• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

금융IT 보안에 소홀하면 금융회사와 경영진 책임 무거워진다 2013.07.05

금감원, ‘금융정보보호 세미나’ 개최

금융IT 보안 감독 강화...금융회사 책임의식 갖고 보안에 최선 다해야

 

[보안뉴스 김태형] 금융감독원과 금융보안연구원은 5일 서울가든호텔에서 7월 정보보호의 달 행사의 일환으로 ‘금융정보보호 세미나’를 개최했다.

 

 ▲ 최수현 금융감독원 원장은 5일 서울가든호텔에서 개최된 ‘2013 금융정보보호 세미나’에서 “최근의 금융IT 환경 및 보안이 중요하다”고 강조했다.

이번 세미나는 금융분야 IT전문가들이 참석하여 3.20전산망 마비사태 등 진화하는 사이버 공격에 대한 대책을 공유하고 금융권 공동 대응방안을 모색하기 위해 마련됐다.

최수현 금융감독원 원장은 이날 축사에서 “최근의 금융IT 환경 및 보안이 중요하다”면서 지속적으로 금융IT 보안에 대한 감독을 강화해 나갈 계획임을 강조했다.

 

최수현 원장은 “무엇보다 금융회사의 건전성이 높아지고 튼튼해야 금융 소비자를 보호할 수 있다”면서 “오늘날의 편리한 전자금융환경을 안전하고 편리하게 이용하기 위해서는 ‘금융IT 보안 강화’라는 과제를 슬기롭게 해결돼야 한다”고 강조했다.

 

이를 위해서 금감원은 IT보안과 관련한 우수 인력 양성 및 투자확대를 유도하고 IT보안 수준에 대한 점검을 강화하는 한편, IT 보안사고를 홈페이지에 공시하도록 하는 방안을 추진하는 등 금융회사와 경영진의 책임을 강화하고 오는 9월 26일부터 ‘전자금융사기 예방서비스’를 전면 시행하는 등 금융소비자를 보호하기 위한 정책을 추진할 계획이다.

 

이와 같이 금융감독원은 금융IT 보안강화를 위해서, 첫째 금융회사의 IT보안 인력 양성을 유도하고 IT보안 수준에 대한 점검을 강화해 나갈 계획이다. 감독당국의 권고에 따라 대부분의 금융회사가 IT인력과 IT보안인력 기준을 충족하고 있으나 우리나라 지정학적 특성과 나날이 진보되어 가는 해킹 수법에 대응하기 위해서는 보다 많고 우수한 보안인력 양성이 필요하다는 것.

 

이에 대해 감독당국은 금융회사와 교육기관, 보안 전문가 및 산업계 간의 연계를 강화해 보안인력 양성은 물론 일자리 창출에도 적극 기여할 계획이다.

 

둘째로 금융IT 보안 강화에 대한 관심과 투자 확대가 지속적으로 이루어지도록 유도할 계획이다. IT보안 강화를 위해서 인력 및 설비 등에 대한 지출이 필연적이지만 이는 ‘비용’이라기보다는 영업 인프라를 구축하는 ‘투자’의 개념으로 인식하고 금융회사와 IT산업계 종사자들의 이해와 협조가 필요하다는 것이다.


 그리고 셋째로는 IT 보안사고 발생시에 금융회사와 경영진의 책임을 강화한다. 특히 IT보안 대책을 소홀히 해서 발생한 보안사고의 경우 경영진에게 엄중한 책임을 물을 것이며 해당 금융회사 홈페이지에 사고 내용과 원인 등을 1개월간 공시하도록 할 것이다.

하지만 책임의식을 갖고 최선을 다한 경우에는 가능한 범위내에서 최대한 관대한 처분으로 보안책임자들을 독려함으로써 금융회사 스스로 전자금융거래의 안정성 확보를 위한 노력을 강화해 나가도록 한다는 계획이다.

 

한편, 이날 행사에는 금융회사 정보보호책임자, 정보보호 유관기관 관계자 등 160여명이 참석했으며 주제발표 및 질의응답, 그리고 ‘금융IT 보안이슈와 대응 과제’를 주제로 패널토의도 진행됐다. 또한 ‘제8회 금융정보보호 공모전’ 수기부문 우수작 12편에 대해 시상식도 개최했다.

    


이날 패널토의에서 송현 금융감독원 국장은 “금융 소비자 보호를 위해서 공인인증서 재발급 또는 300만원 이상 자금 이체시 본인 확인절차를 강화하는 등, ‘전자금융사기 예방서비스’를 시행하겠다”고 밝혔다.

그리고 유시완 하나은행 본부장은 “금융정보를 위협하는 사이버 공격에 대해 선제적 대응을 위한 정보공유 등의 실질적인 대책이 필요하다. 그리고 이러한 사이버 공격으로 인한 피해에 대해서 금융회사의 처벌보다 공격자에 대한 처벌이 더 강화돼야 한다”고 강조했다. 
 

이에 대해 전길수 한국인터넷진흥원 단장은 “금융회사를 비롯한 각 기업에서는 기존 알려진 공격에 대한 방어도 미흡하다”고 지적하면서 “무엇보다 내부적인 취약점 점검과 발굴을 통한 선제적 대응과 보안 관리가 더욱 중요하다”고 말했다.


또한 박동훈 닉스테크 대표는 “무엇보다 각 기업에서 CSO의 역할을 제대로 할 수 있는 환경이 돼야 한다”면서 “금융기관에서 보안 전문 인력을 확보하기가 매우 어려운데 금융회사에서 필요한 보안 전문 인력들을 보안 전문 업체에서 아웃소싱해서 사용하는 것도 하나의 대안이다”라고 말했다.


이어서 구태언 테크앤로 법률사무소 변호사는 “보안사고는 기술이나 제도가 취약해 발생할 수 있기 때문에 보안사고에 대한 책임을 분산할 필요가 있다”면서 “국가의 보안 적합성 인증을 필한 제품을 사용했는데도 보안사고가 났다면 국가도 책임을 져야 한다. 현존하는 보안 기술로도 막지 못하는 공격에 대한 모든 책임을 금융회사가 떠안는 다면 이는 곧 금융회사의 부실로 이어지고 이는 곧 금융 소비자의 피해로 돌아가기 때문”이라고 강조했다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>