2024-04-16 03:40 (화)
[FPIS 2013] 금감원 “금융사 개인정보보호 가이드라인 마련할 것!”
상태바
[FPIS 2013] 금감원 “금융사 개인정보보호 가이드라인 마련할 것!”
  • 길민권
  • 승인 2013.05.14 23:19
이 기사를 공유합니다

금융기관 400여명 참석, 22개사 보안기업 참여 성황리 종료!
하나은행 “사고시, 신속한 정보공유 체계 구축되길 희망”
데일리시큐와 머니투데이가 공동주최한 <FPIS 2013 금융보안&개인정보보호 페어>가 5월 14일 양재동 엘타워 그레이스홀에서 400여 명의 금융기관 관계자가 참석하고 22개 보안기업이 참석한 가운데 성황리에 개최됐다.

 
이날 ‘2013년도 금융IT 감독 방향’이란 주제로 오프닝 연설을 한 김영린 금융감독원 부원장보는 “전자금융이 발전하면서 그에 따른 금융IT 리스크가 크게 증가하고 있다”며 “특히 개인정보보호 대책을 강화하는 차원에서 올해 개인정보보호 가이드라인과 금융사들의 개인정보 실무처리 기준을 마련해 지속적으로 개인정보보호 강화에 앞장서 나가겠다”고 밝혔다.
 
더불어 그는 “전자금융사고가 계속 발생하는 시점에서 사이버테러에 대한 선제적 대응책 마련을 준비하고 있다”며 “지난 3.20 사건과 같은 사고가 재발되지 않도록 보안취약점 제거 및 재발방지대책 마련 등을 골자로 한 IT보안대책을 6월중 마련해 전자금융 안정성을 높여나갈 수 있도록 할 계획”이라고 전했다.
 
이어 하나은행 윤종옥 IT보안팀 팀장은 ‘차세대 금융보안시스템 구축사례 발표’에서 “하나은행은 3.20 사태에 직접적인 공격을 받지는 않았지만 많은 것을 느끼게 해준 시간이었다. APT공격은 방화벽이나 백신 등 전통적인 보안장비로는 탐지 및 차단이 힘들다. 여기에 제로데이와 사회공학적 기법이 가미되며 탐지는 더욱 어려워지고 있다”며 “내부PC에 악성코드 감염여부를 신속하게 분석하는 것이 가장 중요해 졌다. 하지만 APT공격을 사전에 파악하기란 단일 금융사 혼자만으로는 힘들다. 수사기관, 감독당국, 보안업체 등 정보력이 뛰어난 기관들의 도움이 절실하다. 사고 이후라도 신속한 정보공유체계가 이루어져 금융기관에 빠르게 정보가 전달될 수 있는 체계가 만들어지길 희망한다”고 강조했다.
 
한편 윤 팀장은 “하나은행은 전자금융과 내부통제 영역으로 구분해 중점적으로 보안관리를 하고 있다. 특히 업무시스템에 접근통제를 강화하기 위해 모든 업무시스템 접근을 통제하고 있으며 모바일 OTP로 추가인증을 하고 있다”고 밝히고 더불어 “PC에 알려지지 않은 악성코드를 탐지하기 위해 2011년부터 네트워크 레벨의 악성코드 탐지시스템을 운영하고 있다. 또한 수많은 로그를 분석하기 위해 빅데이터를 이용한 통합로그분석 시스템을 운영해 빠른 시간 안에 문제가 발생한 로그를 분석해 사고에 대응하고 있다. 그리고 스마트폰 보안위협 대응을 위해 앱위변조 방지를 위한 앱 무결성 검증 및 앱개발시 시큐어 코딩 등을 실시하고 있다”고 설명했다.
 
김정열 방통위 개인정보보호윤리과장은 ‘개인정보보호 정책 방향’이란 주제로 “창조경제의 핵심자산으로서 개인정보 활용 범위 및 필요성이 급증하고 있으며 창조경제 활성화를 위해서는 개인정보보호와 효과적 활용이 필요하다”고 밝히면서도 “기업의 개인정보 대량 누출 등 침해사고 방지를 위해 보호조치 의무위반 사업자에 대한 처벌 규정 및 조사 체계를 강화할 방침이다. 또 개인정보 누출사고 발생시 신속한 초기 대응체계 구축과 누출기업 장기 집중 관리제도도 도입할 예정”이라고 전했다.
 
