있는 서비스 제공에 필요한 보안수준을 확보해나갈 수 있도록 금융당국 및 금융회사를 지속적으로 지원할 계획"이라고 말했다.

금융보안 거버넌스 가이드는 금융보안원 홈페이지와 금융보안 레그테크 포털에서 확인할 수 있다.