- 금융당국, 금융전산 보안 강화 종합대책 발표

[디지털데일리 이상일기자] 금융권 공동 벙커형 백업전용센터 구축(제3백업센터)이 추진된다. 또 금융사들의 전산센터에 물리적 망분리가 의무화된다.

금융위원회 등 금융당국은 10일 이같은 내용을 담은  ‘금융전산 보안 강화 종합대책’을 발표했다.

금융당국은 ▲금융전산 보안 컨트롤타워 역할 강화 ▲금융권 공동 백업전용센터 구축 ▲금융전산 망분리 의무화 ▲정보보호최고책임자(CISO)의 역할 및 독립성 강화  ▲이상금융거래 탐지시스템 구축 확대 등 금융전산 보안 강화를 위한 종합대책을 내놓았다.

◆금융보안 컨트롤 타워 설치 및 제3백업 센터 구축=우선 금융결제원·코스콤·금융보안연구원 등 금융보안 관련 기관간 역할이 중복되는 문제를 해결하기 위해 금융위 주관하에 금융권 전산 보안 관련기관이 참여하는 ‘금융전산 보안 협의회’를 설치해 컨트롤 타워 역할을 맡긴다.

또 금융사들의 전산 및 재해복구센터가 동일 재난지역 및 지상건물에 위치해 물리적 보안 위험이 높다는 점을 감안해 사이버공격, 지진, 테러 등에 대비해 중요 금융정보를 저장·보관하는 금융권 공동 백업전용센터를 지하 벙커형태로 구축키로 했다.

금융위원회는 은행권 공동 TF를 구성해 우선 은행권을 우선으로 추진하고 타 업권으로 확대한다는 계획이다.

한편 전자금융거래를 제공하는 금융회사는 금융ISAC 모니터링 대상에 편입을 의무화해 전 금융권 실시간 모니터링 체계 구축을 추진한다. 

◆전산센터 물리적 망분리 의무화=금융회사의 전자금융기반시설 보안 강화를 위해 금융전산 망분리 의무화 및 가이드라인 배포를 진행키로 했다.

전산센터는 2014년말까지 물리적 망분리를 의무화하고 본점·영업점은 단계적으로 망분리를 추진한다. 총자산, 임직원 수 등 규모별로 단계적으로 추진하되 망분리 방식은 선택이 가능하게 했다.

한편 금융전산시설 내부통제 강화를 위해 정보보안 규정 위반시 제재 근거를 금융회사 내규에 마련․시행토록 하고 전산시스템 운영자들이 홈페이지 등 공개용 서버 뿐만 아니라 모든 전산시스템 접근시 추가 인증(IC카드, 지문인식, OTP 등)을 의무화한다.

정보보호최고책임자(CISO)의 역할 및 독립성 강화도 진행된다. 현재 CIO가 CISO(Chief Information Security Officer)를 겸직함에 따라 업무상 경계가 모호하고, 이해상충시 보안보다 효율성이 우선되어 보안 약화가 우려됨에 따라 일정규모 이상 금융회사는 CISO 전임제도(겸직금지)를 도입해야 한다.

◆사기거래방지시스템 전금융사로 확대=현재 카드사에서 운영중인 이상거래탐지시스템(FDS)을 전자금융거래를 취급하는 은행․증권 등으로 확대 구축하고, 자체 탐지한 이상금융거래 정보를 전 금융권과 공유하는 체계를 구축한다.

이밖에 금융지주사, IT자회사, 금융자회사간 전산관리에 대한 역할·책임을 계약상 명확히 하고, 금융자회사 검사시 금융지주사와 IT자회사도 연계검사를 실시키로 했다. 한편 IT 신기술을 접목한 전자금융거래의 안전성확보를 위한 보안가이드를 제공하는 한편 자체 보안진단이 가능하도록 ‘금융IT 보안수준 진단’ 가이드라인 배포를 진행키로 했다.

<이상일 기자>2401@ddaily.co.kr