한국대부금융협회, 외부 전문기관 통한 주요 60개사 ‘보안 취약점 점검’ 실시 [대부업 돋보기]

[한국금융신문 전하경 기자] 한국대부금융협회가 주요 60개사 외부 전문기관에 의뢰해 주요 60개사 보안 취약점 점검을 실시하기로 했다. 최근 일부 대형업체에서 발생한 해킹 사고와 관련해 사후 관리를 강화하고 재발하지 않도록 예방 조치를 강화한다는 방침이다.

29일 대부업계에 따르면, 대부금융협회는 주요 대부업체 60개사와 함께 외부 보안업체를 통해, 전산망 취약점에 대한 정밀 점검을 추진하고 있다. 기존 보안 환경 점검과 실질적인 재발 방지책을 마련하기 위함이다.

선제적 현장 점검 ·보안 체계 고도화 추진

대부금융협회와 60개사 주요 대부업체는 실제 업무 환경의 허점을 파악하고 즉각적인 개선책을 도출하기 위해 이번 점검을 실시하게 됐다.
최근 발생한 보안 사고는 망분리가 미비한 업무용 PC를 통해 직원이 인터넷 사이트에 접속하는 과정에서 악성코드에 감염된 것으로 파악됐다.

금융권 보안이 중요해지고 있는 만큼 대부업계도 선제적인 소비자 보호와 정보보안체계를 강화한다는 방침이다. 앞서 일부 GA에서 보안사고가 발생한 뒤, 대형GA 중심으로 금융보안원 시스템에서 실시간 보안 점검을 받고 있다.

이번 선제적 현장점검으로 대부금융협회도 '대부금융업 맞춤형 정보보안 표준 모델'을 구축한다는 계획이다.

대부금융협회 관계자는 "이번 조치는 악의적인 해킹 범죄로부터 고객의 소중한 정보를 지키기 위한 업권 차원의 강력한 의지”라며 "점검 결과를 토대로 대부금융업 맞춤형 정보보안 표준 모델을 마련해 업계 전체의 보안 역량을 한 단계 끌어올리겠다”라고 밝혔다.

회원사에 4대 필수 보안 수칙 전달

대부금융협회는 보안 사고 재발 방지를 위해 전 회원사를 대상으로 고객정보 보호를 위한 4대 핵심 보안 수칙을 전달했다.
4대 핵심 보안수칙은 ▲외부 접점의 원천 차단 ▲내부 시스템 접근 권한의 '제로 트러스트(Zero Trust) ▲24시간 침입 차단 및 탐지 체계 가동 ▲‘데이터 보안을 위한 암호화 조치' 강화다.

협회는 업무용 PC의 외부 접촉을 봉쇄해야한다고 주문했다. 카카오톡 등 외부 메신저와 비업무용 사이트 접속을 '물리적 망분리'에 준하는 수준으로 엄격히 통제해, 지능형 지속 위협(APT)의 통로를 사전에 제거한다는 방침이다.

내부 업무 시스템과 고객 데이터베이스(DB) 접근 권한을 직무 수행에 필요한 최소 범위로 한정해 기존 권한 부여 체계를 원점에서 재검토해, 내부 직원에 의한 정보 유출이나 권한 남용의 소지를 차단해야 한다고 강조했다.

방화벽을 포함한 보안 솔루션의 가동 상태를 실시간 모니터링하고, 고도화된 침입탐지시스템(IDS)을 통해 외부의 미세한 공격 징후도 즉각 포착·대응하는 철벽 방어선 구축도 주문했다.

신용정보법이 요구하는 기술적·관리적 요건을 엄격히 준수함은 물론, 고객의 민감한 개인신용정보를 최고 수준으로 암호화해야한다.

만에 하나 발생할 수 있는 데이터 유출 상황에서도 정보의 실질적 탈취를 불가능하게 만드는 '이중 잠금' 장치를 마련할 계획이다.

전하경 한국금융신문 기자 ceciplus7@fntimes.com