사고 발생땐 제재도 강화
지주사와 CEO까지 처벌
업무용 PC 망분리 하고
정보책임자 상주 의무화
금융위원회가 지난 11일 내놓은 ‘금융전산 보안 강화 종합대책’ 핵심은 보안체계 강화가 중점이다. 여기에 금융권 스스로 자구노력을 하지 않으면 ‘철퇴를 가하겠다’는 의미도 담겼다.
금융위가 내놓은 대책은 크게 5가지다. 정부는 전산사고를 미연에 방지하기 위해서 보안관리 체계와 재정립하고 ‘보안관제’ 시스템을 만들어 사전에 차단하겠다는 것이 큰 테두리다.
금융회사는 자체 보안 강화를 위해 최고책임자의 독립성 등 가이드라인도 제시하고 인력 양성을 위한 다양한 지원책도 마련했다. 물론 이 같은 과정에도 불구하고 전산사고가 발생했을 때는 최고책임자(CEO)부터 관계 회사까지 처벌하겠다는 규정도 새롭게 담았다.
먼저 이번 대책에서 가장 눈에 띄는 것은 제3의 백업센터다. 그동안 금융권 개별 백업센터와 제2백업센터인 ‘재해복구센터’가 운영 중이었다.
금융위는 3번째 백업센터를 도시에 두는 것이 아닌 미국이나 이스라엘처럼 폐광 등을 활용하는 방안을 검토하기로 했다.
금융회사 망분리 작업도 핵심 대책 가운데 하나다. 다만 기존의 개인PC까지 망분리 작업을 진행하면서 비용 등에 대한 불만의 목소리도 높아지고 있는 중이다.
망분리는 통신망을 물리적으로 업무용과 인터넷으로 분리하는 방안과 소프트웨어를 이용해 업무용과 인터넷용으로 분리하는 방식이다. 금융위는 일단 총자산과 임직원 수 등 규모별로 단계적으로 추진하는 방안을 검토하기로 했다.
IT보안조직에 대한 권한을 대폭 늘리는 한편 위반시 제재 수위도 크게 높였다. 먼저 전산시스템 운영자들은 홈페지 등 공개용 서버뿐만 아니라 모든 전산시스템에 접근하려면 인증(IC카드, 지문인식, OTP 등)장치를 의무화 시켰다. 정보보호최고책임자(CISO) 역할과 독립성을 강화시켰다. 현재 CIO가 CISO를 겸직하면서 업무상 경계가 모호하다는 것이 금융위의 지적이다. 이해상충시 보안보다는 효율성을 강조하면서 오히려 보안이 약화될 우려가 높다는 설명이다.
앞으로는 일정규모 이상 금융회사는 CISO 전임제도를 시행해야 한다. CISO는 겸직이 되지 않는다. 자산 10조원 이상과 임직원 1500명 이상 금융회사가 도입 대상이다.
계열사 전산사고와 관련해서는 지주사는 물론 전 계열사로 확대하는 규정도 만들었다. 사고와 관련해서는 기존의 담당자는 물론 CEO에게도 책임을 묻도록 하는 내용도 담겼다.
최재영 기자 sometimes@
지주사와 CEO까지 처벌
업무용 PC 망분리 하고
정보책임자 상주 의무화
금융위원회가 지난 11일 내놓은 ‘금융전산 보안 강화 종합대책’ 핵심은 보안체계 강화가 중점이다. 여기에 금융권 스스로 자구노력을 하지 않으면 ‘철퇴를 가하겠다’는 의미도 담겼다.
금융위가 내놓은 대책은 크게 5가지다. 정부는 전산사고를 미연에 방지하기 위해서 보안관리 체계와 재정립하고 ‘보안관제’ 시스템을 만들어 사전에 차단하겠다는 것이 큰 테두리다.
금융회사는 자체 보안 강화를 위해 최고책임자의 독립성 등 가이드라인도 제시하고 인력 양성을 위한 다양한 지원책도 마련했다. 물론 이 같은 과정에도 불구하고 전산사고가 발생했을 때는 최고책임자(CEO)부터 관계 회사까지 처벌하겠다는 규정도 새롭게 담았다.
먼저 이번 대책에서 가장 눈에 띄는 것은 제3의 백업센터다. 그동안 금융권 개별 백업센터와 제2백업센터인 ‘재해복구센터’가 운영 중이었다.
금융위는 3번째 백업센터를 도시에 두는 것이 아닌 미국이나 이스라엘처럼 폐광 등을 활용하는 방안을 검토하기로 했다.
금융회사 망분리 작업도 핵심 대책 가운데 하나다. 다만 기존의 개인PC까지 망분리 작업을 진행하면서 비용 등에 대한 불만의 목소리도 높아지고 있는 중이다.
망분리는 통신망을 물리적으로 업무용과 인터넷으로 분리하는 방안과 소프트웨어를 이용해 업무용과 인터넷용으로 분리하는 방식이다. 금융위는 일단 총자산과 임직원 수 등 규모별로 단계적으로 추진하는 방안을 검토하기로 했다.
IT보안조직에 대한 권한을 대폭 늘리는 한편 위반시 제재 수위도 크게 높였다. 먼저 전산시스템 운영자들은 홈페지 등 공개용 서버뿐만 아니라 모든 전산시스템에 접근하려면 인증(IC카드, 지문인식, OTP 등)장치를 의무화 시켰다. 정보보호최고책임자(CISO) 역할과 독립성을 강화시켰다. 현재 CIO가 CISO를 겸직하면서 업무상 경계가 모호하다는 것이 금융위의 지적이다. 이해상충시 보안보다는 효율성을 강조하면서 오히려 보안이 약화될 우려가 높다는 설명이다.
앞으로는 일정규모 이상 금융회사는 CISO 전임제도를 시행해야 한다. CISO는 겸직이 되지 않는다. 자산 10조원 이상과 임직원 1500명 이상 금융회사가 도입 대상이다.
계열사 전산사고와 관련해서는 지주사는 물론 전 계열사로 확대하는 규정도 만들었다. 사고와 관련해서는 기존의 담당자는 물론 CEO에게도 책임을 묻도록 하는 내용도 담겼다.
최재영 기자 sometimes@
뉴스웨이 최재영 기자
sometimes@newsway.co.kr
<저작권자 © 온라인 경제미디어 뉴스웨이 · 무단 전재 및 재배포 금지>
댓글