이용자 및 금융회사 직원들의 교육ㆍ홍보 확대

금융보안연구원은 사용자 부주의로 인한 금융사고를 방지하기 위해 캠페인을 비롯해 다양한 홍보ㆍ교육을 추진하고 있다. 그리고 금융회사 임직원들과 이용자들을 대상으로 ‘금융정보보호아카데미’를 활성화 하고 있다. 아울러 금융감독원은 최근 ‘스마트폰 전자금융서비스 안전대책’을 발표하고 금융 사이버 테러에 대응하기 위한 다각적인 노력을 하고 있다.

지금 우리나라 금융보안 강화를 위해 가장 필요한 것은 무엇일까? 이와 같은 의문에 우리나라의 안전한 전자금융 거래와 보안을 위해 여러 가지 사업을 진행하고 있는 성재모 금융보안연구원 보안기술본부 본부장은 최근 발생한 인터넷 뱅킹 보안 사고의 문제점을 이용자들의 보안 의식이 낮다는 데서 그 원인을 찾고 있다. 그는 “최근의 언론에 발표된 인터넷 뱅킹 사고는 상당수의 이용자들이 아직도 보안카드 등 금융 정보를 이메일이나 개인 컴퓨터에 스캔, 복사해서 저장해두고 사용하는 등 개인 금융정보 관리를 소홀히 한다는 점을 노린 것”이라며 “국내 사이버 금융보안의 문제점보다는 이용자들의 보안인식제고가 필요한 사건이었다”고 강조했다.

이용자들의 보안의식 제고 필요

이에 금융보안연구원은 지난 2009년 7월 1일부터 12월말까지 금융위원회·금융감독원 주관 ‘범금융권 고객정보보호 캠페인’을 추진했고 올해에도 다양한 교육ㆍ호보를 추진할 예정이다. 특히 사용자들의 부주의로 금융보안 사고가 자주 발생하는데 이러한 사업을 통해서 사용자들에게 보안에 대한 인식을 좀 더 끌어올릴 계획이다. 그리고 그는 금융권에서도 사용자 못지 않게 보안에 많은 관심을 갖고 적절한 조치와 시스템 구축이 필요하다고 지적했다.

이에 금융권에서도 작년에 발생한 7.7 DDoS 대란과 같은 DDoS 공격에 대응과 해킹에 의한 고객정보 유출방지를 위해 현재 은행, 증권 권역을 중심으로 이러한 대응 노력들이 진행되고 있다고 덧붙였다.

이 외에도 금융보안연구원에서는 올해 금융기관 보안 강화를 위해서 금융 이용자 및 금융회사 임직원의 정보보호 인식제고를 위해 ‘금융정보보호아카데미’를 활성화하고 ‘신기술기반 취약성분석센터’ 구축을 통한 스마트폰, IPTV 등에서의 전자금융거래 안정성 확보 등을 추진하고 있다. 

아울러 금융보안연구원은 금융보안적합성 시험 서비스를 확대한다. 금융보안연구원은 최근 금융기관 회원사를 대상으로 실시중인 금융보안적합성 시험 서비스를 확대하기 위해 최근 실험실을 확장하고 해당 전문 인력을 보강하는 등 다양한 최신 전자금융보안제품을 시험할 수 있는 환경을 구축했다. 이에 따라 금융보안연구원은 기존 대비 시험기간 단축 및 회원사들의 시험 서비스에 대한 만족도가 향상될 것으로 기대하고 있다.

금융보안적합성시험은 금융보안연구원이 지난 2008년 최초 시험을 시작했으며 금융회사가 도입할 예정이거나 이미 운영 중인 금융 분야 IT시스템이 전자금융거래를 보호하는데 적합한지를 검토하는 절차로 시험 신청은 금융기관 회원사들이 금융보안적합성 시험 신청서(www.fsa.or.kr 참조)를 첨부하여 공문으로 요청하면 되고 시험은 준비단계, 시험단계, 검토단계, 사후관리단계 등 4단계로 진행되어 통상 1.5개월이 소요된다.

이와 관련 금융보안연구원측은 금융보안연구원의 금융보안적합성 시험업무는 국제 품질경영시스템 인증(ISO9001)을 통해 객관성 및 신뢰성을 확보하고 있으며 금융기관들에 이러한 서비스를 지속적으로 제공함으로써 보다 안전한 전자금융거래환경을 위해 노력할 것이라고 밝혔다.

금융IT 정보보호 감독 기준 강화

이와 더불어 금융기관에 대한 검사·감독업무와 건전한 신용질서 및 공정한 금융거래관행을 확립하고 예금자 및 투자자를 보호하는 업무를 하고 있는 금융감독원은 금융IT 정보보호와 이용자 보호를 위해 다각적인 노력을 하고 있다.

이와 관련해 최재환 금융감독원 감독서비스총괄국 부국장은 “최근 전자금융거래가 증가함에 따라 정보유출, 현금부당인출 등의 다양한 전자금융사고의 발생이 증가하고 있다”며 “이에 대비해 금감원은 금융IT 정보보호 감독기준을 강화하고 금융권 DDoS 공격 대응 모의훈련, 키보드해킹방지프로그램 등 기존 보급된 PC용 보안 프로그램에 대한 지속적인 취약점 테스트 및 보안대책 마련, 웹하드나 P2P 등을 통한 중요 정보유출 방지 대책 마련, 그리고 인터넷뱅킹 사고 예방을 위한 대국민 홍보를 비롯해 고객정보보호 캠페인을 추진하는 등 많은 노력이 필요하다”고 밝혔다.

