최근 사이버공격이 동시다발적으로 발생하고 있고 지난 3월 농협과 신한은행 등 금융전산 사고를 계기로 금융전산 보안 전반과 관련해 점검과 대책 마련에 대한 필요성이 대두되는 상황에서 금융전산 보안이 강화됩니다.
우선 전자금융 기반시설 보호를 위해 금융전산 망분리가 의무화되고 전산보안 담당 임원인 CSIO의 역할과 독립성이 강화됩니다.
대응체계로는 금융권의 보안전담조직이 체계화되고 금융권 백업전용센터인 제3백업센터가 구축되는 한편 금융사 사칭 불법 사이트 접속차단과 이상금융거래 탐지시스템 구축되 확대됩니다.
금융위원회는 11일 이 같은 내용을 담은 `금융전산 보안 강화 종합대책`을 발표하고 이를통해 금융전산 보안 강화와 금융 이용자 보호, 전자금융거래의 안전성과 신뢰성 제고에 나선다고 밝혔습니다.
현재 국내 전자금융거래는 급격히 증가해 전자금융 이용 비중이 2013년 3월 기준으로 87.7%에 달하고 있습니다.
인터넷뱅킹 가입자수는 8,940만명, 모바일뱅킹 고객수는 4천만명 수준으로, 거래금액은 일평균 33조 804억원에 이릅니다.
그러나, 비대면 방식의 전자금융거래 이용수단의 발달로 금융소비자들의 이용 편의성은 높아졌지만, 보안위협도 함께 증가해 금융전산 보안을 강화하게 됐다고 금융위는 설명했습니다.
우선 금융전산 강화를 위해 컨트롤타워의 역할이 강화됩니다.
현재 금융권 사이버위협에 대응한 금융결제원·코스콤·금융보안연구원 등 금융보안 관련 기관간 역할이 중복되고 있어 금융위의 컨트롤타워 역할을 확대합니다.
이를 위해 금융위 주관하에 금융권 전산 보안 관련기관이 참여하는 `금융전산 보안 협의회`를 설치하게 됩니다.
이와함께 금융권 공동 백업전용센터 즉 제3의 백업센터도 구축됩니다.
중요 정보가 영구 손실될 우려가 있는 기존 재해복구센터 외에 사이버공격, 지진, 테러 등에 대비해 중요 금융정보를 저장·보관하는 금융권 공동 백업전용센터를 지하 벙커 형태로 구축한다는 방침입니다.
이를 위해 은행권 공동 TF를 구성해 은행권 우선 추진하고 타 업권으로 확대할 계획입니다.
특정 목적으로 정해두고 해킹 기업을 이용해 장기간 지속적으로 공격함으로써 정보유출과 시스템 파괴 등을 일으키는 형태인 APT 공격 등에 대응한 훈련 시나리오를 보완하는 한편 침해사고 분석 전담조직을 금융ISAC내에 설치합니다.
또한 이번 종합대책에서는 금융회사 전자금융 기반시설 보안도 강화됩니다.
이를 위해 우선 금융사의 업무망과 인터넷망 등 금융전산 망분리를 의무화하고 가이드라인이 배포됩니다.
전산센터는 2014년말까지 물리적 망분리를 의무화하고 본점과 영업점은 단계적으로 망분리를 추진하게 됩니다.
금융보안 관리체계 인증제도도 도입됩니다.
금융권 정보보안과 전자금융거래 업무 특성을 반영한 금융보안 관리체계 인증제도를 도입하는 것으로 총자산, 임직원수, 전자금융거래 이용고객 수 등을 고려해 일정규모 이상의 금융회사에는 의무화할 방침입니다.
금융사 보안조직과 인력의 역량도 강화되는 가운데 정보보호최고책임자인 CISO의 역할과 독립성 강화되는 것이 특징입니다.
현재 CIO가 CISO를 겸직함에 따라 업무상 경계가 모호하고, 이해상충시 보안보다 효율성이 우선돼 보안이 약화될 우려를 사전에 방지하겠다는 취지입니다.
끝으로 금융이용자 보호 등을 위해서는 이상금융거래 탐지시스템이 구축되고 불법사이트 접속 차단과 이용자 교육이 확대됩니다.
최근 금융사 사칭 파밍사이트가 지속 발생하고 있지만 대부분이 국외에 위치해 개별 금융사의 대응이 곤란한 점을 감안해 국내 금융회사를 사칭하는 해외 불법사이트로 접속되는 것을 발견 시 블랙리스트에 등록해 국내 사용자의 접속을 사전에 즉시 차단한다는 계획입니다.
이와함께 금융보안 전문기관 등을 통해 중·소형 금융회사에 대한 취약점 점검·보안수준 진단 등을 지원하고, 자체 보안진단이 가능하도록 `금융IT 보안수준 진단` 가이드라인 배포하는 등 자율적인 보안 노력도 촉구할 예정입니다.
금융위는 CSIO 임기제 도입과 금융ISAC 연계 의무화 등 전자금융거래법 개정을 2014년도에 추진하고 CSIO 전임제와 자격요건 완화, 전산센터 망분리, 시스템 접근 통제 강화 등 시행령과 감독규정을 올해말까지 개정을 추진합니다.
또한 망분리 가이드라인과 금융IT보안수준 진단 가이드라인 등 IT보안업무 관련 가이드라인을 올해 하반기중 마련한다는 방침입니다.
제3센터 구축과 본점·영업점 망분리는 2014년 이후 추진할 계획입니다.
뉴스