FNTIMES 대한민국 최고 금융 경제지
ad

금융사 경영진 ‘IT 보안사고’ 책임 강화

김의석 기자

eskim@

기사입력 : 2011-06-27 00:16

CEO 보안계획 승인, CISO 지정 의무화
여전사·금융협회도 IT실태평가 대상 포함

  • kakao share
  • facebook share
  • telegram share
  • twitter share
  • clipboard copy
금융당국이 현대캐피탈 고객정보 유출 및 농협 전상장애와 같은 금융권 전산사고 재발을 방지하기 위해 IT보안강화 대책을 내놓았다. 결론부터 말하면 이번 조치는 ‘예상을 뛰어 넘는 수준’이다. 무엇보다 이번 대책은 MB정부의 핵심적인 정책 기조중 하나인 ‘기업 규제의 철폐’와 정면으로 배치되기 때문이다. 금융회사들은 CISO를 의무적으로 도입해야하고 매년 강도높은 경영실태 평가를 감수해야 한다.

하지만 지난 4월, 현대캐피탈 해킹사고와 농협 전산마비 사태에서 보듯 금융회사의 치명적인 보안문제가 유발하는 엄청난 ‘사회적 비용’을 감안한다면 기존의 천편일률적인 기업 규제 완화 기조에서 ‘보안’만은 예외로 둘 필요가 있다.

금융 당국은 “사고발생에 따른 일시적 대응책이 아닌 근원적인 IT보안강화 될 수 있도록 경영진의 인식전환과 IT보안조직의 실질적 역량 강화에 중점을 두고 추진하겠다”고 강조했다. 그러면서 금융회사 CEO의 책임을 부여하고, 정보보호최고책임(CISO)지정 의무화를 분명히했다. CISO의 필요성은 오래전부터 제기돼왔었으나 그 때마다 ‘과도한 규제’라는 반대논리에 부딪혀 명문화되지 못했고 금융권의 반발도 적지 않았다.

이와함께 금융 당국은 보안예산을 전체 IT예산으로 5%이상으로 유지할 수 있도록 ‘권고’가 아닌 사실상 ‘의무화’시키겠다고 으름장을 놓았다. 그것을 준수하지 않으면 금융기관 경영실태평가가 반영시키겠다는 것이다. 또 기존 IT부문 실태평가 대상(120여개 금융회사)에는 캐피탈과 같은 여신전문금융회사는 제외가 됐었는데 앞으로는 이를 포함시키겠다고 했다. IT검사 인력의 대폭적인 충원이 필요하겠지만 이 또한 바람직한 정책방향이다.

이에 따라 금융권의 IT시스템 운영 및 보안대책의 대대적인 수정이 불가피할 것으로 보인다.

◇ “해킹 피해 최소화위한 시스템 개선” 유도

금융당국은 우선 금융사의 해킹 피해 최소화를 위한 시스템 개선을 유도할 계획이다. 현재 일부 금융회사는 보안이 취약한 위험구간(DMZ)과 내부망(DB) 구간을 분리하지 않은 채 전산망을 구성·운영하고 있다. 또 외부공개용 웹서버에 고객비밀번호를 암호화하지 않은 채 저장하는 등 허술하게 관리해오고 있다는 지적을 받아왔다.

이에 따라 금융당국은 내부망 구간에만 DB를 설치·운영토록 하고, 고객비밀번호 암호화 등 고객정보 관리 강화를 추진키로 했다. 또한 인터넷망과 업무망의 분리를 단계적으로 유도하고, 무선망 사용에 대한 보안조치 및 점검 등을 강화하기로 했다. 아울러 금융사 시스템운영실에서는 전용단말기 사용만을 허용하는 등 시스템 접속통제를 강화하고, 운영실 내 무선망 접속을 차단해 정보의 외부 유출을 차단하기로 했다.

