• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

내년부터 ‘금융보안 인증제도’ 본격 시행되나? 2013.08.14

금융위, 현 ISMS 인증제도 기반으로 금융권 특성에 맞게 구체화

2014년 상반기 전자금융거래법 개정 통해 법적 근거 마련키로   


[보안뉴스 김태형] 지난 3.20 전산망 사이버테러로 피해를 입은 방송국과 금융권의 보안관리체계 문제가 제기되면서 정부의 정보보호관리체계 인증제도인 ISMS의 도입 확대 필요성과 실효성 문제가 부각된 바 있다.


특히, 금융위는 지난 7월 11일 3.20 사이버테러에 의한 농협·신한은행 등의 금융전산 사고를 계기로 금융전산 보안 전반에 대한 실태점검 및 TF 운영을 통해 종합적인 대책을 마련했다.


이번 금융전산 보안 강화를 위한 종합대책 중에서 금융위는 오는 2014년 상반기내 전자금융기반 시설 보호를 위해서 전자금융거래법 상의 ‘금융보안 인증제(금융 ISMS)’ 도입을 위한 법적 근거를 마련하고 이를 통해 금융회사도 정보보호 관리체계 심사·인증을 받도록 한다는 계획이다.


그동안 ISMS(Information Security Management System) 인증은 정보통신망법에 따라 정보통신망서비스 제공자들의 정보통신망 안전성 확보를 위한 기술적·물리적 보호조치 등을 포함한 종합적인 정보보호관리체계에 대한 인증을 받는 제도였다.


한편, 지난 2월 18일부터 개정·시행되고 있는 정보통신망법에 따라 정보통신망서비스 제공자들은 올해 말까지 ISMS(Information Security Management System) 인증을 획득하도록 하고 있다.


인증 의무 대상자는 ‘전기통신사업법’ 제6조 제1항에 따라 허가 받은 자로 대통령령이 정하는 정보통신서비스 제공자로서 정보통신서비스 부문 전년도 매출액이 100억원 이상인 자, 전년도말 기준 3개월간의 일일평균 이용자 수가 100만명 이상인 자, 직접정보통신시설사업자로서 연 매출액이 100억원 이상 일평균 이용자 수가 100만명 이상인 자, 전국적으로 정보통신망 서비스를 제공하는 자가 기준이다.


특히, 이번 개정안에는 경영진 책임 강화, 최고정보보호책임자(CISO) 지정 등 조직 구성 강화, 외주개발 보안과 스마트워크 보안, 망분리 등의 통제항목이 새롭게 포함됐다.


하지만 그동안 금융회사들은 이러한 ISMS 인증과는 거리가 멀었다. 현재의 ISMS 인증제도는 기존 정보통신 서비스 제공자에 해당하는 것으로 금융회사의 특성에 맞지 않은 부분이 있었고, 금융관련 법률을 적용받고 있기 때문에 정통망법과 중복되는 부분도 많아 부담이 되어 왔다.


이에 현재까지 ISMS 인증을 받은 금융기관은 농협과 비씨카드, 우정사업본부 등 10곳 미만이다. 이번 3.20 사이버테러의 피해기관 중 하나인 농협은 지난 2003년 인터넷뱅킹 분야, 2012년 금고시스템 개발·운영 분야에 관한 ISMS 인증을 받았다.


이와 관련 농협 관계자는 “정통망법상 ISMS 인증 의무화는 농협 쇼핑몰과 포털만 해당되기 때문에 사실 금융권은 현재의 ISMS 인증 의무화 대상에 해당되지 않는다”면서 “이는 ISMS를 받도록 규정하고 있는 법률과 현재 금융회사들에게 적용되고 있는 금융관련 법률이 서로 다르고, 두 개의 법률을 다 적용받기에는 중복되는 부분도 많아 금융회사의 부담이 크다”고 말했다.


하지만 일각에서는 최근 금융기관의 전자거래 비중이 전체 거래의 80%를 넘는 등, 인터넷망을 통한 거래가 급증하면서 금융기관도 이제는 정보통신망법의 적용을 받아야 한다는 지적도 제기되고 있다. 금융관련 법률보다 정통망법의 보안 규정이 더 많기 때문에 금융기관도 망 보호를 위한 노력이 필요하다는 주장인 셈이다.


이와 관련 전요섭 금융위원회 전자금융과장은 “금융회사들은 처음부터 별도의 법률로 관리되어 왔다. 인터넷 뱅킹이 시작된 지도 10년이 넘었지만 지금까지 보안과 망 보호를 위해서 정통망법이 아닌 별도의 금융관련 법률로 관리되어 왔다. 금융서비스는 인터넷을 통해 결과를 보여 주는 것일 뿐이기 때문에 통신사업자들과 이를 이용해 수익을 얻는 사업자들에게 적용되는 정통망법과는 별개”라고 말했다.

또한, 그는 금융보안 인증제도와 관련해서 “금융보안 인증제도는 금융보안 강화를 위해서 금융기관 특성에 맞는 보안인증의 필요성이 높아졌기 때문에 마련되는 것”이라며, “이에 오는 2014년 전자금융거래법상 보안인증제도 마련의 근거를 위해 지금부터 구체적인 방안과 실행 계획 등에 대해 전문가들과 함께 연구할 계획”이라고 설명했다.


덧붙여 전 과장은 “이러한 연구 결과를 전자금융거래법 개정안에 반영하고 법 개정된 이후 본격적으로 금융보안 인증제도가 시행될 것”이라면서 “현재도 금융기관에 대한 실태 평가와 취약점 분석이 진행되고 있다. 이러한 작업들이 중복되지 않도록 인증제도로 마련해 구현할 것”이라고 강조했다.


즉, 금융보안 인증제도는 기존의 ISMS 인증 제도를 기반으로 금융회사의 특성에 맞게 구체화될 것으로 보인다.


금융위는 이러한 금융보안 대책을 통해 금융권 전반에 대한 위기대응체계를 정비하고 금융회사 자체 보안역량을 제고시켜 보안사고의 재발방지와 함께 금융권의 보안수준이 제고될 것으로 기대하고 있다.

[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>