취약점 분석/평가 통해 보완 조치 선행할 것

자본시장통합법(이하 자통법)이 지난 2월 4일부터 시행됨에 따라 금융권과 증권업계에서 관련 전산시스템이 정보연동 등의 새로운 이슈의 부각에 따라 전환점을 맞을 것으로 보인다.

특히 금융투자회사의 상당수가 금융결제원 소액지급결제업무(전자금융공동망, CD, 타행환, 지로, CMS 업무)에 참여할 것으로 예상되며 이미 관련 전산시스템 개발에 들어간 회사도 있는 것으로 알려지고 있다.

금융결제원 지급결제시스템은 국가 주요정보통신기반시설로 지정되어 관리되고 있는 시설로 가장 안전하게 관리되어야 할 시설 중에 하나라 할 수 있다. 이에 따라, 이번 자통법으로 인해 은행들과 다른 환경을 가진 금융투자회사 전산시스템이 지급결제시스템에 전산접속하게 됨에 따라 이들에 대한 취약점, 보안 위협요소 등을 사전에 점검하여야 할 필요성이 제기되고 있다.

금융결제원은 이를 위해, 2008년 7월 ‘금융결제원 전산접속기준(이하 ‘전산접속기준’ 이라 함)‘을 통해 정보보호 관련 조치사항을 마련했다고 전했다. 전산접속기준에는 전산접속에 대한 절차와 통신장비의 설치·관리, 정보시스템 개발·운영 사항 및 정보보호 관련 사항을 포함하고 있다.

금융결제원 금융정보보호센터(금융ISAC)에서는 소액지급결제시스템에 참여하는 금융투자회사들이 관련 전산시스템, 네트워크 등 전산 인프라를 구축할 때 적절한 정보보호대책을 수립/적용할 수 있도록 ‘금융결제원 지급결제시스템 전산접속 관련 정보보호 가이드라인’을 수립해 배포할 예정이다.

이 가이드라인에는 IT보안성검토, 취약점 분석/평가, 정보보호시스템 설치, 계좌비밀번호 암호화, 침해사고 발생시 대응절차 등에 관련된 내용이 수록되어 있으며 아울러 각 금융투자회사들이 금융결제원에 전산접속하는 시스템에 적용할 수 있는 정보보호 체크리스트(18개 분야 99개 항목)를 포함하고 있다. 이 가이드라인은 금융투자회사가 금융결제원 지급결제업무 참가 신청시 제공될 예정이다.

따라서 각 금융투자회사는 지급결제시스템 접속 관련 전산시스템을 개발한 후 금융결제원이 제공하는 정보보보호 체크리스트를 통해 자체적으로 정보보호 관련사항을 점검/보완할 수 있으며, 이 후에 금융결제원 금융정보보호센터(금융ISAC)로부터 취약점 분석/평가를 실시해 취약점이 있는 경우 보완 조치 후 금융결제원 지급결제시스템에 접속하게 된다.

우순규 금융결제원 금융정보보호센터 팀장은 “2008년 7월 10일 증권사를 대상으로 이루어진 ‘금융결제원 사업 특별참가 설명회’에서 전산접속 관련 보안조치사항들을 설명한 바 있다”며 “금융투자회사의 참가신청이 구체적으로 이루어지고 난 후 필요할 경우 정보보호와 관련된 실무적인 사항들을 중심으로 별도의 설명회를 개최할 예정”이라고 말했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>