금융위원회가 최근 잇따라 일어나는 금융권 해킹 등 전산사고와 관련해 고강도 대책을 마련하기로 했다. 금융위는 우선 3개 기관을 주축으로 하는 보안협의회를 구성하고 백업시스템 등 다양한 대비책을 구축할 예정이다.
특히 이번 보안대책에는 금융지주사 계열회사가 전산사고를 일으켜도 금융지주 전체 계열사로 확대해 연계검사를 실시하는 방안도 담겼다.
금융위원회는 11일 이같은 내용을 담은 ‘금융전산 보안 강화 종합대책’을 발표하고 금융권에 대해 위기대응능력과 보안관제를 확대해 나갈 계획이라고 밝혔다.
이날 내놓은 종합대책은 금융회사가 자율적인 노력으로 전산사고를 방지할 수 있도록 제도와 기술적 보안관리 체계 강화에 중점을 뒀다.
우선 금융과 관련해 보안 ‘컨트롤타워’를 만들고 역할을 강화하기로 했다. 대책으로는 금융위 주관하에 금융결제원, 코스콤, 금융보안연구원 등 보안 관련 기관이 참여하는 ‘금융전산 보안 협의회’를 설치한다.
보안협의회는 각 기관별의 역할을 재조정하고 금융ISAC 모니터링 대상기관을 확대하고 기능 효율화 협의가능 기능을 수행한다.
두 번째로는 금융권 공동 백업전용센터를 구축하기로 했다. 현재 전산시스템을 파괴하거나 삭제하는 사이버공격이 이뤄지면서 금융정보가 영구 손실되는 사례도 발생했다. 금융위에 따르면 실제 2011년과 올해초 시중은행을 상대로 DB삭제를 시도한 사이버 공격도 있었다.
금융위는 현재 설치된 제2백업센터인 재해복구센터 외에 사이버공격과 지진, 테러 등을 대비해 제3백업센터를 구축한다는 게획이다. 이 백업센터는 중요 금융정보는 물론 금융권 공동 백업 전용센터로 지하 뱅커 형태로 구축된다.
백업센터는 은행권 공동으로 TF를 구성해 추진할 계획이다. 또 백업센터로는 폐광 등을 활용한 미국과 이스라엘을 모델로 할 예정이다.
사이버공격과 관련해 전담반을 운영해 위기대응능력을 강화한다는 계획이다. 침해사고 분석 전담조직을 금융ISAC내에 설치해 APT 공격 등에 대응한 훈련과 단말기 긴급 복구체계를 마련하기로 했다.
APT(Advanced Persistent Threat)공격은 특정 목적을 정해두고 해킹기법을 이용해 장기간 지속적으로 공격해 정보유출시스템 파괴 등을 일으키는 공격을 말한다.
또 전자금융거래를 제공하는 금융회사는 금융ISAC 모니터링 대상에 편입을 의무화하고 금융권 실시간 모니터링 체계를 구축하기로 했다.
개별 금융회사가 수집한 악성코드 정보와 취약점 정보 등을 금융회사와 공유해 유사 침해사례를 예방한다는 계획이다.
◇금융회사 전자금융 보안 강화
금융회사 전자금융기반 시설에 대한 보안도 강화한다. 현재 금융권은 전산망이 업무망과 인터넷망이 한꺼번에 묶여 있다. 이 때문에 공격에 취약하다는 것이 금융위의 설명이다.
금융위는 우선 망분리를 의무화 하는 가이드라인을 배포할 에정이다. 전산센터는 2014년말까지 물리적 망분리를 의무화하고 본점과 영업점은 단계적으로 망분리를 추진하기로 했다.
망분리는 총자산과 임직원 수 등 규모별로 단계적으로 추진하고 망분리 방식은 선택 가능하도록 했다.
물리적 망분리는 통신망을 물리적으로 업무용과 인터넷용으로 분리해 PC 2대를 사용하는 것이다. 논리적 망분리는 PC 1대를 소프트웨어적으로 분리해 업무용과 인터넷용으로 구분해 사용하는 방식이다.
