[보안뉴스 김경애] 전자금융거래법 개정(법률 제12837호)안이 오는 4월 16일부터 본격 시행됨에 따라 이를 위한 시행규칙과 전자금융감독규정도 개정됐다.

이는 전자금융거래법에서 위임된 사항을 정하고, 개인정보 유출방지 종합대책 후속조치 등으로 개선이 필요한 사항을 담았다. 이에 따라 금융권 보안담당자는 전자금융거래법 개정과 함께 시행규칙, 전자금융감독규정에 대해 정확히 숙지하고 있어야 한다.

이에 본지는 전자금융감독규정의 주요 개정사항 10가지를 소개하고자 한다. 주요 개정사항은 ①단말기 보호대책 ②특정 인증수단의 사용관련 조문 삭제 ③전자금융거래시 보안대책 ④매체분리규정 삭제 ⑤거래인증수단 선택 ⑥정보보호최고책임자 업무 ⑦외부주문 등에 대한 기준 ⑧업무장소 및 전산설비, 내부 업무용과 분리 ⑨제3자에 대한 정보보호업무 재위탁 허용 기준 설정 ⑩정보기술부문 및 전자금융사고보고이다.

첫째, 단말기 보호대책의 경우 금융회사가 자율적으로 단말기 보호대책을 마련할 수 있도록 중요 원칙만 제시, 세부사항은 삭제·조정됐다.

둘째, 특정 인증수단의 사용관련 조문을 삭제해 금융사의 자율적인 공개용 웹서버 관리를 가능하게 했다.

셋째, 전자금융거래시 보안대책의 경우 액티브X(Active-X)를 강제하는 보안프로그램 설치의무를 삭제해 전자금융거래 안정성 조치를 자율적으로 마련할 수 있도록 했다.

넷째, 매체분리규정 삭제의 경우 전자금융거래수단이 되는 매체와 거래인증수단이 되는 매체를 분리하도록 하는 규정을 삭제했다.

다섯째, 거래인증수단 선택의 경우 금융회사가 일반용 비밀번호 등의 거래인증수단으로 새로운 기술을 활용할 수 있도록 자율성을 부여했다.

여섯째, 정보보호최고책임자(CISO) 업무의 경우 금융회사 내부통제 강화를 위해 금융회사별 보안점검의 날을 지정해 정보보호최고책임자 책임 하에 보안점검을 실시해야 한다. 따라서 CISO는 최고경영자에게 그 점검결과 및 보완계획을 보고해야 한다.

일곱째, 외부주문 등에 대한 기준의 경우 외부주문 통제 소홀에 따른 정보유출 방지 등을 위해 외부주문 단계(입찰->계약->수행->완료)별 보안관리 방안을 준수하도록 하고, 외부주문 관련 중요 점검사항은 매일 점검하도록 해야 한다.

여덟째, 외부주문 개발업무에 활용되는 업무장소 및 전산설비를 내부 업무용과 분리해 설치·운영하도록 개정됐다. 따라서 외부주문 단계별로 보안관리방안을 준수해야 하고, 외부주문 관련 중요 점검사항은 매일 점검하도록 해야 한다.

아홉째, 전자금융거래정보의 보호 및 안전한 처리를 저해하지 않는 범위 내에서 제3자에 대한 정보보호업무 재위탁 허용 기준을 설정하면 된다.

마지막으로 정보기술부문 및 전자금융사고보고의 경우 신속한 금융사고 보고체계 구축을 위해 금융회사의 사고보고 창구를 금감원으로 일원화하고, 금융감독원장은 보고받은 내용을 지체없이 금융위원장에게 보고하도록 했다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>