농협 전산사고로 불거졌던 허술한 계정관리시스템 운영에 대한 관리감독도 강화된다. 사용자식별이 가능하도록 접근권한을 부여하는 등 작업통제를 강화하고, 비밀번호 변경 등 보안수칙 준수 여부의 자체점검 강화를 유도한다는 계획이다. 또 직무에 따른 업무프로세스 기반의 계층적 내부통제 실시를 유도하고, 자체 추적감사(Audit Trail)도 도입하게 된다. 또한 민간보안전문업체를 활용해 매년(외부공개용 웹서버는 반기) 취약점을 자체 점검토록 하고, 이행계획 등을 금융위원회와 금융감독원의 합동 점검반이 불시 점검을 추진키로 했다.

◇ “금융권 IT아웃소싱 관리감독 강화” 예정

금융당국은 현재 금융권에서 확산되고 있는 IT 아웃소싱의 관리 개선도 추진키로 했다. 현재 대부분의 금융회사가 IT업무 전반에 대해 외주를 실시함에도 전담통제인력이 부족하고, 반출입 관리 등 위탁업체 관리가 미흡한 상황이다.

이에 따라 금융당국은 금융사의 IT보안전담조직에서 아웃소싱업체 보안관리를 철저히 수행토록 하고, 상주인원 신원조회 등 인력관리 강화방안을 수립할 수 있도록 유도할 계획이다. 이를 위해 우선, 외주 사업자를 ‘전자금융보조업자’에 포함시켜 외주사업자가 고의 또는 과실로 사고를 냈을 때 해당 금융회사의 책임으로 간주하기로 하는 등 안전성 확보의무를 계약서에 반영키로 했다. 또 금융사의 IT시스템을 외부에 위탁할 경우 이에 대한 의사결정 시 CISO를 참여시키고, 위탁업무의 적정성 등에 대한 업무분석과 자체 보안성 검토 실시를 의무화했다.

◇ 금융권 사이버테러 대응 실시간 경보체계도 강화

현재 은행·증권사들이 금융ISAC(Information Sharing & Analysis Center)을 중심으로 사이버테러에 대응하고 있지만 중소 금융회사의 경우 자체적인 사이버테러 대응능력이 취약한 상황이다. 이에 따라 금융ISAC 참가 대상을 비은행 및 비증권 등 중소금융회사로 확대키로 했다. 또한 해킹 유형 및 사고 정보에 대한 실시간 공유 등을 위해 ‘금융회사 IT보안 지식공유센터’ 운영을 추진한다.

또한 사이버테러 대응훈련도 강화된다. 일부 금융회사의 경우 재해복구센터 전환 훈련을 형식적으로 실시하는 경우가 있고, 재해복구센터 운영 수준도 미흡한 상황으로 현행 금융분야 사이버테러 대응훈련을 실제 복구 중심의 실질적 재해복구훈련으로 강화키로 한 것. 금융당국은 이번 종합보안대책 마련으로 금융회사 최고경영자의 IT 보안에 대한 책임 강화와 관심도 제고를 통해 금융권 IT 보안수준의 전반적인 향상을 도모한다는 계획이다. 또 고도화되는 해킹 등에 따라 불가피하게 전산사고가 발생하는 경우에도 신속한 위기대응을 통해 피해 확산을 조기 차단할 수 있을 것으로 기대하고 있다.



김의석 기자 eskim@fntimes.com

가장 핫한 경제 소식! 한국금융신문의 ‘추천뉴스’를 받아보세요~

데일리 금융경제뉴스 FNTIMES - 저작권법에 의거 상업적 목적의 무단 전재, 복사, 배포 금지
Copyright ⓒ 한국금융신문 & FNTIMES.com

오늘의 뉴스

ad
ad
ad
ad

한국금융 포럼 사이버관

더보기

FT카드뉴스

더보기
[카드뉴스] 국립생태원과 함께 환경보호 활동 강화하는 KT&G
[카드뉴스] 신생아 특례 대출 조건, 한도, 금리, 신청방법 등 총정리...연 1%대, 최대 5억
[카드뉴스] 어닝시즌은 ‘실적발표기간’으로
[카드뉴스] 팝업 스토어? '반짝매장'으로
[카드뉴스] 버티포트? '수직 이착륙장', UAM '도심항공교통'으로 [1]

FT도서

더보기
ad