현행법은 금융회사 및 전자금융업자(이하 “금융회사등”이라 한다)가 전자적 침해행위로 인하여 전자금융기반시설이 교란ㆍ마비되는 등의 사고(이하 “침해사고”라 한다)가 발생한 경우 금융위원회에 이를 지체 없이 통지하고, 침해사고 발생 시 원인분석 및 피해 확산 방지 조치를 하도록 하고 있음.

그런데 현행법 규정은 침해사고 발생 유형에 악성코드 감염 여부를 포함하지 않고 있어 금융회사등은 고객정보 유출이나 서비스 장애가 발생하지 않았다는 이유로 악성코드 감염에 대하여 보고하지 않고 있음.

현재 금융회사등은 1만 명 이상 고객 신용정보 유출, 전산장애 등 가시적 피해가 발생하고 나서야 비로소 금융위원회에 보고를 실시하고 있으며 이는 악성코드 감염 사고에 대한 조기 대응의 어려움으로 이어지고 있음.

해외의 경우 미국은 CISA를 통해 전파되는 악성코드를 조기 발견하고 시스템 침투 등 발생 가능한 중대한 위험에 대해 대응하도록 권고하고 있으며, EU는 GDPR 배포를 통해 악성코드 대응 대책을 제시하고 있음.

이에 전자금융업무의 안전성에 중대한 영향을 미칠 수 있는 악성코드 감염을 침해사고의 유형으로 명시함으로써 악성코드 감염에 신속하게 대응하고 전자금융거래 이용자를 보호할 수 있도록 하고자 함(안 제21조의4 및 제49조).