금융회사의 금융보안 거버넌스 구축 지원 일환

[보안뉴스 김태형] 금융보안연구원(원장 김영린)은 최근 강화된 전자금융거래 법규에 대한 금융회사의 자체 보안 컴플라이언스 활동을 지원하기 위해 ‘금융IT 보안 컴플라이언스 가이드’를 개정하여 회원사에 배포했다.

이번 개정은 2012년 12월 ‘금융IT 보안 컴플라이언스 가이드’가 첫 발간된 이후 관련 법규의 최신 정보 등을 반영하였으며, 금융회사에 필요한 금융IT 보안 규제 사항을 중심으로 각 규제 사항을 이해하는데 참고할 수 있도록 각종 가이드, 매뉴얼 등의 최신 정보를 담고 있다.

이번에 배포한 가이드는 2013년 12월 개발·배포한 ‘금융개인정보보호 컴플라이언스 가이드’와 함께 전자북(e-Book)으로 제작·배포했다.

‘금융IT 보안 컴플라이언스 가이드’는 금융보안 관련 법규 및 국내외 컴플라이언스 사례를 조사·분석하여 3개 보안영역, 11개 도메인, 178개 통제항목으로 구성됐다.

3개 보안영역은 관리적·기술적·물리적 측면의 보안영역으로 나누었고 11개 도메인은 △정보보호 정책 △정보보호 조직 △인적 보안 △물리적·환경적 보안 △운영관리 △접근통제 △IT도입·개발·유지보수 관리 △업무연속성 관리 △금융정보·거래보안 △외주주문 보안 △보안사고 대응 등으로 구성했다.

또한 178개 통제항목은 ‘전자금융거래법 및 시행령’, ‘전자금융감독규정 및 시행세칙’ 등을 분석하여 도출했다.

주요 개정 내용을 보면, 우선 2012년 12월 첫 발간 이후 관련 법규 및 표준 등의 최신 정보와 일부 도메인 및 통제항목을 변경했다. 또 전자금융거래법(2013.11.23 시행), 전자금융감독규정(2013.12.3 시행) 및 동규정 시행세칙(2014.3.31 시행) 등 관련 법규의 최신 정보를 반영했다.

이 외에도 전산장비 내부통제 모범규준 삭제에 따라 ‘장비 내부통제 및 접근통제’ 도메인 ‘접근통제┖로 변경하고 전금법 개정 관련 신규 4개, 유사 통제항목 3개를 삭제하고 IT보호업무 및 전산장비 내부통제 모범규준 통제항목 27개를 삭제해 204개 통제항목이 178개 통제항목으로 감소했다.

금융보안연구원은 이번 가이드를 통해 금융회사가 더욱 효율적으로 금융보안 거버넌스를 관리하고 법규 위반을 최소화하는 한편, 금융회사의 자체 내부통제 점검도구로 활용할 것으로 기대하고 있다. 또한, 가이드가 널리 활용될 수 있도록 금융회사 담당자를 대상으로 지속적인 교육을 진행할 예정이다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>