금융권 공동 백업전용센터, 금융전산 보안 협의회 설치, 금융전산 망분리 의무화 등
[이지경제 최고야 기자] 금융당국이 금융권 전산 보안을 위한 방침으로 금융권 공동 백업전용센터(제3백업센터)를 구축하기로 했다. 금융위원회의 컨트롤타워 역할을 강화하기 위한 '금융전산 보안 협의회'도 설치한다.
11일 금융위원회는 이러한 내용을 골자로 한 금융전산 보안 강화 종합대책을 발표했다.
금융위원회 이병래 금융서비스국장은 "지난 3월 20일 농협, 신한은행 등 금융전산 사고를 계기로 금융권 전산보안 전반에 대한 실태점검과 TF 운영을 통해 종합적인 개선대책을 마련했다"며 "금번 종합대책은 금융회사가 자율적인 노력을 통해 전산 사고를 방지할 수 있도록 제도·기술적 보안관리 체계 강화에 중점을 뒀다"고 밝혔다.
관계부처 합동으로 마련된 이번 금융전산 보안 강화 종합대책은 최근 여러 금융회사에 사이버공격이 동시 다발적이고 반복적으로 발생한 것과 관련 국가차원의 사이버테러 대응체계 강화와 금융분야의 금융보안 대응체계 강화를 위해서다.
국내 전자금융거래 시장은 전자금융 이용 비중이 2013년 3월 기준으로 87.7%에 이를 정도로 급격히 증가해 왔다.
한국은행에 따르면 인터넷뱅킹 가입자수는 8,940만명(중복합산), 모바일뱅킹 고객수는 4,000만명(중복합산)이며, 거래금액은 일평균 33조804억원이다.
하지만 그만큼 보안위협도 함께 증가하면서 최근 일어난 사이버테러에 대한 적극적인 대응과 함께 금융보안 강화의 필요성이 대두돼 왔다.
이에 따라 이번에 정부가 발표한 금융전산 보완 강화대책은 크게 ▲금융전산 위기대응 체계 강화 ▲금융회사의 전자금융기반시설 보안 강화 ▲금융회사의 보안조직·인력 역량 강화 ▲금융 이용자 보호 및 감독 강화 ▲금융회사의 자율적 보안노력 지원 다섯 가지로 마련됐다.
◆ 금융전산 보안 협의회·제3백업센터 설립
우선, 금융전산 위기대응 체계 강화를 위해 금융위가 주관하고 금융권 전산 보안 관련기관이 참여하는 금융전산 보안 협의회가 설립된다.
금융전산 보안 협의회는 ▲금융결제원, 코스콤, 금융보안연구원 등 기관간 역할 조정·정립 ▲금융 정보공유분석센터(ISAC) 모니터링 대상기관 확대 및 기능 효율화 협의 ▲금융전산 위기대응능력 강화 및 금융보안 전담 조직체계의 효율화 방안 협의 등을 맡게 된다.
기존 재해복구센터(제2백업센터) 외에 사이버공격, 지진, 테러 등에 대비해 중요 금융정보를 저장·보관하는 금융권 공동 백업전용센터를 지하 벙커 형태로 구축할 방침이다.
미국과 이스라엘 등 해외의 경우 폐광을 활용해 정부·민간에서 벙커 형태로 백업전용센터를 구축하고 있다.
사이버테러 등 위기대응능력 강화를 위해 침해사고분석 전담조직을 금융ISAC 내에 설치하고, APT공격 등에 대응한 훈련 시나리오를 보완하며, 단말기 긴급 복구체계를 마련한다.
APT(Advanced Persistent Threat) 공격은 특정 목적을 정해두고 해킹기법을 이용해 장기간 지속적으로 공격함으로써 정보유출·시스템 파괴 등을 일으키는 공격을 말한다.
전자금융거래를 제공하는 금융회사는 금융ISAC 모니터링 대상에 편입을 의무화해 전 금융권 실시간 모니터링 체계를 구축한다.
◆ 금융전산 망분리 의무화 및 가이드라인 배포, 36개 금융회사 CIO, CISO 겸직 금지
금융회사의 전자금융기반시설 보안 강화를 위해서는 금융전산 망분리를 의무화하고 가이드라인을 배포한다.
전산센터는 오는 2014년말까지 물리적 망분리를 의무화하고 본점?영업점은 단계적으로 망분리를 추진키로 했다.
이에 따라 금융회사들은 통신망을 물리적으로 업무용과 인터넷용으로 분리해 PC 2대를 사용하는 물리적 망분리와 PC 1대를 소프트웨어적으로 분리해 업무용과 인터넷용으로 구분해 사용하는 논리적 망분리 중 선택해 망분리를 해야 한다.
이 외에도 금융보안 관리체계 인증제도를 도입하고, 모든 전산시스템 접근시 추가 인증을 하는 등 금융전산시설 내부통제를 강화하기로 했다.
금융회사의 보안조직·인력 역량 강화를 위해 자산 10조원 이상이면서 임직원 1,500명 이상인 금융회사 36개사는 최고정보관리책임자(CIO)가 정보보호최고책임자(CISO)를 겸직할 수 없게 된다.
◆ 카드사의 '이상거래탐지시스템', 은행·증권 등으로 확대 구축
또한 금융 이용자 보호 및 감독 강화를 위해 카드사에서 운영 중인 이상거래탐지시스템(FDS)을 전자금융거래를 취급하는 은행·증권 등으로 확대 구축하고, 자체 탐지한 이상금융거래 정보를 전 금융권과 공유하는 체계를 구축키로 했다.
이상거래탐지시스템은 카드승인시 부정사용의심거래를 실시간으로 분석해 탐지하는 시스템이다.
이 외에도 ▲불법사이트 접속 차단 ▲보안사고 예방법 설명화면 노출 등 이용자 교육 강화 ▲업무정지 제재기준 마련 등 검사·감독 강화 ▲보안가이드 제공 등의 방안을 마련키로 했다.
이에 따라 금융위는 앞으로 ▲망분리 가이드라인, 금융IT 보안수준 진단 가이드라인 등 관련 규정은 올 하반기 중에 ▲침해사고 대응 전담반 운영, 전산센터 망분리, 시스템 접근통제 강화 등은 2013년말까지 ▲CISO 전임제 및 인사상 불이익 금지, 금융ISAC 연계 의무화 등 전자금융거래법 개정사항은 오는 2014년에 ▲제3센터 구축, 본점·영업점 망분리는 오는 2014년 이후에 각각 추진할 방침이다.
최고야 cky@ezyeconomy.com
<저작권자 © 이지경제 무단전재 및 재배포 금지>
