금융권 정보분야 최고 임원(CIO), CISO 겸직 못한다
김재현 기자
입력 2013.07.11 10:00
수정 2013.07.11 10:05
입력 2013.07.11 10:00
수정 2013.07.11 10:05
금융위, 금융전산 보안 강화 종합대책 발표
금융전산 위기대응 체계 강화, 금융회사의 전자금융기반시설 보안 강화, 금융회사의 보안조직·인력 역량 강화, 금융 이용자보호 및 감독 강화, 금융회사의 자율적 보안노력 지원 등
지난 3월20일 농협, 신한은행 등 금융전산 사고를 계기로 금융권 전산보안 전반에 걸쳐 실태점검과 TF운영을 통해 들여다본 결과 금융전산 위기대응체계 비효율, 내부통제 미흡 등의 문제점이 드러났다. KBS와 MBC, YTN 등 주요 방송사와 신한은행과 농협 등 일부 금융사들의 전산망이 3월 20일 오후 일제히 마비된 가운데, 여의도 신한은행 KBS 지점에서 직원들이 복구작업을 하고 있다. ⓒ연합뉴스
앞으로 일정규모 이상의 금융회사는 정보분야 담당 최고 임원이 정보보호최고책임자(CISO)를 겸직할 수 없다. 자산 10조원 이상 또는 임직원 1500명이상 금융회사가 대상이며 현재 금융회사 36곳이 이에 해당된다.
CISO는 전임자의 경우 부당한 인사상의 불이익을 금지하고 최소한의 임기가 보장된다.
또한 전산 안전조치 의무 위반시 최대 6개월 이상 업무정지를 부과할 수 있는 세부기준이 마련되고 중대 전산사고가 자주 드러나는 금융회사는 집중 점검 관리된다. CEO의 책임 소재의 근거도 마련된다.
금융위원회는 11일 금융전산 사고 이후 금감원 등 유관기관과 금융회사, 학계, IT업계 등 보안전문가로 구성된 '금융전사 보안 태스크포스(TF)'를 운영, 제기된 문제점을 개선하기 위해 '금융전산 보안 강화 종합 대책'을 발표했다.
최근 여러 금융회사를 타겟으로 사이버공격이 동시 다발적으로 발생하고 있는 추세다.
국내 전자금융거래는 급격히 증가해 전자금융 이용 비중이 올해 3월 기준 87.7%에 달해 금융소비자들의 이용 편의성은 높아졌다. 하지만 그만큼 보안위협도 함께 증가하고 있다.
디도스 공격·해킹 등 사이버 공격을 통해 금융 전산시스템을 마비시키거나 고개정보를 가로채 국민 피해가 늘어났다.
지난 3월20일 농협·신한은행 등 금융전산 사고를 계기로 금융권 전산보안 전반에 걸쳐 실태점검와 TF 운영을 통해 확인한 결과 △금융전산 위기대응체계 비효율 △악성코드 유입경로 통제 미흡 △내부통제 미흡 △정보보호 인력 사기저하 등 문제점이 제기됐다.
이병래 금융위 금융서비스국장은 "이번 종합대책은 금융회사가 자율적인 노력을 통해 전산 사고를 방지토록 제도적, 기술적 보안관리 체계 강화에 중점을 뒀다"고 말했다.
우선 금융전산 보안의 컨트롤 타워 역할을 하는 '금융전산 보안 협의회'가 마련된다.
그간 금융권 사이버위협에 대응했던 금융결제원, 코스콤, 금융보안연구원 등 관련 기관간의 역할의 중복돼 비효율적인 대응과 체계적인 위기대처가 부족했다.
'금융전산 보안 협의회'는 금융위 주관하에 금융권 전산 보안 관련기간이 대거 참여하게 된다.
협의회는 △금융결제원, 코스콤, 금융보안연구원 등 기관간 역할 조정 △금융ISAC 모니터링 대상기관 확대 및 기능 효율화 협의 △금융전산 위기대응능력 강화 및 금융보안 전담 조직체계의 효율화 방안 협의 등의 역할을 맡는다.
