금융당국, 금융전산 보안강화 종합대책 발표

[이혜경기자] 금융 보안 사고 발생시 컨트롤타워 역할을 맡는 금융전산 보안 협의회가 신설된다. 또 금융권 공동 백업전용센터도 만들어진다. 전 금융권의 보안 상황을 실시간 모니터링하고, 보안 관련 정보를 금융권 전체가 공유할 수 있는 체계도 마련된다.

11일 금융위원회와 금융감독원은 이 같은 내용을 담은 금융전산 보안 강화 종합 대책을 발표했다.

지난 3월 농협과 신한은행 등의 금융전산 사고를 계기로 관련 보안 사고대응에 문제점이 지적된 바 있다. 이번 대책은 이에 따른 실태 점검과 TF 운영 등을 거쳐 마련한 것이다.

◆금융전산 보안협 신설…사고발생시 컨트롤타워 강화

우선 금융당국은 금융전산 위기대응 체계를 강화할 방침이다.

이를 위해 금융위 주관하에 금융권 전산 보안 관련기관이 참여하는 금융전산 보안 협의회를 설치하기로 했다. 금융결제원, 코스콤, 금융보안연구원 등 금융보안 관련기관의 역할 중복으로 인한 비효율을 개선하기 위한 것이다.

또한 금융권 공동 백업전용센터도 구축한다. 기존 재해복구센터(제2백업센터) 외에 사이버공격, 지진, 테러 등에 대비해 중요 금융정보를 저장․보관하는 곳으로, 지하 벙커 형태로 구축한다는 계획이다. 은행권에서 우선 추진한 뒤 다른 업권으로 확대한다.

금융ISAC(정보공유분석센터)에 침해사고 분석 전담조직도 설치한다. 위기대응 능력 강화를 위한 것이다. APT(특정 목적을 정한 상태로 해킹 등을 통해 장기간 지속 공격해 정보유출, 시스템 파괴 등을 일으키는 공격) 공격 등에 대응한 훈련시나리오 보완, 단말기 긴급 복구체계도 갖춘다.

전 금융권의 보안 상황에 대한 실시간 모니터링도 강화한다. 이를 위해 전자금융거래를 제공하는 모든 금융회사는 금융ISAC 모니터링 대상 편입이 의무화된다. 지금까지는 은행, 증권사만 주로 모니터링해 제2금융권의 중소형사들은 사각지대에 있었다.

보안 관련 정보를 금융권 전체가 공유하는 체계도 구축한다. 개별 금융회사가 수집한 악성코드 정보, 취약점 정보 등을 금융권이 공유해 유사 침해사례를 예방하자는 것이다.

◆금융 전산망, 용도별로 분리 운영 추진

금융 전산망을 용도에 따라 분리 운영하는 방안도 나왔다. 오는 2014년말까지 금융 전산망을 업무용과 인터넷용으로 나누고, 본점과 영업점의 망은 단계적으로 분리를 추진한다. 금융보안 관리체계 인증제 도입, 금융전산시설 내부통제 강화 등도 시행한다.

보안조직과 인력의 역량도 키우기로 했다. 정보보호최고책임자(CISO)의 역할 강화 차원에서 일정규모 이상 금융회사는 CISO를 CIO(정보책임자)와 분리해 전임제로 운영토록 방침을 정했다.

금융보안 전문인력도 양성한다. 금융보안연구원에 금융보안교육센터를 운영하면서 전문가 과정을 확대하고, 정보보호 석사과정을 개설한 대학원과 금융회사간 협력체계 구축도 유도한다.

금융 이용자에 대한 보호와 감독에도 신경 쓰기로 했다. 카드사에서 운영중인 이상거래탐지시스템(FDS)을 은행, 증권 등으로 확대 구축하고, 자체 탐지한 이상금융거래 정보는 전 금융권이 공유하는 체계를 구축한다는 설명이다. 금융회사 사칭 불법 사이트 접속도 차단할 예정이다.

이외에도 안전조치 의무 위반시 업무정지(최대 6개월) 부과를 위한 세부기준도 마련하고, 중대 전산사고가 빈발하는 금융회사는 집중점검 및 관리에 들어간다.

이뿐만 아니라, 금융지주사, IT자회사, 금융자회사간 전산관리에 대한 역할·책임을 계약상 명확히 하고, 금융자회사 검사시 금융지주사와 IT자회사도 연계검사를 실시하기로 했다.

전산사고 발생시 CEO가 책임질 수 있게끔 CEO가 정보기술부문 계획 확인과 서명을 하도록 하고, 정보유출 등 전산사고시 해당 금융회사 홈페이지에 공시하는 방안도 검토하고 있다.

◆추진 일정은?

금융당국은 CISO 전임제 및 인사상 불이익 금지, 금융ISAC 연계 의무화 등을 담은 전자금융거래법 개정을 내년중에 추진할 계획이다. 침해사고 대응 전담반 운영 등 시행령과 전산센터 망분리, 시스템 접근통제 강화 등 감독규정 개정은 올 연말까지 개정할 생각이다.

또 망분리 가이드라인, 금융IT 보안수준 진단 가이드라인 등 IT보안업무 관련 가이드라인은 올 하반기 중에 마련하고, 제3센터 구축, 본점․영업점 망분리는 2014년 이후 추진한다.