[본지 단독 입수]‘증권부문 보안강화 종합대책 확정안’

향후 증권사에 IC칩 기반의 보안카드가 의무화 될 전망이다. 또 정보보호를 위한 필수 인력과 예산이 각각 전체 IT인력과 예산대비 5% 이상이 돼야 한다는 권고안도 제시됐다.

최근 본지가 단독으로 입수한 ‘증권부문 보안강화 종합대책 확정안’에 따르면 향후 증권사들은 보안카드 보안강화를 위해 일회용비밀번호 사용, 공인인증서 보관방법 개선, 해킹방지를 위한 PC용 보안프로그램 도입 등을 추진하게 된다.

이번 증권부문 보안강화 종합대책안은 은행, 카드, 보험업계와도 크게 차이가 나지 않을 것으로 전망되고 있다. 또 금융감독원이 최종 배포할 예정 시점인 오는 16일까지도 불과 얼마 차이가 나지 않아 큰 폭의 변화는 없을 것으로 예상되고 있다.
일부 금융기관은 이미 이를 기반으로 한 보안강화 대책을 마련, 시행에 들어가기도 했다.

이번 대책안은 지난 5월 외환은행 인터넷뱅킹 해킹 이후 금융감독원은 전자금융거래에 대해, 정보통신부는 공인인증서 발급에 대해, 산업자원부는 전자상거래와 관련해 보안 강화 대책안 마련을 위한 TFT를 구성, 운영에 따른 것이다. 그러나 산자부는 2차례 전자상거래업체와 보안업체 등 관련기관의 의견을 수렴해본 결과 자체적으로 보안 강화를 위해 논의할 대상이 적어 TFT 운영을 중단해 도출된 결론이 없다.

증권사 종합대책안에는 △일회용비밀번호 △공인인증서 △해킹 대응 △전자금융거래 이용 절차 △금융IT 보안관리 등에 관한 의무안과 권고안을 담고 있다. 이에 대해 증권사 관계자는 “증권업계는 제도 개선과 관련된 시스템 구축으로 하반기 일정이 빡빡할 것으로 보이지만 크게 어려움은 없을 것”이라고 예상했다.



◇ 보안카드 비밀번호 확대 입력 = 보안카드 비밀번호는 현재의 비밀번호 개수가 30~35개로 제한적이란 점을 감안, 의무안에서는 2개의 지시번호에 해당하는 비밀번호를 2자리씩 분할해 입력토록 했다.
현재 사용되는 보안카드 비밀번호 개수가 제한적이어서 해킹으로 노출될 경우 사고 위험이 높다. 이에 대해 기술적인 문제로 연말까지 적용이 불가능한 금융사는 금융감독원 IT감독팀에 별도 추진계획을 승인 받은 후 시행해야 한다.

권고안에서는 보안카드의 일회성 기능 한계를 극복하기 위해 OTP발생기로 전환토록 하고 있다. 기존 보안카드는 단계적으로 폐기하고 OTP발생기로 대체하도록 한다는 것이다. 금융기관 OTP발생기 전환에 대해 일정 이상 수용 의사가 있을 경우 별도 전담기구를 설치, 인증 시스템 구축 방안의 확정안으로 추진될 계획이다.

이를 위해 전자 금융 통합 인증센터 구축 필요성이 제기되고 있다. 금감원, 금융기관, OTP 보안 솔루션 업체가 공동 관리하는 전자 금융 통합 인증센터를 설립해 통합 OTP 인증 서비스가 제공될 수 있도록 한다는 방침이다.

인증센터에서 다수의 OTP서버가 공동으로 운영되며 은행, 증권, 카드사 등은 전용선 등으로 인증센터에 연결된다. 사용자는 단일 OTP로 전체 금융기관에 인증할 수 있도록 설치된다.
이 방식에 대해서는 다수 금융회사를 이용하는 고객 편의성, 금융기관의 중복투자, 상호호환성 등에 대한 해결책 마련 필요성이 대두되고 있다.



