[디지털데일리 이상일기자] 금융보안원이 금융권 재택근무를 위한 보안안내서를 발간했다. 원칙적으로 금융당국은 개인PC에서의 외부 접속을 제한적으로 가능토록 했지만 현실적으로 사실상 개인PC를 사용할 가능성이 없는 것으로 파악된다.
개인PC에 보안 솔루션 등을 설치한다 하더라도 윈도7 등 구형 운영체제와 USB 메모리 사용을 허용하지 않는 것을 의무로 규정한 만큼 개인 PC에 대해 일일히 금융사가 관리하기 쉽지 않다. 결국 외부에서 접속을 위한 PC에 대해 금융사가 일괄 구매해 직원에게 지급하는 방식이 현재로선 유일한 방법으로 보인다.
금융보안원(원장 김영기)은 내년 1월 1일부터 개정 시행 예정인 ‘전자금융감독규정 시행세칙’에 따라 금융권이 컴플라이언스를 준수하면서 안전하게 재택근무 환경을 구축할 수 있도록, 금융위·금감원 및 금융회사 등의 의견수렴을 거쳐 재택근무 시 준수해야 할 정보보호 통제사항 등을 알기 쉽게 설명한 ‘금융회사 재택근무 보안 안내서’를 발간했다.
안내서는 재택근무 시 보안 고려사항을 ▲외부(재택) 단말기 보안관리 ▲통신회선 ▲내부망 접근통제 ▲인증 등으로 구분하고 이를 ‘의무 사항’과 ‘권고 사항’으로 나누어서 제시했다.
우선 재택근무자가 사용하는 외부 단말기는 백신 프로그램 설치, 윈도7 등 기술지원이 종료된 운영체제 사용 등을 금지하며, 외부 단말기로 PC가 아닌 모바일 기기 사용 시 운영체제 탈옥 여부를 사전 검사하는 등 추가적인 보안대책 적용을 권고했다.
또한, 외부 단말기가 내부망에 ‘직접 접속’ 하는 경우 USB 등 외부 저장장치 사용 금지, 단말기 분실에 대비한 하드디스크 암호화 등 보호조치를 적용해 업무 자료 유출위협에 대비토록 했다.
외부 단말기의 내부망 접속 시에는 전용회선과 동등한 보안수준을 갖춘 가상사설망(VPN)을 사용토록 하고 누구나 접속 가능한 개방형 통신회선 사용을 제한했다.
이에 대해 금보원 관계자는 "현실적으로 개인PC를 금융권 재택근무 활용애 적용하기란 쉽지 않을 것"이라고 밝혔다. 금융보안 세칙이나 보안관리 여부 등을 고려하면 개인PC를 외부에서 사용하는 것 자체가 쉽지 않을 것이란 의견이다.
한편 금융회사 내부망에 접속 가능한 IP주소 등은 최소한으로 제한하고 비인가자의 접속을 방지하기 위해 이중인증(Multi-Factor Authentication)을 적용토록 했으며 재택근무 환경 구축 단계를 ①시작 → ②설계 → ③구현 → ④운영 및 유지 보수 → ⑤폐기의 5단계로 정의하고 각 단계별 보안 고려사항도 제시했다.
금융보안원은 "금융권이 안내서를 참조해 재택근무 시 필요한 보안통제 대책을 마련함으로써 안전한 재택근무 환경을 제공할 수 있을 것으로 기대한다"고 밝혔다.