금융권 공동으로 제3백업센터인 백업전용센터도 구축된다. 기존의 재해복구센터(제2백업센터) 외에 사이버공격, 지진, 테러 등에 대비해 중요 금융정보를 저장·보관하는 금융권 공동 백업전용센터를 지하벙커 형태로 구축한다.
지난 2011년과 올해 은행권의 전산시스템 파괴로 데이터베이스(DB)가 삭제 돼 중요 금융정보가 영구 손실된 사례가 있다.
현재 전산센터와 재해복구센터가 서울, 경기권 13개은행 등이 동일한 재난지역과 지상 건물에 위치해 있다.
해외의 경우 미국과 이스라엘은 폐광 등을 활용해 정부와 민간에서 벙커형태로 구축하고 있다.제3백업센터는 은행권 공동 TF를 구성해 우선 추진하며 타업권으로 확대할 예정이다.
또한 금융회사는 업무망과 인터네망을 서로 분리토록 하는 망분리 의무화가 추진된다.
전산센터는 오는 2014년말까지 물리적 망분리를 의무화하고 본점, 영업점은 단계적으로 망분리를 추진해야 한다. 단, 총자산, 임직원 수 등 규모별로 단계적으로 추진하되 망분리 방식은 선택 가능하다.
카드사에서 운영 중인 이상거래탐지시스템(FDS)을 은행, 증권 등으로 확대 구축하며 자체 탐지한 이상금융거래 정보는 전 금융권과 공유하도록 체계를 마련한다.
FDS(Fraud Detection System)은 카드승인시 부정사용의심거래를 실시간으로 분석해 탐지하는 시스템을 말한다.
더불어 업무정지 제재기준을 마련하 금융회사의 검사와 감독 기능을 보다 강화한다.
안전조치 의무 위반시에는 금융당국이 최대 6개월 업무정지를 명령할 수 있게 된다.
금융지주사, IT자회사, 금융자회사간 전산관리에 대한 역할·책임을 계약상 명확히 하고 금융자회사 검사 땐 금융지주사와 IT자회사도 연계검사를 실시한다.
그간 전산사고 발생시 CEO의 책임소재가 불분명했던 것을 정보기술부문 계획에 확인·서명토록해 CEO의 책임을 강화한다.
CISO 임기제 도입 및 인사상 불이익 금지, 금융ISAC 연계 의무화 등이 포함된 전자금융거래법 개정은 오는 2014년에 추진할 예정이다.
시행령(침해사고 대응 전담반 운영)과 감독규정(전산센터 망분리)의 개정은 올해말까지 개정을 추진키로 했다.
IT보안업무 관련 가이드라인(망분리 가이드라인)은 올해 하반기 중 마련하며 제3센터 구축과 본점·영업점 망분리는 2013년 이후 추진할 방침이다.
©(주) 데일리안 무단전재 및 재배포 금지
김재현 기자
(s891158@dailian.co.kr)
기사 모아 보기 >
![[통장잔GO] 중동 리스크에 '파킹 수요' 급증…저축은행 고금리 상품 주목](https://cdnimage.dailian.co.kr/news/icon/202602/news_1770994034_1610948_c.png?v=1774649289){kind=icon}
![[지선PICK] 김동연 "경기도, '일잘러' 도지사 필요…'당사남'으로 李정부 성공 뒷받침"](https://cdnimage.dailian.co.kr/news/icon/202603/news_1774603478_1626584_c.jpg?v=1774645500){kind=icon}
![중국으로 날아간 이재용, AI 중요성 외친 최태원·구광모 [재계-in]](https://cdnimage.dailian.co.kr/news/icon/202603/news_1774589616_1626444_c.jpeg?v=1774648800){kind=icon}
![[금주 신작·업뎃] 300만의 기대작 '쿠키런: 오븐스매시' 출시…'컴프야2026' KBO 개막 업데이트](https://cdnimage.dailian.co.kr/news/icon/202603/news_1774645593_1626629_c.jpg?v=1774646131){kind=icon}