◇ 보안카드 비대면 배포 추가정보 입력 = 일회용비밀번호 비대면 배포 방안도 마련된다. 증권사는 영업점 대면 방식이 아닌 보안카드 배포 전문업체에 의한 배송이 이뤄질 때 추가정보를 확인해 사용할 수 있도록 해야 한다. 시행 시기는 올해 12월로 예상되고 있다.

이는 증권사가 영업점 부족으로 인해 고객을 대면해 보안카드를 배포하는 데 어려움이 있다는 점을 감안한 것이다.

이를 보완하기 위해 보안카드가 전문업체에 의해 배송을 할 수 있도록 하는 대신 추가정보를 확인하도록 했다. 영업점에서 고객을 대면하지 않고 보안카드가 발송된 경우 영업점에서 고객에게 직접 전달한 특정정보를 통해 기한 내 추가 인증을 해야 한다.

배송한 보안카드 보안숫자와 대면과정에서 받은 별도 추가정보를 통해 온라인상에서 확인 후 사용을 허용하도록 한다. 전문업체에 의해 비대면으로 배송할 때 대리인 전달을 허용할 경우 콜센터를 통해 보인수령 확인과정을 추가로 시행하는 것을 의무화했다.

권고안에서는 OTP구현방법 중 한 가지 방법으로 휴대폰 본인확인 후 휴대폰을 이용해 OTP를 사용하도록 했다. 휴대폰 온라인방식과 오프라인방식 중 일회용 비밀번호 인증은 오프라인방식만 허용된다.



◇ 공인인증서 암호화해 보관 = 공인인증서 보관방법도 개선된다. 현재 공인인증서는 대부분 하드디스크에 저장, 보관되기 때문에 해커에게 노출되기 쉬운 점을 감안했다. 12월까지 암호화 할 수 있는 시스템을 갖춰야 할 것으로 예상된다.

PKI(공개키기반) 응용 프로그램에서 전자서명 개인키를 PC 또는 저장매체 고유정보 키로 암호화해 공인인증서를 저장하는 방안이다. 응용 프로그램을 통해서만 다른 매체로 복사할 수 있도록 의무화한다.

연말까지는 보안카드 의무사용 및 보안카드 보안숫자 일부 자리수를 추가 입력토록 시스템을 개편해야 한다. 현재 온라인으로 공인인증서를 재발급 받을 때 입력해야 하는 정보는 해킹에 의해 유출되기 쉽다는 점을 고려한 것이다. 현재 입력되는 정보는 주민번호, 계정비밀번호, 보안카드 비밀번호 등 단순정보다.

12월부터는 공인인증서를 온라인으로 재발급할 때 보안카드를 의무적으로 사용하거나 보안카드 보안숫자 일부 자리수를 추가 입력토록 될 전망이다. 공인인증서 관리에 대한 보안강화 방안도 마련돼 10월까지 등록대행기관의 보안정책 및 사용등록 절차가 강화될 계획이다.

현재는 등록대행기관별 보안수준이 상이함에도 불구하고 상호재발급이 허용되고 사용용도가 다른 공인인증서간 상호 전환발급이 허용되고 있다는 데 따른 문제점을 개선하기 위한 것.

사용등록 절차 강화 방안은 공인인증기관 간 보안카드 의무사용, PC보안정책 강화 등 기관별 보안수준을 일정이상으로 동일하게 적용될 수 있도록 할 예정이다.

타 인증기관 발급 공인인증서를 사용할 때는 재발급 절차에 준하는 사용등록절차를 마련해 운영할 계획이다. 공인인증서 상호재발급 및 범용과 전용, 공인인증서간 전환발급은 기존대로 허용된다.



정통부·금감원 등 TFT운영…최종안 16일 발표

증권 IC칩 보안카드 의무…보안 인력·예산 권고



◇ 해킹방지 PC용 보안프로그램 도입 = 외환은행 인터넷뱅킹 해킹 사건에서 문제가 됐던 키보드보안 프로그램과 함께 개인 방화벽의 의무적용, 백신 프로그램의 자율적용 등도 의무안에 포함됐다. 시기는 키보드보안의 경우 9~12월까지, 개인 방화벽은 2006년 말로 예정됐다.