그는 또한 국내 금융보안의 상황과 문제점에 대해서 “최근 스마트폰, IPTV 등 PC 외의 새로운 통신매체가 증가함에 따라 인터넷뱅킹 등 전자금융서비스에 대한 보안 위협사례가 증가하고 있다”면서 “이에 금융회사들은 금융정보 유출방지대책을 마련하고 거래에 대한 모니터링을 강화하는 등 사고예방에 힘쓰고 있다”고 밝혔다. 그리고 최근에는 인터넷뱅킹 이용고객이 계좌번호 비밀번호 등을 이메일이나 PC에 보관하고 있다가 해커에게 유출되어 인터넷뱅킹 불법이체 사고가 발생하고 있어 고객의 세심한 주의가 요구된다고 덧붙였다. 

이에 금융감독원은 국내 금융보안 강화를 위해서 전자금융 소비자 보호 및 전자금융거래의 안전성 확보를 위한 여러 가지 방안을 모색하고 있다. 특히 금융회사는 DDoS 공격과 같은 사이버테러에 대한 대응능력 강화를 위해 사이버테러 대응시스템 도입, 사이버테러 모의훈련 실시, 24시간 보안관제체계 구축 등을 통한 사이버테러 대응능력을 지속적으로 강화하도록 지도하고 있다.

또 스마트폰, VoIP 등 신기술을 이용한 전자금융거래에 대한 정보보호 가이드라인을 마련하고 금융회사 IT부문에 대한 감독, 검사를 강화할 계획이다. 아울러 ‘범금융권 고객정보보호 캠페인’을 지속적으로 실시하고 장애인의 전자금융 이용 편의성도 제공하도록 지도할 예정이라고 금감원은 밝혔다.

최 부국장은 또 금융 보안강화를 위해서 일선 금융기관과 각 보안담당자들이 우선적으로 해야 할 일로 “금융회사는 정보보호업무 수행에 필요한 인력 및 예산 확보가 우선시 되어야 할 것”이라며 “특히 금감원에서는 IT정보보호 예산은 전체 IT 예산의 5% 이상, 정보보호 인력은 전체 IT인력의 5% 이상을 확보하도록 권고하고 있고 이를 준수할 수 있도록 장기적인 노력과 지원을 아끼지 않을 계획”이라고 말했다.

또한 각 금융회사 보안담당자는 금융회사의 정보보호 수준을 정기적으로 점검하고 발견된 취약점 및 보완사항에 대하여 장·단기 계획을 수립하여 지속적으로 이행해 나가는 정보보호 관리체계를 확립하는 것이 필요할 것이라고 덧붙였다.

특히 이용자들의 안전한 금융거래를 위해서는 인터넷뱅킹 이용고객이 자신의 비밀정보를 잘 보관토록 홍보하기 위해 전 금융회사와 함께 지난해 7월부터 6개월간 전개한 ‘범금융권 고객정보보호 캠페인’을 올해에도 지속적으로 캠페인을 추진해 대국민 홍보에 박차를 가할 것이다.

스마트폰 활성화를 위한 안전대책 마련

금감원은 최근 스마트폰의 보급이 확대됨에 따라 ‘스마트폰 전자금융서비스 안전대책’을 마련했다. 이는 지난 해 12월부터 은행, 증권 등 금융회사의 업무담당자와 정보보안전문가 등과 공동으로 전자금융거래 부문, 기술적 침해대응 부문, 취약점 모니터링 부문 등 3개 분야로 나누어 안전대책을 강구한 것.

먼저 전자금융거래 부문에서는 스마트폰 뱅킹서비스 가입할 때 다단계에 걸친 가입자 확인을 하고 로그인시에는 사용자 인증을 강화했다. 그리고 기술적 침해 대응 부문에서는 금융정보를 전 통신구간에서 암호화하여 송수신하도록 하고 입력정보 보호, 악성코드 예방 등 보안대책을 마련한 후 서비스를 제공하도록 금융회사를 지도했다. 끝으로 취약점 모니터링 부문에서는 스마트폰 관련 잠재적 보안취약점이 국내외에서 제기되고 있는 만큼 서비스를 제공하는 금융회사는 뱅킹서비스 제공에 따른 보안위협을 정밀 모니터링하는 체제를 구축하도록 했다. 아울러 금감원도 금융회사, 정보보호전문기관 전문가로 지난해 구성된 스마트폰 TF팀을 계속 운영하여 발생 가능한 보안위협에 범금융권이 공동 대응할 계획이다.

이와 관련해 최 부국장은 “스마트폰이라는 혁신 전자금융서비스의 확산을 지원하는 차원으로 안전대책을 마련했으며 강제적인 조치라기보다는 스마트폰 활성화에 초점을 맞춘 조치라고 할 수 있다”면서 “다만 스마트폰 금융서비스가 새로운 신기술이다 보니 정보보호에 대한 우려가 많아 보안 기술을 견인할 수 있도록 유도하도록 이같은 대책을 마련했다”고 설명했다.

한편 최 부국장은 금융거래를 이용하는 이용자들이 안전한 금융거래를 위해서는 무엇보다도 고객 스스로 자신의 금융정보를 잘 보관하는 것이 중요하다고 강조했다. 그는 “만약에라도 금융사고가 발생한 경우에는 즉시 해당 금융회사에 신고하여 자금이 출금되지 못하도록 출금정지를 신청해야 한다”며 “금감원에서도 고객들이 안전하고 편리하게 전자금융거래를 이용하실 수 있도록 금융회사의 보안을 강화하는 등 최선을 다할 것”이라고 덧붙였다.

<글 : 김태형 기자(is21@boannews.com) | 호애진 기자(is@boannews.com) | 오병민 기자(boan4@boannews.com)>

[월간 정보보호21c 통권 제116호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>