실시간
뉴스

법제도/정책

금융권 재택근무 '인프라 보안' 구체화, 가이드라인 살펴보니

-개인PC 사용 가능하지만 철저한 보안솔루션 설치 필요 등
[디지털데일리 이상일기자] 금융감독원이 금융사의 재택근무 허용을 위해 내부 업무망과 동등한 보안수준으로 재택근무 인프라를 구축·운영할 수 있도록 하는 단계별 보안사항을 구체화했다.

앞서 금융당국은 코로나19로 인해 금융권의 재택근무 및 분산근무가 활성화되는 상황에 맞춰 지난 9월 전자금융감독규정 개정을 통해 금융사 임직원의 상시 원격접속을 허용하기로 했다.

금융감독원은 개정안을 통해 임직원의 원격접속을 망분리 예외사유로 명시함으로써 금융권 상시 재택근무를 허용하는 한편 원격 접속시 지켜야 하는 정보보호 통제사항을 제시해 재택근무로 인해 예상되는 취약점을 사전 예방하는데 주안점을 뒀다.

이에 따라 금융감독원은 지난 9월부터 약 20일간의 사전예고를 통해 은행연합회 등 15개 기관에서 제출한 의견을 수렴, 반영해 최근 ‘전자금융감독규정시행세칙 개정(안)’을 11월 발표했다. 이 세칙은 2021년 1월 1일부터 시행될 계획이다.
당초 금융권에선 구체적인 망분리 완화와 관련한 개정안과 더불어 대략적인 가이드라인이 나온 후 관련 사업을 전개할 계획이었다. 이와 관련 지난 6일 금융감독원 IT핀테크전략국 디지털금융감독팀은 ‘전자금융감독규정시행세칙 개정안 관련 Q&A’를 통해 금융권 재택근무를 위한 망분리 정책에 대한 문답형식의 일종의 가이드라인을 제시했다.
보안통제 사항을 기술 중립적으로 명시했다
보안통제 사항을 기술 중립적으로 명시했다

이번 ‘전자금융감독규정시행세칙 개정안 관련 Q&A’에 따르면 금융사가 재택근무를 위해 업무용 PC에 대한 보안수칙을 적절하게 적용해야 할 것으로 보인다. 금융감독원은 큰 틀에서 재택근무를 위한 외부 접속을 허용하되 금융사가 보안대책을 마련할 것을 주문했다.

우선 원칙적으로 외주 직원도 재택근무가 가능하지만 시스템 개발자들의 경우 여전히 재택근무가 불가능하다고 판단했다. 전산실 내 정보처리시스템을 직접 접속해 개발하는 경우 원격접속이 허용되지 않는다. 또, 외주업체의 전산장비 유지보수의 경우 원격접속은 원칙적으로 불가능하며 장애 등 비상상황에서만 가능하도록 했다.

다만 IT직원이 개발 보안 운영 업무가 아닌 이메일, 그룹웨어 등의 업무 시스템 사용을 목적으로 원격접속하는 것은 가능하다는 해석을 내놨다.

한편 외부단말기는 가상사설망을 통해 내부망의 노드로 직접 연결되는 방식으로 회사가 보안프로그램을 설치, 보안항목을 설정해 직접 지급해야 하며 인터넷을 항상 차단해야 한다.

금융감독원은 금융회사가 직접 접속, 간접 접속 등으로 원격접속의 방식을 열어놨는데 따로 권고하는 방식이 있느냐는 질문에 대해서는 금융사가 자율적으로 선택하되 망분리 대체 정보보호 통제를 준수해야 한다고 밝혔다.

특히 금융사가 재택근무용을 별도의 PC를 지급할 필요가 있는지에 대한 질문에 대해 개인PC도 이용할 수 있지만 개인 PC에도 백신 프로그램 설치 및 검사, 운영체제 버전, 로그인 비밀번호, 화면 보호기 설정 등의 보호대책을 적용해야 한다고 밝혔다.

이는 결국 개인PC에 보안 솔루션을 적용해야 한다는 것을 의미하는데 금융감독원 측은 “백신 설치·업데이트 및 안전한 운영체제 이용은 일반 인터넷 뱅킹 이용자에도 적용되는 사항으로 원격접속 하는 임직원 개인PC에서도 충분히 적용 가능하다고 판단된다”고 밝혔다.

개인PC에서도 원격접속 등이 가능할 것으로 보이지만 관리의 문제와 개인PC에서의 통제 등이 쉽지 않다는 점을 감안하면 대형 시중은행 중심으로는 개인 PC지급이 적극 검토될 것으로 전망된다.

한편 금융사 내부의 업무용 단말기를 외부에서 사용할 때 반출한 단말기는 인터넷 연결을 항상 차단하고 재택근무 후 회사로 재반입 시 내부망 연결 전 악성코드 진단 및 치료를 실시해야 한다.

또, 원격 접속 시 외부 단말기에서 업무상 외부망에 연결해야 하는 경우에는 외부단말기에서 회사 내부 업무망에 접속 후 같은 내부망을 경유해 인터넷에 접속(외부 단말기에서 직접 인터넷 접속 금지)함으로써 외부단말기에 회사의 기존 인터넷 보안 통제사항(유해 사이트 차단, 악성코드 방지대책 등) 등이 적용되도록 하도록 했다.

<이상일 기자>2401@ddaily.co.kr
디지털데일리 네이버 메인추가
x