금융 당국 "2012년은 보안 분야 집중 감독"

[김관용기자] 2011년 한 해 동안 고객정보 유출 사고와 전산장애 사고가 이어짐에 따라 오는 2012년 국내 금융 당국의 IT 분야 감독 방향은 보안 분야가 주를 이룰 전망이다.

금융감독원 정기영 수석조사역은 22일 서울플라자호텔에서 열린 '2012년 전망, 금융IT 이노베이션 콘퍼런스'에서 "올해 계속된 보안사고로 인해 관련법들이 보안분야를 중심으로 개정됐다"며 "전자금융거래에선 보안에 취약한 부분이 굉장히 많아 이 분야에 대한 관리·감독을 강화할 수밖에 없다"고 강조했다.

올해에는 지난 3월 정부와 금융기관 등 주요 시설에 대한 분산서비스거부공격(DDoS)이 있었으며, 현대캐피탈 홈페이지 시스템 고객정보 유출 사태, 농협 주 전산시스템 장애, 삼성카드와 하나SK카드 고객정보 유출 사태가 이어졌다.

이에 따라 금융당국은 전자금융거래법, 전자금융거래법 시행령, 전자금융감독규정, 금융회사 정보기술 부문 모범 규준 등을 개정했으며, 향후 금융IT 분야에 대한 관리·감독을 강화한다는 방침다.

◆IT보안 투자 및 조직역량 강화

관련 법규에 따르면 IT보안에 대한 금융사 CEO의 역할과 책임이 확대된다. CEO가 직접 연간 IT 계획을 승인 서명토록 해 CEO의 책임을 강화한 것이다.

IT보안 인력과 보안 투자도 전자금융감독규정 개정에 따라 확대된다. IT보안 예산은 전체 IT 예산 대비 7% 이상을 확보하고, IT인력은 총 임직원 수의 5% 이상, IT보안 인력은 IT인력의 5% 이상을 확보해야 한다. 미 이행시 이에 대한 사유와 이용자보호에 미치는 영향을 회사 홈페이지에 공지하도록 의무화 했다.

특히 금융회사 정보보호 최고책임자(CISO)의 지정도 내년 5월15일부터 의무화 된다. 총자산 2조원 이상이면서 종업원수가 300명 이상인 금융회사는 CISO를 반드시 두도록 했으며, CISO의 업무범위와 자격요건도 규정했다.

CISO는 ▲전자금융거래의 안정성 확보 및 이용자 보호를 위한 전략 수립 ▲IT부문의 보호 및 관리 ▲IT부문의 보안에 필요한 인력관리 및 예산 편성 ▲전자금융거래의 사고 예방 및 조치 등을 담당한다. CISO의 자격요건으로는 유관 학사학위 소지자 중 2년 이상의 정보보호 경력 또는 3년 이상 IT경력을 보유하거나, 무관학위 소지자는 4년 이상의 정보보호 경력 또는 5년 이상 IT경력을 보유해야 한다.

◆IT보안 인프라 및 내부통제 개선

해킹 피해 최소화를 위해 시스템도 개선해야 한다. 현재는 보안이 취약한 위험구간(DMZ)과 내부망(BD) 구간을 분리하지 않은 채 전산망을 구성해 운영했지만, 앞으로는 고객정보의 경우 안전한 내부망 구간에만 데이터베이스를 설치·운영해야 하며, 고객비밀번호 암호화 등 고객정보 관리도 강화해야 한다.

아직 법제화는 되지 않았지만, 금융감독원은 향후 망 분리 등의 접속 경로 통제를 강화한다는 계획이다. 인터넷 망과 업무 망을 분리하지 않아 악성코드 유포 사이트에 대한 접속 통제가 이뤄지지 않았지만, 망 분리를 단계적으로 유도하고 무선망 사용에 대한 보안 조치와 점검 등을 강화하겠다는 방침이다.

또한 시스템 운영 실에서는 전용단말기 사용만을 허용하는 등 시스템 접속통제를 강화하고 시스템 운영실 내에선 무선망 접속을 차단해야 한다. 노트북이나 USB 등 휴대용 저장매체에 대한 보안통제를 강화하기 위한 조치다.

시스템 계정관리 부분에서도, 사용자 식별이 가능하도록 접근권한 부여 등의 작업통제 강화 방안을 마련해야 하고, 비밀번호 변경 등의 보안 수칙 준수 여부를 점검하도록 했다.

현재 정보시스템에 대한 취약점 점검을 실시하지 않거나 형식적인 선에서만 하는 관행을 없애기 위해 민간보안 전문업체를 활용, 매년 취약점을 자체 점검토록 하고 이행 계획 점검도 실시하도록 했다.

◆IT업무 감독 검사 강화 및 제도개선

금융회사의 IT보안사고에 대한 제재 수준도 높아진다. 중대한 전산사고가 발생할 경우 경영진 등의 책임을 명확히 함은 물론, 여신전문금융사, 금융협회 등도 IT부문 실태평가 대상에 포함시켜, IT부문 실태평가를 경영실태 평가에 의무적으로 반영하도록 했다.

침해행위 처벌과 보고체계 강화 규정도 명확히 한다. 현재 전자금융거래법은 금융회사의 안전성 조치에 대한 부분을 중심으로 규정돼 있어, 해커 등의 침해자 처벌 근거가 없었다. 그러나 전자금융거래법에 침해행위 금지의무와 처벌조항을 신설하고, 사고보고 범위와 절차 등도 마련토록 했다.

특히 해킹 사고 시에는 책임소재가 불분명해 고객 피해에 대한 보상이 제한적이었지만, 금융감독원은 현재 해킹 사고 시에도 금융사의 손해배상 책임을 명확히 하는 법 개정을 추진하고 있다.

정기영 수석조사역은 "이밖에 외주 업체 및 외주 인력 관리와 외부 위탁 업무의 적정성 관리를 강화하고, 사이버테러 대응 실시간 경보 체계와 대응훈련 등에 대한 부분을 감독할 것"이라며 "장기적으로는 신기술 기반 전자금융거래의 안전성 확보 대책을 마련할 것"이라고 말했다.

한편, 금융감독원에 따르면 현재 은행 및 증권 부분에서 전자금융거래 비중은 각각 79.3%, 71.6%를 차지하고 있으며, 스마트폰 뱅킹 사용자는 올해 3분기 기준 812만명에 달하는 것으로 나타났다. 또한 금융회사의 CISO 임명 비율은 54%머물고 있으며, 특히 보험회사나 상호저축은행의 임명율이 낮은 것으로 조사됐다.