2024-03-29 07:25 (금)
내년 금융기관, IT보안 예산과 보안인력 규모는 이정도
상태바
내년 금융기관, IT보안 예산과 보안인력 규모는 이정도
  • 이근상
  • 승인 2011.09.05 20:21
이 기사를 공유합니다

IT보안 예산, 전체 IT예산 대비 7% 이상 확보
IT보안 인력, IT 인력의 5% 이상 확보해야
사이버 범죄자들의 목표는 돈이다. 따라서 가장 민감한 보안이슈를 떠 안고 있는 조직은 바로 금융기관이다. 금융기관들의 보안 이슈는 무엇이고 그 대책은 어떤 것들이 있을까.(사진출처. www.flickr.com / by ruttr)
 
전자금융사고는 지속적으로 발생하고 있다. 전자금융사고의 주 원인은 해킹 등에 의한 개인정보 유출사고였으며 2005년 전자금융 안전성 강화 종합대책 마련에 따라 사고가 일시적으로 감소했지만 2007년 23건, 2008년 10건, 2009년 24건, 2010년 16건이 발생했다. 한편 현재까지 스마트폰과 관련된 해킹 및 금융사고는 발생하지 않고 있다.
 
최근 금융IT보안 관련 이슈는 좀비PC를 활용한 DDoS 공격, 금융기관 주전산시스템 및 공개용 웹서버에 대한 해킹공격, 다양한 방법의 피싱 공격이 주를 이루고 있다.
 
또 전자금융서비스 채널 다양화로 전자금융 사고 위험도 증가하고 있다. 모바일 뱅킹, IPTV, 음성패킷망(VoIP) 기반의 전자금융서비스의 사고위험이 증가하고, 스마트폰, 무선랜 사용 등 신규채널의 취약점에 따른 주요 정보 유출 가능성도 증가하고 있다.
 
증권사의 소액결제업무 활성화와 모바일 전자금융결제 등으로 공격대상이 확대됐고 전자금융거래 참여자 증가로 금융사고 발생시 원인 파악이 어렵고 마그네틱 카드복제 사고도 지속적으로 발생하고 있다.
 
그간 개인정보 유출 및 전산시스템 장애 사고 현황을 보면, 2008년 7월에 8개 저축은행 홈페이지가 해킹당해 300만건의 개인정보와 대출정보가 유출됐고 2009년 7.7 디도스 공격으로 7개 금융회사 등이 피해를 입었고 같은해 10월 K증권 매매주문시스템에 장애가 55분간 발생했으며 3,000명의 민원과 5억원의 재산피해가 발생했다. 2010년 12월 C은행 전산시스템 중단사고가 발생했다. 원인은 냉각기 동파에 의한 통신시설 침수였고 DR센터 대응이 미흡했던 것으로 밝혀졌다. 2011년 3월에는 3.4 디도스 공격이 있었다.
 
2011년 4월에는 현대캐피탈 고객정보 유출사건이 발생했고 사이버 공격에 의해 농협 주 전산망시스템 장애가 발생해 금융IT보안 강화 종합대책이 마련됐다.
 
최한묵 금융감독원 IT감독국장은 “IT보안 투자 및 조직역량 강화와 IT보안 기술 인프라 개선 및 내부통제 개선, IT업무 감독검사 강화 및 제도개선, IT 아웃소싱 관리 개선, IT 사고대응 및 재해복구 체계 강화 등이 필요하다”고 강조했다. 금융IT보안 강화 대책을 살펴보면 다음과 같다.
 
◇IT보안 투자 및 조직역량 강화=IT보안에 대한 CEO 등의 저조한 관심도가 보안사고 발생의 원인으로 작용했다. 이에 CEO가 연간 IT보안계획을 직접 승인하고 이행여부를 확인토록 하고 임원평가와도 연계했다. 또 금융회사 정보보호 최고책임자인 CISO지정을 의무화했다. 상시종업원 300명 이상, 자산 3,000억원 이상 금융회사는 CISO 지정을 의무화하고 CISO 업무범위 및 가격요건 등을 명시했다.
 