또 김 과장은 “일 평균 방문자수 1만명 이상 웹사이트 대상 주민번호 수집여부를 집중 점검할 것이며 안드로이드, IOS 앱 중심으로 정통망법, 위치정보법 준수 여부 점검, 개인정보 제3자 제공, 취급위탁 관련 개인정보 다량 관리업체, 쇼핑몰 판매업체, 택배사 대상 자율 점검 실시 및 주요 사업자 위주로 조사를 할 예정”이라고 덧붙였다.
 
마지막 기조연설에는 김대환 소만사 대표의 ‘컴플라이언스와 개인정보보호 2.0’이란 주제로 발표가 이어졌다.  
 
김대환 대표는 “개인정보 전사적 통제 체제 즉 거버넌스 획득을 위해 개인정보 보유 현황 분석, 개인정보 조회/취득 통제, 개인정보 전송/유출 3단계에 대한 통제 및 감사가 필요하다”고 밝히고 “선한관리자 의무 준수를 위해서는 유출 사고 재발방지, 컴플라이언스 준수, 동종업계 평균이상 보호조치를 하고 있는지, 그리고 사고에 대한 선제적 대응 및 사후 분석을 위해 개인정보 통합관제 및 빅데이터 처리 체계가 필요하다”고 강조했다.
 
오후발표는 A, B 두 개 트랙으로 진행됐다. A트랙에서는 컴트루테크놀로지 컨설팅팀의 ‘금융보안을 위한 통합 DLP와 망분리 트랜드’, 넷맨 마정우 전략기획부장의 ‘네트워크 접근제어를 통한 금융사 정보보호 강화 전략’, NSHC 윤선희 부장의 ‘금융 APP 위변조 방지를 위한 현실적인 난독화 대안 솔루션 소개’, 안랩 윤상인 차장의 ‘다차원 분석을 통한 APT 대응방안’, 에스이웍스 홍동철 CTO의 ‘스마트 기기 해킹 위협과 금융 정보보호 방안’, 핵티즌 구대훈 대표의 ‘금융사 보안컨설팅 방향’ 등의 발표가 이어졌다.
 
B트랙에서는 포티넷코리아 구자만 수석컨설턴트의 ‘진화하는 APT 위협 대응을 위한 정보보호 전략’, 웨어밸리 이재영 이사의 ‘개인정보보호를 위한 DB보안 전략 수립과 성공구축 사례’, 팔로알토네트웍스 김영표 차장의 ‘신종 악성코드 차단을 위한 차별화된 차세대 네트워크 보안’, 효성인포메이션시스템 전욱진 부장의 ‘개인정보보호를 위한 ECM 베이스의 문서중앙화와 HIS 보안 솔루션 소개’, 블루코트코리아 김한기 부장의 ‘협력 및 계층방어를 통한 악성코드 사전 차단&APT공격 방어’, SK인포섹 장석우 수석컨설턴트의 ‘사고를 혁신하라’ 등의 발표가 있었다.
 
FPIS 2013에는 총 22개 기업이 참여했으며 16개 부스전시도 이루어졌다. 이번에 참여기업은 넷맨, 닉스테크, 블루코트코리아, 세이프넷, 유니포인트, 소만사, 안랩, 에스이웍스, SK인포섹, NSHC, LG CNS, 웨어밸리, 윈스테크넷, 유퀘스트, 팔로알토, 지란지교소프트, 지란지교S&C, 컴트루테크놀로지, 파수닷컴, 포티넷코리아, 핵티즌, 효성인포메이션시스템 등이다.
 
또한 이번 컨퍼런스는 미래창조과학부, 방송통신위원회, 금융감독원, 금융보안연구원, KISA, KISIA, 개인정보보호협회, 한국데이터베이스진흥원 등이 후원했다.
 
FPIS 2013 발표자료는 데일리시큐 자료실에서 다운로드 할 수 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★