법제도/정책

금융보안원, F-ISMS·핀테크 보안검증 맡는다

이민형

[디지털데일리 이민형기자] 금융보안원이 올 하반기부터 금융 정보보호관리체계(F-ISMS, 가칭) 인증 평가와 핀테크 신기술 보안검증 업무를 실시한다. F-ISMS는 금융보안원 보인인증팀이, 핀테크 신기술 보안검증 업무는 핀테크보안팀에서 주도적으로 수행할 예정이다.

24일 금융보안원 김영태 보안인증팀장은 “미래창조과학부에서 ISMS 인증 심사기관 추가지정 공고가 나오기만을 기다리고 있다. 금융보안연구원 당시 서류심사와 실사를 마쳤기 때문에 심사기관 지정이 어려울 것 같지는 않다”며 “빠르면 6월부터 F-ISMS 인증제도 운영을 시작할 수 있을 것 같다. 이를 위해 관련 통제항목을 개발 중”이라고 전했다.

F-ISMS는 기존 ISMS에서 금융서비스와 관련된 통제항목이 추가된 인증 제도로 금융위원회가 지난 2013년 제정을 추진했다.

하지만 ISMS를 담당하는 미래창조과학부가 ‘금융회사들이 F-ISMS 인증을 획득하더라도 ISMS 인증 획득 의무가 사라지는 것은 아니다. 금융회사도 ISMS 인증 의무사업자이기 때문’이란 유권해석을 내려 제정이 보류된 바 있다.

이후 미래부는 2014년 2월 ISMS 인증 체계 강화를 위해 심사기관 추가지정을 준비했고, 이에 금융보안원(당시 금융보안연구원)이 공모에 나서게 된 것이다.

이와 관련 최병택 미래부 침해대응과장은 “금융보안연구원이 심사기관 지정을 앞두고 (금융보안원 출범으로 인해) 신청을 철회하는 바람에 추가지정이 늦어졌으나 조만간 재공고를 통해 완료할 것”이라고 전했다.

재공고를 통해 금융보안원이 ISMS 인증기관으로 지정될 경우 F-ISMS와 같은 금융권에 특화된 ISMS를 개발·운영할 것으로 기대된다.

핀테크 신기술에 대한 보안검증도 금융보안원이 맡는다. 금융위원회는 올해 1월 ‘IT·금융 융합 지원방안’을 발표하며 보안·인증수단에 대한 기술수준을 검증하는 민간부문의 제3자에 의한 평가체계를 수립할 것이라고 밝혔다.

이는 보안성심의, 인증방법평가, 국제공통평가기준(CC) 인증 의무화 등의 폐지를 보완하기 위해 마련됐다. 각종 보안규정이 폐지로 인해 금융회사들은 자유롭게 보안 신기술, 제품 등을 도입할 수 있다.

하지만 금융회사들은 상대적으로 신뢰도가 낮은 핀테크 스타트업 등과 협업을 하지 않을 가능성이 높다. 아울러 신기술 보안검증으로 인한 금융회사의 비용의 증가도 무시할 수 없다.

카드사 고위 관계자는 “핀테크 스타트업들의 기술들은 기발하긴 하지만 보안을 담보할 수 없는 것들이 있어 도입이 부담스러운 것이 사실”이라며 “편의성만 보고 핀테크를 도입할 수 없다. 기술에 대한 검증이 필요한데 여기에 대한 부담을 금융회사가 지는 것은 다소 부담스럽다”고 전했다.

금융보안원의 핀테크보안팀은 국내 핀테크 시장에 나온 신기술의 보안성을 검증하는 역할을 하게 될 것으로 보인다. 다만 금융당국의 핀테크 보안체계 태스크포스(TF)에서 지원체계 방법론에 대한 논의가 끝나지 않아 해당 사업은 오는 6월경 구체적인 계획이 나올 것으로 보인다.

이와 관련 금융보안원 기획조정팀 관계자는 “아직까지 업무분장이 완벽하게 끝나지 않았고, 금융당국의 주문이 명확하게 내려온 것이 없다”며 “시기와 방법론에 대한 논의는 필요하겠지만 핀테크 신기술 보안에 대한 검증 부분은 금융보안원이 맡게된다”고 전했다.

한편 금융보안원은 지난 10일 출범해 업무를 시작했으며, 보안관제, 침해대응, 침해정보공유, 취약점 분석·평가, 금융보안 정책·기술 연구, 금융보안 교육, 금융IT·보안 인증 및 시험·평가 등의 종합적인 금융보안 서비스를 제공할 계획이다.

<이민형 기자>kiku@ddaily.co.kr

이민형
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널