20일 금융감독원은 전자금융감독규정 시행세칙을 개정해 이같은 망분리 예외기준을 마련했다. 망분리 적용범위의 불명확성을 개선하기 위한 조치로 21일부터 시행된다.
이번 제도개선은 업무상 대외기관과 연결이 불가피하거나 업무 연속성을 위한 비상시 업무처리 등의 망분리 예외기준을 명확히 해 업무투명성을 확보하기 위한 것이다.
우선 금융회사가 정보처리 업무를 국외소재 전산센터에 위탁한 경우 물리적 방식 이외의 망분리 방식도 허용했다.
물리적으로 망분리 적용대상 서버라도 업무상 필요한 경우에는 제한적으로 외부망과 연결이 가능하다.
전자금융거래 처리를 위해 행정정보시스템이나 공인인증서 발급기관, 금융협회, 금융결제원, 코스콤, 금보원 등 특정 외부기관과 데이터송수신을 위해 연결이 허용됐다. 공개망(DMZ) 내 정보처리시스템과 실시간 데이터 송수신이 가능하고 그룹사, 지주사 등과 인트라넷·이메일시스템·회계시스템 등 업무용시스템을 공용 사용할 수 있게 됐다.
업무연속성을 위해 비상시 제한적으로 외부망에서 내부망으로 원격접속도 가능하다.
본점과 영업점에서는 내부망에 연결된 단말기에서 제한적으로 행정정보시스템, 공인인증서 발급기관, 금융협회, 금융결제원, 코스콤, 금융보안원 등 외부기관으로 접속할 수 있다.
망분리 예외대상에 대해서는 금융회사 자체적으로 위험평가 실시 후 정보보호통제를 수립하고 정보보호 위원회의 승인을 거쳐 적용하도록 했다.
김의석 기자 eskim@fntimes.com