법제도/정책
[6.23 금융보안 강화 대책] 망분리 적극 유도… 금융권, IT전략 대폭 수정 불가피
디지털데일리
발행일 2011-06-23 17:33:39
망분리 및 IT아웃소싱 절차 강화, 금융ISAC 적용대상 확대
[디지털데일리 이상일기자] 금융권의 망분리 적용 로드맵과 IT아웃소싱 전략이 대대적으로 수정될 전망이다.
또 시중은행과 증권사를 대상 사이버테러 방지 역할을 수행하던 금융ISAC 운영이 비은행, 비증권사를 대상으로 확대된다.
금융당국이 23일 발표한 ‘금융회사 IT 보안강화 종합대책’을 통해 금융권의 IT시스템 운영 및 보안대책의 대대적인 수정이 불가피할 것으로 보인다.
우선 금융권의 IT 보안 기술 인프라 및 내부통제 개선이 본격화될 전망이다.
◆망분리 단계적으로 유도 = 금융당국은 우선 금융사의 해킹 피해 최소화를 위한 시스템 개선을 유도할 계획이다. 현재 일부 금융회사는 보안이 취약한 위험구간(DMZ)과 내부망(DB) 구간을 분리하지 않은 채 전산망을 구성․운영하고 있다.…
또 외부공개용 웹서버에 고객비밀번호를 암호화 하지 않은 채 저장하는 등 허술하게 관리해오고 있다는 지적을 받아왔다.
이에 따라 금융당국은 내부망 구간에만 DB를 설치․운영토록 하고, 고객비밀번호 암호화 등 고객정보 관리 강화를 추진키로 했다. 또한 인터넷망과 업무망의 분리를 단계적으로 유도하고, 무선망 사용에 대한 보안조치 및 점검 등을 강화하기로 했다.
한편 금융사 시스템운영실에서는 전용단말기 사용만을 허용하는 등 시스템 접속통제를 강화하고, 운영실 내 무선망 접속을 차단해 정보의 외부 유출을 차단하기로 했다.
농협 전산사고로 불거졌던 허술한 계정관리시스템 운영에 대한 관리감독도 강화된다.
사용자식별이 가능하도록 접근권한을 부여하는 등 작업통제를 강화하고, 비밀번호 변경 등 보안수칙 준수 여부의 자체점검 강화를 유도한다는 계획이다. 또 직무에 따른 업무프로세스 기반의 계층적 내부통제 실시를 유도하고, 자체 추적감사(Audit Trail)도 도입하게 된다.
한편 민간보안전문업체를 활용해 매년(외부공개용 웹서버는 반기) 취약점을 자체 점검토록 하고, 이행계획 등을 금융위원회와 금융감독원의 합동 점검반이 불시 점검을 추진키로 했다.
◆IT아웃소싱 관리감독 강화 = 금융권에서 확산되고 있는 IT 아웃소싱의 관리 개선도 추진된다. 현재 대부분의 금융회사가 IT업무 전반에 대해 외주를 실시함에도 전담통제인력이 부족하고, 반출입 관리 등 위탁업체 관리가 미흡한 상황이다.
이에 따라 금융당국은 금융사의 IT보안전담조직에서 아웃소싱업체 보안관리를 철저히 수행토록 하고, 상주인원 신원조회 등 인력관리 강화방안을 수립할 수 있도록 유도할 계획이다.
이를 위해 우선, 외주 사업자를 ‘전자금융보조업자’에 포함시켜 외주사업자가 고의 또는 과실로 사고를 냈을 때 해당 금융회사의 책임으로 간주하기로 하는 등 안전성 확보의무를 계약서에 반영키로 했다.
또 금융사의 IT시스템을 외부에 위탁할 경우 이에 대한 의사결정 시 CISO를 참여시키고, 위탁업무의 적정성 등에 대한 업무분석과 자체 보안성 검토 실시를 의무화했다.
◆금융ISAC 참가 대상 확대 = 한편 금융권의 사이버테러 대응 실시간 경보체계도 강화된다.
현재 은행․증권사들이 금융ISAC(Information Sharing & Analysis Center)을 중심으로 사이버테러에 대응하고 있지만 중소 금융회사의 경우 자체적인 사이버테러 대응능력이 취약한 상황이다.
이에 따라 금융ISAC 참가 대상을 비은행 및 비증권 등 중소금융회사로 확대키로 했다. 또한 해킹 유형 및 사고 정보에 대한 실시간 공유 등을 위해 ‘금융회사 IT보안 지식공유센터’ 운영을 추진한다.
또한 사이버테러 대응훈련도 강화된다.
일부 금융회사의 경우 재해복구센터 전환 훈련을 형식적으로 실시하는 경우가 있고, 재해복구센터 운영 수준도 미흡한 상황으로 현행 금융분야 사이버테러 대응훈련을 실제 복구 중심의 실질적 재해복구훈련으로 강화키로 한 것.
금융당국은 이번 종합보안대책 마련으로 금융회사 최고경영자의 IT 보안에 대한 책임 강화와 관심도 제고를 통해 금융권 IT 보안수준의 전반적인 향상을 도모한다는 계획이다.
또 고도화되는 해킹 등에 따라 불가피하게 전산사고가 발생하는 경우에도 신속한 위기대응을 통해 피해 확산을 조기 차단할 수 있을 것으로 기대하고 있다.
<이상일 기자>2401@ddaily.co.kr
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지