금융회사·외주업체 보안통제 가이드라인 마련

[보안뉴스 김태형] 최근 금융 IT 환경은 PC 기반에서 모바일 기반으로 확대되고 있으며 외부 공격에 대한 대응보다는 내부통제의 중요성이 부각되고 있다. 또한 고객편의 중심에서 정보보호 중심으로 금융회사의 무게 중심이 이동하고 있다.

현재 기존 PC기반의 인터넷 뱅킹에서 스마트폰 뱅킹이 급증하면서 금융회사는 다양한 모바일 금융서비스를 제공하고 있다. 과거에는 디도스 공격과 해킹 등 외부의 보안 위협과 공격에 대응하기 위해 많은 노력을 기울였다. 하지만 이제는 내부통제가 더욱 중요해졌다.

특히 지난해말 SC제일은행과 씨티은행 고객정보 유출사고, 올해 초 국민·농협·롯데 카드사 개인정보 유출사고, 삼성카드 전산센터 화재, 앱카드 도용사고, NICE그룹 여의도 전산센터 정전 사고 등 금융 보안사고가 끊이지 않고 발생하고 있다.

이에 금융감독원은 기존 획일적 규제의 금융회사 IT 감독에서 금융회사에 자율성을 부여하고 원칙 위반 시 엄중한 제재 조치를 취하는 방향으로 추진할 방침이다.

금감원 관계자는 “금감원은 관리적 보안을 강화하기 위해서 금융회사 자체 및 외주업체 보안통제 가이드라인 마련을 추진 중이다. 이는 금융위에서 전자금융감독규정을 개정하면 시행세칙 변경을 통해 가능한데 올해 안에 ‘전자금융감독규정’이 개정될 예정”라고 설명했다.

금융업계가 함께 모여 금융전산 보안표준지침을 마련해 금융회사 스스로 자율적 규제를 추진하며 금융 보안 표준 및 외주용역 일일점검 체크리스트도 마련해 시행할 방침이다.

또한 총자산 10조원 이상 상시 종업원 수 1,500명 이상 금융회사에 CISO 겸직을 금지하고, CISO 의사결정기구 ‘정보보호위원회’ 운영을 통해 정보기술계획서, 취약점 분석·평가 등 주요 정보보호에 관한 사항을 심의·의결하도록 할 방침이다.

이와 관련 금감원 관계자는 “금융회사의 IT 감독의 기본 방향은 △IT·정보보호 부문에 대한 독자적 검사체계 운영 △모든 금융회사에 대해 IT 검사 실시 △현장 중심의 불시 점검 강화 △기본적 보안절차 미준수 등 법규위반 사항 엄중 제재 등”라고 설명했다.

또한 그는 “IT·전자금융사고 및 전산장애에 대해서 실무 현장에서 기본적 보안절차를 준수하고 실질적 위기 대응훈련과 사고발생 시 신속한 보고 등의 사전 대비를 철저히 해야 한다”면서 “고객정보 보호를 통한 고객 신뢰 회복을 위해서 자체 점검을 통해 미흡한 사항에 대한 보안·개선 노력과 함께 신기술 및 신사업 분야 등 업계 공통 이슈에 대해 함께 논의해 나갈 방침”이라고 강조했다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>