또 IT인력, IT보안인력 및 IT예산 비율을 일정수준이상으로 유지토록 의무화하고 그 준수여부를 경영실태에 반영토록해 실질적 투자와 인력확충으로 연결되도록 조치했다.
 
◇IT보안 기술 인프라 개선 및 내부통제 개선=보안이 취약한 위험구간과 내부망 구간을 분리하지 않은 채 전산망을 구성한 것을 고객정보는 안전한 내부망 구간에만 DB를 설치, 운영토록 하고 고객비밀번호 암호화 등 고객정보 관리를 강화했다. 또 인터넷망과 업무망을 분리하지 않고 악성코드 유포사이트에 대한 접속통제가 미흡했던 부분을 인터넷망과 업무망 분리를 단계적으로 유도하고 무선망 사용에 대한 보안조치 및 점검 등을 강화했다.
 
또 시스템 운영실에서는 전용단말기 사용만을 허용하는 등 시스템 접속통제를 강화하고 시스템 운영실내 무선망 접속을 차단했고 사용자식별이 가능하도록 접근권한 부여 등 작업통제 강화 및 비밀번호 변경 등 보안수칙 준수여부 자체 점검을 강화했다.
 
한편 민간보안 전문업체를 활용해 매년 취약점을 자체 점검토록하고 이행계획 등을 점검한다. 외부 공개용 웹서버는 반기에 한번 실시한다.
 
◇IT업무 감독검사 강화 및 제도개선=금융회사 IT보안사고에 대한 제재수준을 강화하기 위해 중대한 전산사고가 발생할 경우 경영진 등의 책임을 명확히 함으로써 기술적 보안조치의 실효성을 확보했고 IT부문 실태평가를 확대하기 위해 여신전문금융회사, 금융관련협회 등을 IT부문 실태 평가 대상에 포함시켰다.
 
또 침해행위 처벌 및 보고체계 강화를 위해 사고예방효과 극대화를 위해 전자금융거래법에 침해행위 금지의무와 처벌조항 신설, 사고보고 범위, 절차 등에 관해 명확하게 규정했고, 해킹 사고 시에도 금융회사의 손해배상 책임에 대한 법 개정을 추진했다.
 
◇IT아웃소싱 관리 개선=IT보안전담 조직에서 아웃소싱 업체 보안관리를 철저히 수행토록 하고 상주인원 신원조회 등 인력관리 강화방안 수립도 유도하고 있다. 또 외부 위탁 의사결정시 CISO를 참여시키고 위탁업무의 적정성 등에 대한 업무분석과 자체 보안성 검토실시를 의무화했다.
 
◇IT사고 대응 및 재해복구 체계 강화=고도화된 사이버테러에 대응하기 위해 금융ISAC 참가대상을 중소금융회사로 확대를 추진하고 해킹 유형 및 사고정보에 대한 실시간 공유 등을 위해 금융회사 IT보안 지식공유센터 운영을 추진하고 있다.
한편 현행 금융분야 사이버테러 대응훈련을 실제 복구 중심의 실질적 재해복구 훈련으로 강화하고 있다.
 
◇전자금융감독규정 개정안 주요 내용=금융회사 IT보안 예산과 정보보호 인력 확대를 위해 2012년부터 IT보안 예산은 전체 IT예산 대비 7% 이상 확보해야 하고 IT인력은 총 임직원 수의 5% 이상, 보안인력은 IT인력의 5% 이상 확보토록 했다.
 
자산 2조원이상 여신전문금융회사 및 저축은행, 금융협회, 종합신용정보집중기관 등으로 확대돼 기존 120개사에서 146개사로 IT실태평가 대상기관이 확대됐다.
 
또 아웃소싱 감독강화를 위해 잔자금융보조업자 범위를 확대해 보조업자와 계약한 사업자도 전자금융보조업자로 간주하고 금융회사 등은 전자금융보조업자의 재무건정성, 서비스 품질 등을 연1회 이상 평가해야 한다. [데일리시큐=길민권 기자]
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★