금융보안 관리체계 인증제도도 도입한다. 금융권 정보보안과 전자금융거래 업무 특성상 인터넷 뱅킹 등을 반영한 금융보안 관리체계 인증제도를 도입하기로 했다.
◇금융전산시설 내부통제 강화
IT 보안 조직 내부통제를 강화하기 위해 관련 법규도 마련해 시행할 예정이다. 관련 법규는 정보보안 규정을 신설하고 위반시 제재 근거를 금융회사 내규에 마련해 시행한다는 계획이다.
전산시스템 운영자들이 홈페이지 등 공개용 서버뿐만 아니라 모든 전산시스템 접근시 추가 인증(IC카드, 지문인식, OTP 등)을 의무화 하기로 했다.
전산세스템 접근 기록을 상시적으로 모니터링하고 IT보안 리스크 통제조치도 시행한다. 그룹웨어와 홍보 등 비금융시스템까지도 취약점 점검을 확대하고 이행절차를 마련해야 한다.
◇금융회사 보안 조직과 인력 양성
정보보호최고책임자(CISO) 역할과 독립성을 강화하는 방안도 나왔다. 현재 CIO가 CISO를 겸직하면서 업무상 경계가 모호하다는 것이 금융위의 지적이다. 이해상충시 보안보다는 효율성을 강조하면서 오히려 보안이 약화될 우려가 높다는 설명이다.
앞으로는 일정규모 이상 금융회사는 CISO 전임제도를 시행해야 한다. CISO는 겸직이 되지 않는다. 자산 10조원 이상과 임직원 1500명 이상 금융회사가 도입 대상이다.
CISO는 전임자의 경우 부당한 인사상 불이익을 금지하고 책임에 따른 문책부담 해소를 위해 3년 임기를 보장하도록 했다.
보안 인력 강화를 위해 최고책임자(CEO)가 직접 보안인력 사기진작 방안을 마련해 시행하도록 했다. 책임과 의무를 다한 정보보안담당 임직원에 대해서는 향후 사고가 발생하면 금융당국의 제재와 자체 내규에 따른 제재시 면책을 받을 수 있도록 했다.
금융정보보안 전문 인력 양성과 임직원 보안 교육을 위해 금융보안연구원에 ‘금융보안교육센터’를 운영하고 전문과 과정을 확대하기로 했다. 또 정보보호 석사과정을 개설한 대학원과 금융회사간 협력체계 구축을 유도하기로 했다.
◇금융이용자 보호 감독 강화
현재 신용카드사에서 운용중인 이상금융거래 탐지시스템(FDS)을 전자금융거래를 취급하는 은행과 증권사로 확대한다. 자체 탐지한 이상금융거래 정보는 전 금융권에 공유하는 체계도 구축한다.
불법사이트 접속차단과 이용자 교육도 강화하기로 했다. 국내 금융회사를 사칭하는 해외불법사이트 접속 차단을 위해 교육, 홍보자료, 보안사고 예방법, 설명화면 노출 등 이용자 교육도 강화한다.
업무정지 제재 기준 등도 마련하고 검사와 감독도 강화된다. 안전조치 의무 위반시 업무정지 부과를 위한 세부기준이 마련된다. 특히 중대 전산사고가 빈발한 금융회사에 대해서는 집중 점검과 관리를 하기로 했다.
금융지주사와 IT자회사, 금융자회사간 전산관리에 대한 역할과 책임을 계약상 명확히 명기하고 금융자회사 검사시 금융지주와 IT자회사도 연계 검사를 하기로 했다.
CEO에 대해서는 정보 기술부문 계획을 확인하고 서명 등을 통해 전산사고가 발생하면 책임을 명확히 하도록 했다.
금융위는 이밖에 금융회사 자율적으로 보안노력을 할 수 있도록 보안가이드라인을 만들어 배포하기로 했다.
최재영 기자 sometimes@
뉴스웨이 최재영 기자
sometimes@newsway.co.kr
저작권자 © 온라인 경제미디어 뉴스웨이 · 무단 전재 및 재배포 금지
댓글