금감원 ‘전자금융 종합 안전기준’ 발표

지난 17일 금융감독원이 전자금융 시스템 안전성 확보를 위한 ‘전자금융 종합 안전기준’을 발표했다. 금감원은 이 안전기준을 늦어도 올해 안에 내놓을 전자금융 감독규정에 포함시키고 금융기관 전자금융시스템 개발 및 운영시 의무 조항으로 적용할 방침이다.

이 기준은 무엇보다 금융기관들이 보안 수위를 명확히 설정하는데 도움을 줄 것으로 보인다.

금감원은 은행 증권 보험 등 주요 금융기관 보안 담당장들로 ‘사이버금융 안전대책반’을 구성, 각 업무별로 수용 가능한 보안기준을 정의한 후 지난 6월 공청회를 거쳐 안전기준을 마련했다. 금융기관들은 전자금융시스템 개발이나 운영에 이 기준을 참고하게 되며 앞으로는 의무적으로 이에 맞춰 업무를 수행하게 된다.
안전기준에 따르면 우선 모든 금융거래 정보를 암호화해야 한다. 인터넷뱅킹이나 사이버주식거래시 거래 당사자를 확인하고, 고객이 거래 사실을 부인할 경우에 대비해 전자인증서를 사용해야 한다. PC방 등에 설치된 공중PC를 이용할때는 은행의 경우 100만원 이상 거래에서, 증권은 세션 단위로 일회용 비밀번호를 사용해야 한다.

무선전화를 이용한 금융거래에서는 계좌번호와 계좌비밀번호를 이용해 당사자를 확인하고 향후 전자인증서로 이를 대체한다. 무선시스템과 전자지불 중계기관에서의 금융거래내용 해독과 기록이 금지된다.

침입차단시스템과 침입탐지 시스템을 설치해 해킹을 방지하고 불법 접근을 탐지해 자동 차단해야 한다. 모든 금융거래 정보는 로깅을 실시하고 거래 사실 증명, 장애 발생에 대비해 복구가 가능한 기간동안 암호화해 보관해야 한다.

금융기관의 아웃소싱 업체도 금감원의 감독, 검사를 받도록 해 한창 설립 추진중인 은행 전산자회사들에 대한 감독당국의 통제 수위가 높아질 것으로 보인다.

안전기준의 내용을 살펴보면 기존에 금융기관들이 운영해오던 보안업무에서 크게 다른 것이 없지만 감독당국이 내놓은 구체적인 지침에 따라 보안수위를 설정할 수 있게 됐다는 점에서 의미가 있다.
금감원 관계자는 “금융기관들의 현 보안업무 내용이 안전기준의 항목들을 대부분 포함하고 있지만 그 정도의 수준에 아직 미치지 못하는 금융기관도 있다”며 “일단 금융기관들이 보안범위를 명확히 할 수 있게 돼 반기는 분위기다”고 밝혔다.



김미선 기자 una@kftimes.co.k