단 이런 프로그램을 설치하는 데 걸리는 시간에 대해 고객들의 불만이 있다는 점을 감안해 고객 의사에 한해 적용 배제가 가능하다. 이 경우에는 개인정보유출 등 사고개연성에 대해 사전 고지를 해야 한다.

ARS를 통한 전자금융거래 보안도 강화될 전망이다. 도청을 통해 거래정보가 쉽게 유출되고 다른 전자금융거래 서비스에 비해 상대적으로 보안 수준이 낮다는 점을 감안해 거래제한 기능이 의무화된다.

사고발생 개연성이 높은 공중전화, 착신번호금지전화, 국제전화 등에 한해 올해 12월부터 거래를 제한할 수 있도록 할 것으로 보인다. 이중 국제전화에 대해서는 조회 및 매매에 한해 허용이 허락된다. 또 시스템 장애 등 비상시에는 ARS에 대한 규제를 해제할 수 있도록 했다.

권고안에는 도청방지를 위한 전파방해시스템 도입, 자금이체, 대체 거래 제한 등이 포함됐다. 전파방해시스템은 전화 다이얼 톤에 의한 금융거래정보 유출을 차단할 수 있는 도청 방지 솔루션이다.



◇ 중요거래 보안강화 = 자금이체 등 중요거래에 대한 보안강화 방안도 마련돼 올해 12월부터 이체, 대체 거래시 공인인증서 및 일회용비밀번호(보안카드 포함)를 의무 적용하는 안이 포함됐다. 약정, 미약정 구분 없이 이체, 대체 거래시에는 전자서명비밀번호, 일회용비밀번호가 요구된다. 그러나 영업점을 방문해 사전 등록한 본인계좌에 한해서는 제외가 가능하다.

10월부터 주문대리인 설정시 이체, 대체가 제한돼 타인계좌는 조회 및 매매거래만 허용되고 이체, 대체거래는 허용되지 않는다. 12월부터 은행계설 증권계좌가 연결된 본인명의 은행제휴계좌를 제외한 이체, 대체 거래시 반드시 일회용비밀번호(보안카드 포함)를 적용해야 한다. 영업점에 방문해 사전 등록한 본인계좌라도 일회용비밀번호가 의무적으로 사용될 예정이다.

권고안에서는 휴대전화 SMS 및 콜센터 전화 통지 활성화가 포함됐다. 공인인증서 재발급, 고객정보변경, 이체 등 사용자의 주요거래나 중요통지사항을 사후에 실시간으로 알려 금융사고 피해를 최소화하겠다는 방침을 밝히고 있다.

ID나 패쓰워드만 알면 개인전화번호가 쉽게 노출될 수 있다는 점을 감안해 직장, 집, 휴대전화 등 전화번호 끝 4자리는 ‘****’로 처리되도록 했다. 개인 휴대전화번호 번경시에는 보안카드, 기존 전화번호 끝 4자리를 입력해야 한다. 3~5회 오류 입력되면 대면해서 확인하도록 권고하고 있다.



◇ 비밀번호 관리 강화 = 비밀번호 관리 부문도 강화될 것으로 보인다. 현재 일정횟수 이상의 비밀번호 입력오류 때도 업무 제한 및 거래 중지가 통합 관리되지 않고 있다. 또 서류도난, 영업점 직원에 의해 비밀번호가 유출될 수 있다는 점에 대해 핀패드 도입 등도 의무화될 것으로 보인다.

비밀번호 입력 자동설정 기능 적용업무 확대로 중요업무에 대한 비밀번호 입력이 생략되고 있다는 점 등도 고려됐다. 의무안에서는 12월부터 비밀번호 오류횟수 제한 통합관리(5회 이내)가 시행될 것으로 보인다. 비밀번호 입력오류는 서비스 구분없이 통합관리된다. 그러나 중요 비밀번호를 제외한 오류횟수 제한은 7회 이내에서도 가능하도록 명시했다.

