2013년 12월 3일 금융위원회는 7월 11일 발표된 '금융전산 보안강화 종합대책'의 필요사항을 규정하고자 '전자금융감독규정'을 개정하였다. 이 때 금융전산 보안과 관련하여 개정된 주요 내용은, 전자금융기반시설 보호, 보안조직·인력 역량, 금융회사의 자율적 보안노력 지원, 금융전산부문 감독 및 검사로 이루어져 있다.

구체적으로 살펴보면,

①직전 사업연도 말을 기준으로 총 자산이 2조원 이상이고 상시 종업원 수가 300명 이상인 금융회사 또는 전자금융업자의 경우, 임원으로 정보보호최고책임자(CISO)를 지정해야 하고(제6조 참조),

②정보보호최고책임자는 임직원이 정보보안 관련법규가 준수되고 있는지 정기적으로 점검하고 그 점검결과를 최고경영자에게 보고하여야 하며, 최고경영자는 임직원이 정보보안 관련법규를 위반할 경우 그 제재에 관한 세부기준 및 절차를 마련하여 운영하여야 한다(제8조).

③금융회사 또는 전자금융업자는 중요 정보보호에 관한 사항을 심의·의결하는 정보보호위원회를 설치 운영하여야 하고, 정보보호위원회의 장은 정보보고책임자로 하며, 최고경영자는 특별한 사정이 없는 한 정보보호위원회의 심의·의결사항을 준수하여야 한다 (제8조의2).

④정보처리시스템의 접근통제를 강화하여 정보처리시스템의 운영체제(Operating System) 계정으로 로그인(Log in)할 경우 계정 및 비밀번호 이외에 별도의 추가인증 절차를 의무적으로 시행하여야 하며, 정보처리시스템 운영체제(Operating System)계정에 대한 사용권한, 접근 기록, 작업 내역 등에 대한 상시 모니터링체계를 수립하고, 이상 징후 발생 시 필요한 통제 조치를 즉시 시행하여야 한다(제14조).

⑤금융전산 망분리 제도를 도입하여 내부통신망과 연결된 내부 업무용시스템은 인터넷(무선통신망 포함)등 외부통신망과 분리·차단 및 접속 금지하여야 하고, 전산실 내에 위치한 정보처리시스템과 해당 정보처리시스템의 운영, 개발, 보안 목적으로 직접 접속하는 단말기에 대해서는 인터넷 등 외부통신망으로부터 물리적으로 분리하여야 한다(제15조).

⑥정보보호최고책임자는 임직원의 정보보호역량 강화를 위하여 필요한 교육프로그램을 개발하고, 매년 교육계획을 수립·시행하여야 하며(제19조의2)

⑦전자금융기반시설의 취약점 분석·평가는 총자산이 2조원 이상이고 상시 종업원 수 300명 이상인 금융회사 또는 전자금융업자 등은 연 1회 이상(홈페이지에 대해서는 6개월에 1회 이상) 실시하여야 한다(제37조의2)

⑧침해사고 대응기관은 금융결제원, 코스콤 등으로 정하고 동 기관의 업무범위를 정보수집 및 전파를 위한 정보공유체계의 구축 등으로 정하였다(제37조의4).

위 7월 11일 발표된 '금융전산 보안강화 종합대책' 및 이에 따라 개정된 '전자금융감독규정'은 3·20 사태 등 금융전산망에 대한 외부 침입에 대한 대책을 주로 하고 있다. 한편 2014년 1월 발생한 카드회사 신용정보 유출 사건은 전통적으로 보안사고가 발생했던 시중 은행이 아니라 다른 형태의 금융회사인 카드회사였고, 외부적 해킹이 아닌 내부의 위탁직원에 의하여 발생했으며, 피해의 직접적인 대상은 전산망 자체가 아니라 개인신용정보였다는 점에서, 금년 3월 10일 발표된 '금융분야 개인정보 유출 재발방지 종합대책'은 기존의 대책보다 그 적용 범위를 대폭 넓혔으며, 더불어 조직개편을 통하여 전체 금융회사에 통합적이고 선진적인 보안시스템이 적용되게 하였다.

