| ‘보안 협의회 설치·공동 백업센터 구축·망분리 의무화’로 금융보안 강화 | 2013.07.11 |
금융위원회, ‘금융전산 보안 강화 종합 대책’ 발표 \r\n금융위원회는 금융전산 위기대응 체계 강화를 위해 ‘금융전산 보안 협의회’를 설치해 금융위의 보안 컨트롤 타워 역할을 강화하고 지하 벙커 형태의 금융권 공동 백업전용센터를 구축하기로 했다. 또한 금융 전산센터의 물리적 망분리를 오는 2014년까지 의무화했다. \r\n
특히 이번 종합대책은 금융회사가 자율적인 노력을 통해 전산 사고를 방지할 수 있도록 제도적·기술적 보안관리 체계를 강화하는데 중점을 두고 있어 주목된다. \r\n금융전산 위기대응 체계 강화 \r\n금융위는 금융전산 보안 컨트롤타워 역할을 강화하기로 했다. 이에 금융권 사이버위협에 대응한 금융결제원·코스콤·금융보안연구원 등 금융보안 관련 기관간 역할 중복 문제를 해결하고 금융위의 컨트롤타워 역할을 강화하기 위해 금융위 주관하에 금융권 전산 보안 관련기관이 참여하는 ‘금융전산 보안 협의회’를 설치하기로 했다. \r\n또한 전산시스템을 파괴·삭제하는 사이버공격과 지진·테러 등에 의한 전산센터 파괴 시 중요 금융정보를 저장하고 보호하기 위한 금융권 공동 백업 센터를 지하 벙커 형태로 구축할 계획이다. 이는 은행 공동 TFT를 구성해 은행권 우선 추진하고 향후 타 업권으로 확대한다는 계획이다. 해외에서는 폐광 등을 활용해 정부·민간에서 벙커형태로 제3백업센터를 구축하고 있다. \r\n아울러 침해사고분석 전담조직을 금융ISAC내에 설치하고 APT공격 등에 대응한 훈련 시나리오 보완, 단말기 긴급 복구체계를 마련키로 했다. \r\n또 전자금융거래를 제공하는 금융회사에 대해 금융ISAC 모니터링 대상에 편입을 의무화해 전 금융권 실시간 모니터링 체계를 구축한다. 특히 개별 금융회사가 수집한 악성코드 정보, 취약점 정보 등을 전체 금융회사와 공유할 수 있는 체계를 구축해 유사 침해사례를 예방한다는 계획이다. \r\n금융회사의 전자금융기반시설 보안 강화 \r\n금융회사의 기반 시설 보안 강화를 위해 금융전산 망분리 의무화 및 가이드라인을 배포하기로 했다. 이에 전산센터는 오는 2014년 말까지 물리적 망분리를 의무화하고 본점·영업점은 단계적으로 망분리를 추진해야 한다. \r\n또한 금융권 정보보안 및 전자금융거래 업무 특성(인터넷뱅킹 등)을 반영한 금융보안 관리체계 인증제도를 도입키로 했다. 전자금융거래법규에서는 최소한의 정보보안 수준을 규정함에 따라 평준화된 보안수준을 금융회사별로 차별화하고 상향시킬 필요가 있다. \r\n아울러 IT보안 조직의 내부통제 실행력 강화를 위해 정보보안 규정 위반 시 제재 근거를 금융회사 내규에 마련해 시행하고 전산시스템 운영자들이 홈페이지 등 공개용 서버 뿐만 아니라 모든 전산시스템 접근 시 추가 인증(IC카드, 지문인식, OTP 등)을 의무화하기로 했다. \r\n그리고 전산시스템 접근기록 상시 모니터링 및 분석을 통해 IT보안 리스크 통제조치를 시행하고 그룹웨어·홍보 등 비 금융시스템까지 취약점 점검을 확대해 취약점 점검결과에 대한 이행절차를 마련하고 이행여부를 CEO에 보고하도록 했다. \r\n금융회사의 보안조직·인력 역량 강화 \r\n정보보호최고책임자(CISO)의 역할 및 독립성도 강화된다. 이에 일정규모 이상 금융회사는 CISO 전임제도(겸직금지)를 도입키로 하고 CISO는 전임자의 경우 부당한 인사상의 불이익을 금지하고 책임에 따른 문책부담 해소를 위해 최소한의 임기를 보장할 계획이다. \r\n그리고 보안인력 사기진작 방안으로 책임과 의무를 다한 정보보안 담당 임직원에 대해서는 금융당국 제재와 금융회사 자체 내규에 의한 제재시 면책 근거를 CEO의 책임하에 마련해 시행토록 권고할 계획이다. 그동안은 해킹, 정보유출 등 금융전산 사고 시 금융회사 책임이 강화되어 보안담당자의 고충이 가중되고 직무만족도가 저하됐었다. \r\n또한 금융보안 전문인력 양성 및 교육 강화를 위해 금융보안 연구원에 ‘금융보안교육센터’를 운영하고 전문가 과정을 확대한다. 이에 정보보호 석사과정을 개설한 대학원과 금융회사간 협력체계 구축도 유도해 나갈 예정이다. \r\n금융 이용자 보호 및 감독 강화 \r\n이상금융거래 탐지시스템 구축도 확대된다. 이를 위해 카드사에서 운영중인 이상거래탐지시스템(FDS:Fraud Detection System)을 전자금융거래를 취급하는 은행·증권 등으로 확대 구축하고 자체 탐지한 이상금융거래 정보를 전 금융권과 공유하는 체계를 구축한다. \r\n또한 불법사이트 접속 차단 및 이용자 교육 강화를 위해 인터넷사업자의 불법·유해사이트 차단시스템을 활용해 국내 금융회사를 사칭하는 해외 불법사이트로 접속되는 것을 차단한다. \r\n이와 함께 영업점에서 유의사항이 담긴 교육·홍보자료를 배포하고 인터넷뱅킹·스마트폰뱅킹 등에 보안사고 예방법 설명화면 노출 등 이용자 교육을 강화하기로 했다. \r\n업무정지 제재기준 마련 등 검사·감독이 강화되어 안전조치 의무 위반시 업무정지(최대 6개월) 부과를 위한 세부기준을 마련하고 중대 전산사고 빈발 금융회사는 집중 점검·관리 된다. \r\n이 외에 금융지주사, IT자회사, 금융자회사간 전산관리에 대한 역할·책임을 계약상 명확히 하고, 금융자회사 검사 시 금융지주사와 IT자회사도 연계검사를 실시하기로 했다. \r\n그리고 금융회사의 자율적 보안노력 지원을 위해 IT 신기술을 접목한 전자금융거래의 안전성확보를 위한 보안가이드를 제공하고 금융보안 전문기관 등을 통해 중·소형 금융회사에 대한 취약점 점검·보안수준 진단 등을 지원하고 자체 보안진단이 가능하도록 ‘금융IT 보안수준 진단’ 가이드라인을 배포하기로 했다. \r\n[김태형 기자(boan@boannews.com)] \r\n\r\n \r\n |
|
 |
최근 잇따른 사이버 공격으로 금융권 전산보안 전반에 대한 실태점검 결과, 금융전산 위기대응체계 비효율, 악성코드 유입경로 통제 미흡, 내부통제 미흡, 정보보호 인력 사기저하 등의 문제점이 제기된 가운데 금융위원회는 10일 이와 같은 내용을 주요 골자로 하는 ‘금융전산 보안 강화 종합 대책’을 발표했다.