2006년 6월까지는 영업점 핀패드 도입이 의무화될 것으로 보인다. 현재 은행 등에서는 핀패드 도입이 확대되고 있으나 증권사에서는 삼성증권 등 일부 증권사에서만 사용되고 있다. 모 증권사 영업점 서류 유출 사건 이후 영업점 보안 관리 강화에 대한 대응책으로 풀이되고 있다.

권고안에서는 비밀번호 자동설정 기능을 제한해 장시간 사용하는 HTS 등 서비스 자동설정 기능은 고객의 선택 사항으로 최소화해 운영하도록 권고하고 있다.

◇ 전자금융 서비스별 접속관리 강화 = 서비스별 접속관리 기능도 강화된다. 전자금융 거래이용을 신청할 때 서비스별 구분 없이 일괄 허용되고 있고 고객이 원하지 않는 서비스가 본인이 알지 못하는 사이에 도용될 가능성이 있다는 점을 감안했다.

2006년 6월부터는 고객이 선택해 서비스별로 구분해 신청서를 접수할 수 있을 것으로 예상된다. 또 올해 12월부터는 전자금융거래 신청후 전자금융 신청, 공인인증서 발급, 보안카드 수령 등 중요 인증에 대한 최초 접속기한을 설정해 기한 내 접속이 없을 경우 자동 취소 처리되도록 시스템이 개편될 것으로 보인다.

이와 함께 서비스 구분 없이 최근 사용한 접속기록을 다음 접속 때 온라인트레이딩 시스템에 표시해 타인에 의한 도용 사실을 고객에게 알리도록 해야 한다. 권고안에서는 전자금융서비스간, 동일서비스간 동시 접속이 제한돼 HTS, WTS, ARS 등 서비스간 동시접속 및 동일서비스간 동시 접속이 제한된다.



◇ 현 증권카드 IC칩 카드 전환 = 증권사 마크네틱카드도 2008년 말까지는 IC칩 카드로 전환될 전망이다. 현재 사용되고 있는 증권카드는 마그네틱에 정보를 수록하고 있어 카드복제 등의 방법으로 현금 인출을 할 수도 있는 위험이 있다. 은행에서는 이미 IC칩 카드 전환이 확대되고 있으며 신용카드도 2008년 전환예정이다.

12월까지 사고등록통합관리 방안도 마련돼 전자금융거래와 연관된 사고등록관리를 강화하고 사고등록시에는 서비스 구분 없이 통합해 업무가 제한되고 거래를 중지하도록 하는 시스템을 마련해야 한다.

사고등록이 되면 영업점에 방문해 본인 확인 후 해제할 수 있도록 했으며 접속비밀번호에 한해서는 일회용비밀번호와 공인인증서 등을 통해 본인 학인 후 온라인상에서 재부여가 가능하도록 명시했다.



◇ 인력 및 예산 확충 필요성 제기 = 현재 금융권에서 해킹, 바이러스, 피싱 등 위협요소가 증가하는 데 반해 상시감시를 할 수 있는 정보보호업무 수행 관리, 통제 인력 등이 부족해 이를 확대하는 방안도 권고안에 포함된다.

해외선진금융기관 사례에 비춰 IT인력대비 약 5% 이상이 정보보호전담인력을 보유해 단계적으로 증원을 권고하고 있다. 정보보호인력 인원확충을 통해 CIO 직속의 독립된 별도 정보보호전담조직을 마련해 총괄적 통제체제를 강화하도록 했다.

IT예산 대비해서도 약 5% 이상의 정보보호 예산을 배정할 수 있도록 권고할 방침이다. 정보보호는 신규시스템, 차세대시스템 구축 등과도 밀접한 관계를 갖고 있으므로 시스템 수요에 맞게 할당하도록 한다. 해외 금융기관은 IT예산 대비 5~10% 정도를 정보보호예산으로 책정하고 있다.

이에 대해 증권사 관계자는 “네트웍 확충이나 DB설계 등도 정보보호가 목적이라면 이에 대한 예산으로 볼 수 있어 이는 자율적으로 운영할 수 있을 것”이라고 예상했다.

신혜권 기자 hkshin@fntimes.com

송주영 기자 jysong@fntimes.com



관리자 기자