FNTIMES 대한민국 최고 금융 경제지
ad

금융사 IT인력·예산 일정비율 의무화

정희윤 기자

simmoo@

기사입력 : 2011-06-23 15:04

금융위 IT보안강화대책 "CEO부터 보안강화 책임"

  • kakao share
  • facebook share
  • telegram share
  • twitter share
  • clipboard copy
앞으로는 금융사 CEO(최고경영자)가 연간 IT보안 계획은 직접 승인하고 이행여부를 확인해야 할 뿐 아니라 임원성과평가와도 연계해야 하며 금융사마다 정보보호최고책임자(CISO)를 지정해 책임껏 관리하는 체제로 바뀐다.

금융사들은 IT보안 인프라개선과 내부통제 강화를 통해 해킹 등 침해사고 가능성 최소화에 힘쓰되 불가피하게 사고고 나면 신속한 대응과 재해복구 체계 가동으로 피해확산을 차단할 의무를 지닌다.

감독기구는 지난 4월 연이어 터진 현대캐피탈 고객정보유출이나 백업 서버까지 파일삭제 피해를 입었던 농협전산장애와 같은 사고가 터지지 않도록 IT업무에 대한 감독 및 검사를 강화하고 제재수준을 높이는 등 엄정하게 대응할 방침이다.

이 모든 개선이 원활히 진행될 수 있도록 오는 8월 중 `금융회사 IT보안업무 모범규준`을 마련 시행하고 당장 추진할 수 있는 전자금융감독규정과 시행세칙을 서두르는 동시에 법령 개정도 추진하기로 했다.

금융위원회는 23일 이같은 내용을 뼈대로한 `금융회사 IT 보안강화 종합대책`을 마련했다고 밝혔다.



◆IT조직 역량 강화 및 보안투자 확대 방안

금융위는 지난 4월 19일부터 `금융회사 IT 보안강화 TF` 가동에 나선 결과 CEO를 비롯한 임직원들의 저조한 인식이 보안사고 발생의 원인으로 꼽혔다고 지목했다.

이 때문에 CEO가 직접 연간 IT 보안계획 승인과 이행여부를 확인하도록 했고 임원성과 평가에도 연동시키도록 유도하겠다고 밝혔다.

대개의 금융회사에서 CIO(정보최고책임자)가 겸하고 있는 CISO도 분리하는 것을 의무화 하고 CISO의 업무범위와 자격요건 등을 명시하기 위해 현재 국회 계류 중인 전자금융거래법령 개정에 힘을 보태기로 했다.

당국과 협력체계 강화를 위한 CISO협의회 운영도 추진할 예정이다.

인신 및 관심 제고와 전담 CISO 지정과 더불어 실제 조직역량을 떠받칠 보안인력과 인프라 투자 확대에도 금융사들은 나서야 한다.

그 동안 금융감독원이 전체 예산에서 IT보안 예산을 5% 이상 유지하도록 했던 권고가 외면당하고 있는 현실에서 벗어나기 위해 IT보안인력과 예산 비율을 일정 수준 이상 유지하도록 감독규정에 명시하고 준수 여부를 경영실태평가에 반영할 방침이다.

그러나 업권별, 회사규모별 특수성을 감안해 구체적 비율 수준은 △총자산 규모 △직원수 △전자금융거래 규모 △고객 수 △국제기준 등을 통찰해 결정하고, 순조로운 정착을 돕기 위해 로드 맵을 제시해 단계적으로 이행할 수 있도록 숨통을 터 줄 예정이다.



◆보안기술 인프라·아웃소싱 포함 내부통제 강화

해킹피해 최소화를 위해 대다수 금융사가 통합해서 쓰는 인터넷망과 업무망을 단계적으로 분리하도록 유도하고 노트북과 USB를 비롯한 외부저장장치 반출입 관리가 강회된다.

적어도 시스템 운영실의 경우는 전용단말기 사용만을 허용하고 무선망 접속을 차단해야 한다.

또한 시스템 계정 비밀번호를 주기적으로 바꿔 주는 초보적 활동도 않고 있는 실태에 경종을 울린다. 1인 1계정 부여와 비밀번호 변경 등 보안수칙 강화는 물론 업무프로세스 전반에 걸쳐 계층적 내부통제 체제 확립과 자체 추적감사를 실시하도록 한다.

농협전산장애 사태처럼 외주인력 연루 여부가 발생하지 않도록 계약 당시부터 보안대책준수 및 재위탁금지를 명확히하고 손해배상 책임 등 보안책임을 크게 강화해야 한다.

상주할 인원에 대해서는 신원조회 등 인력관리 강화방안 수립을 유도하고 외주업체들을 전자금융보조업자에 포함시켜 책임을 강화하는 동시에 표준계약서 마련을 통해 사고 발생 때 책임관계 또한 명확히 한다.

아울러 원천적으로 위탁가능한 비핵심업무와 직접 수행할 업무를 구분한 가운데 CISO가 외부위탁 관련 결정 때 참여해 보안성 검토를 거치도록 했다.



◆사고대응 재해복구 체계 강화 및 감독·제재도 강화

은행과 증권사들처럼 각각 금융결제원과 코스콤 중심으로 정보공유 분석 등 공동보안관제(금융 ISAC)를 운영하고 있는 업권은 그나마 사고 대응이 빠르기 때문에 비은행, 비증권 중소금융사들도 금융 ISAC에 참가해야 한다.

평소 사이버테러에 대응할 수 있도록 재해복구센터 전환훈련을 하고 모의해킹 등 침투훈련을 해야 하지만 지키는 곳이 거의 없어 실제 복구 중심의 재해복구훈련으로 강화하기로 했다.

금융당국은 특히 이같은 계획이 차질 없이 정착될 수 있도록 감독 및 검사 강화에 나서겠다고 강조했다.

위반행위자, 경영진 별로 공익침해 정도가 크면 엄중 제재조치하고 심하면 금융회사 업무정지 등이 가능하도록 법적 근거를 마련하겠다는 계획이 대표적이다.

이를 위해 사고유형별, 피해규모별, 법규위반 정도 등을 고려해 제재대상과 유형별 수준에 대한 표준안 마련에 착수했다.

또한 그동안 금융사 IT부문 실태평가에서 제외됐던 할부·리스업 등을 영위하는 여신전문사, 금융관련 협회 등도 실태평가 대상으로 확대한다.

현행법에 근거가 미흡했던 IT보안 침해 행위 금지 의무화 조항 등을 손질해 처벌 수위를 명확히 하고 강화하며 고객피해보상도 확대할 예정이다.



정희윤 기자 simmoo@fntimes.com

가장 핫한 경제 소식! 한국금융신문의 ‘추천뉴스’를 받아보세요~

데일리 금융경제뉴스 FNTIMES - 저작권법에 의거 상업적 목적의 무단 전재, 복사, 배포 금지
Copyright ⓒ 한국금융신문 & FNTIMES.com

오늘의 뉴스

ad
ad
ad
ad

한국금융 포럼 사이버관

더보기

FT카드뉴스

더보기
[카드뉴스] 국립생태원과 함께 환경보호 활동 강화하는 KT&G
[카드뉴스] 신생아 특례 대출 조건, 한도, 금리, 신청방법 등 총정리...연 1%대, 최대 5억
[카드뉴스] 어닝시즌은 ‘실적발표기간’으로
[카드뉴스] 팝업 스토어? '반짝매장'으로
[카드뉴스] 버티포트? '수직 이착륙장', UAM '도심항공교통'으로 [1]

FT도서

더보기
ad