실제로 3월 10일 발표된 '금융분야 개인정보 유출 재발방지 종합대책'중 보안에 관한 부분은 내부통제 강화, 외주업체 통제 강화, 암호화 의무 등 전산시스템 해킹 방지 대책 강화, 금융회사 보안 이행실태 정ㅁ검 강화 등의 내용을 주로 하고 있다. 이러한 종합대책은 기 발표된 '전자금융감독규정'의 일부 내용의 변화를 가져올 것으로 보인다.

구체적으로 살펴보면,

①금융전산 보안관제 범위가 종래의 은행·증권에서 보험·카드까지, 금융거래 시스템 외에도 교육·홍보용 홈페이지 등까지 확대된다.

②2015년을 목표로 새로이 통합적인 금융전산 보안전담기구를 설치하고 기존의 금융결제원 및 코스콤에 분산되어 있는 침해대응 및 보안관제(ISAC) 기능을 금융결제원 및 코스콤으로부터 분리하여 여기에 통합시키는 방식으로 조직이 개편된다(제37조의4 참조).

③금융전산 보안전담기구는 통합적이고 기본적인 금융전산 보안관제를 실시할 뿐만 아니라 금융감독원으로부터 현재의 인증방법평가 기능을 분리·이전받아 운영하며(제37조 참조), 새롭게 도입되는 금융전산 보안관리 수준 평가의 '금융전산 보안인증제'를 운영하게 된다. 더불어

④현재 금융회사 및 전자금융업자는 전자금융 및 보안과 관련된 중대한 사고가 발생한 경우에는 지체없이 금융위원회 및 금융감독원장에게 보고하여야 하나, 앞으로는 금융보안 전담기구 등에 보고하는 것으로 보고기관이 일원화될 예정이며,

⑤앞으로 금감원의 보안성 심의 대상이 확대되고(제35조 참조), 심의 대상이 아닌 경우 자체 보안성 심의결과를 제출해야 하고,

⑥금융회사 모바일 어플리케이션도 보안 취약점 점검 대상에 포함되게 된다(제37조의2 참조). 그 밖에

⑦금융회사별 '보안점검의 날'을 지정하여 CISO책임하에 매월 보안점검을 실시하고, CEO에게 점검결과 및 보완계획을 보고하여야 하며, 금감원은 금융회사의 점검결과를 제출받아 검사에 활용하고, 보안점검 미이행시 엄중 제재하게 된다. 또한

⑧외주 개발업무는 장소적으로 분리하고, 개발시스템은 운영시스템과 분리하는 물리적 통제를 명확화하는 등, 외주용역 통제 규정의 준수를 담보하기 위한 시스템을 구축하여야 한다.

이번 3월 10일 금융위원회 대책 중 보안 부분의 가장 큰 특징은 전체 금융회사로의 보안관제 범위 확대와 일원화된 전문조직인 금융전산 보안전담기구의 신설이라 할 수 있고 이러한 방향으로 '전자금융감독규정'도 개정될 예정이다. 조직이 신설된다고 하여 갑자기 보안이 선진화되는 것은 아닐 것이지만, 충분한 투자와 전문성을 기반으로 한다면 이번 대책이 암울한 금융보안 분야의 밝은 이정표가 될 수 있으리라 본다.

[출처]

-금융위원회, 전자금융 안전성 제고를 위한 금융전산 보안 강화 종합대책, 2013. 7. 11.

-금융위원회 등, 금융분야 개인정보 유출 재발장지 종합대책, 2014. 3. 10.

* 법무법인 민후 김경환 대표변호사 작성, 블로그(2014. 7. 23.) 기고.