내용

제37조의4(침해사고대응기관 지정 및 업무범위 등)

• ① 침해사고에 대응하기 위한 침해사고대응기관은 다음 각 호의 자로 한다.
  • 1. 금융보안원<개정 2015. 3. 18.>
  • 2. 삭제 <2015. 3. 18.>
  • 3. 금융위원장이 지정한 자
• ② 침해사고대응기관은 다음 각 호의 업무를 수행한다.
  • 1. 침해사고에 관한 정보의 수집ㆍ전파를 위한 정보공유체계의 구축
  • 2. 침해사고의 예보ㆍ경보 발령내용의 전파
  • 3. 침해사고의 원인분석과 신속한 대응 및 피해 확산방지를 위해 필요한 조치
  • 4. 금융회사 및 전자금융업자와 관련된 해킹 등 전자적 침해행위 정보를 탐지ㆍ분석하여 즉시 대응 조치를 하기 위한 기구(이하 "금융권 통합 보안관제센터"라 한다)의 운영<신설 2016. 10. 5.>
  • 5. 금융회사 및 전자금융업자의 침해사고 예방, 대응을 위한 자율기준의 마련 및 운영<신설 2018. 12. 21.>
• ③ 금융위원장은 침해사고대응기관을 포함하여 침해사고조사단을 구성할 수 있다.
• ④ 금융위원장은 제2항에 따른 침해사고 긴급대응을 위한 침해사고대응기관의 업무 수행 또는 제3항에 따른 침해사고 원인분석 및 긴급조치를 위하여 금융회사 및 전자금융업자, 전자금융보조업자에 협조를 요청할 수 있다.<개정 2016. 10. 5.>
• ⑤ 금융회사 및 전자금융업자는 침해사고에 대한 대응능력 확보를 위하여 연 1회 이상 침해사고 대응 및 복구훈련 계획을 수립ㆍ시행하여야 하며 그 계획 및 결과를 침해사고대응기관의 장에게 제출하여야 한다. 다만 다음 각 호의 어느 하나에 해당하는 금융회사는 그러하지 아니한다.<개정 2016. 10. 5.>
  • 1. 법 제2조제3호가목의 금융회사 중 신용협동조합
  • 2. 법 제2조제3호다목ㆍ라목의 금융회사
  • 3. 시행령 제2조제4호부터 제6호까지의 조합
  • 4. 시행령 제5조제2항의 요건을 충족한 금융회사
• ⑥ 금융위원장은 침해사고대응기관의 장으로 하여금 침해사고 대응ㆍ복구 및 훈련결과를 점검하고 보완이 필요하다고 판단되는 경우 개선ㆍ보완을 요구할 수 있다.
• ⑦ 금융위원장은 침해사고대응기관의 장으로 하여금 시행령 제11조의6제1항제4호에 따른 보안취약점 통보를 위하여 금융회사 및 전자금융업자가 사용하고 있는 소프트웨어에 대한 조사ㆍ분석을 실시하게 할 수 있다.

해설