금융위원회는 7월 11일 ‘전자금융 안정성 제고를 위한 금융전산 보안 강화 종합대책’을 발표했다. 금융위는 “금융전산 보안을 강화해 금융 이용자를 보호하고 전자금융거래의 안정성 및 신뢰성 제고를 위해 이번 종합대책을 발표하게 됐다”고 밝혔다.
 
이번 대책을 마련하게 된 이유에 대해 금융위 관계자는 “전자금융 이용 비중이 올해 3월 기준 87.7%에 달하고 있으며 하루 거래액이 33조 804억 규모다. 반면 이용자 편의성은 높아졌지만 그만큼 보안위협도 증가했다”며 “악성코드 감염이나 디도스 공격 및 해킹공격으로 금융 전산시스템을 마비시키거나 고객 정보를 탈취해 피해를 초래하는 사건들이 계속 발생해 왔기 때문에 이를 예방하기 위한 조치가 필요했다”고 설명했다.
 
또한 “최근 사이버공격은 여러 금융회사에 동시 다발적, 반복적으로 이루어지고 있어 근본적인 보안강화 조치가 필요한 상황”이라며 “특히 지난 3.20 농협, 신한 금융전산 사고를 계기로 금융전산 보안 전반에 대한 점검 및 대책 마련 필요성이 제기돼 종합적 개선책을 내놓게 됐다”고 배경을 설명했다.
 
이번에 발표된 금융전산 보안 강화 종합대책 주요 내용을 살펴보면 다음과 같다.
추진 목표는 금융전산 보안을 강화해 금융 이용자를 보호하고 전자금융거래의 안전성 및 신뢰성을 제고하자는 취지다.
 
대응체계로는 금융권 보안전담조직 체계화, 금융권 백업전용센터(제3백업센터)를 구축하고 금융전산 위기대응 능력을 강화하는 것이다.
 
또 금융회사의 전자금융기관시설 보안강화도 포함돼 있다. 이를 위해 금융전산 망분리 의무화 및 가이드라인 배포, 금융전산 내부통제 강화를 위해 CEO 책임하에 취약점 점검 및 보안조치 이행을 철저히 해야 하고 비금융 전산시스템까지 취약점 점검과 보안관제를 확대한다는 계획이다. 도 전산시스템 접근통제를 강화하고 내부 업무용 시스템의 인터넷 접속 차단, 보안규정 위반시 내부 제재근거를 마련하겠다는 것.
 
더불어 금융보안 관리체계 인증제도 도입을 추진해 금융권 정보보안 및 전자금융거래 업무 특성을 반영한 금융보안 관리체계 인증제도를 도입하겠다고 한다. 금융사의 총자산, 종업원수, 전자금융거래 이용 고객 수 등을 종합 고려해 결정할 것으로 보인다. 현재 총자산 10조원 이상이며 종업원수 1,500명 이상 금융사는 국내 36개사에 달한다.
 
한편 이번 종합대책에는 금융회사의 보안조직과 인력 역량 강화도 포함돼 있다. 우선 CISO 역할 및 독립성을 강화하겠다고 선언했다. 즉 그동안 문제로 지적돼 왔던 CIO-CISO 겸직을 금지한다는 것.
 
금융위 관계자는 “CIO가 CISO를 겸직함에 따라 CISO의 독립적 보안 활동을 저해하고 업무상 경계가 모호해 전산사고 발생시 책임이 불분명했으며 그에 따른 전자금융거래의 안전성이 약화된 것이 사실”이라며 “금융회사 CISO는 사고 발생시 책임은 큰데 반해 업무수행 권한은 상대적으로 약해 CISO 업무에 대한 고충이 제기돼 왔다. 이에 총자산 10조 및 종업원수 1,500명 이상 금융사는 CISO와 CIO 겸직이 금지되며 전임 CISO를 지정해야 한다”고 밝혔다.
 
이외에도 전산보안인력 사기진작을 위해 CEO 책임하에 사기진작 방안을 마련해야 한다. 즉 전자금융사고 발생시 책임이 강화돼 보안담당자 고충이 가중되고 직무 만족도가 저하된 만큼 책임과 의무를 다한 정보보안 담당 직원에 대해 금융당국은 제재 또는 자체 제재시 면책 근거를 마련해야 한다는 것이다.
 
더불어 금융보안 전문 교육과정도 확대될 전망이다. 금융사 전자금융관경의 특수성 및 전문성을 고려해 금융보안 전문인력 양성에 필요한 교육 체계를 마련하겠다고 밝혔다. 이는 금융보안연구원에서 맡을 예정이다.
 
또한 금융 이용자 보호 강화를 위해 카드사 위주로 운영되는 이상금융거래 탐지시스템을 전자금융거래를 취급하는 은행, 증권 등으로 확대 및 자체 탐지한 이상금융거래 정보의 공유체계를 구축한다는 계획도 가지고 있다.
 
이외에도 금융지주회사 및 IT자회사에 대한 감독도 강화될 전망이다. 지주사, IT자회사, 금융회사 간의 전산관리에 대한 역할과 책임을 명확하게 하도록 감독을 강화한다는 내용이다.
 
또 전산사고가 빈번하게 발생한 금융회사에 대한 집중 점검과 관리가 있을 예정이며 금융사의 안전조치 의무 위반에 따른 사고 발생시 업무정지(최대 6개월) 제재부과를 위한 세부기준도 마련하겠다고 한다.
 
한편 금융사의 자율적 보안노력 지원을 위해 IT 신기술 접목 전자금융거래 보안가이드를 제공하고 중소형 금융사 보안 지원체계도 마련할 계획이다.
 
금융위는 이번 종합대책 이행을 위해 2014년 중 법 개정을 추진해 금융권 보안관제기구 설치 근거 마련 및 금융회사 연계 의무화, CISO 전임제 및 인사상 불이익 금지, CISO 정책협의회 근거 마련, 금융보안 관리체계 인증 제도화 등을 이행하겠다고 밝혔다.
 
또 2013년 말까지 시행령 개정을 통해 CISO 자격 요건 완화, 침해사고 대응 전담반 운영, 감독규정 개정을 통해 전산센터 망분리 의무화, 전산시스템 접근통제 강화 등을 추진할 예정이며 올해 하반기 망분리 가이드라인, 취약점 점검 항목 가이드라인, 모바일 서비스 보안 가이드라인, 금융IT 보안수준 진단 가이드라인 등을 마련할 계획이다. 또 2014년 이후 단계별 추진 사항은 은행 공동 백업전용센터(제3센터) 구축 및 본점?영업점의 망분리 구축 등을 잡고 있다.
 
이번 종합대책 관련 문서는 데일리시큐 자료실에서 다운로드 할 수 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com