금융사 IT보안인력 `5% 룰` 적용

금융위 전자금융 보안취약점 손질… CISO 규정은 제외

  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리


현대캐피탈, 농협 해킹사태 이후 곳곳서 드러난 전자금융 보안 취약점이 대폭 강화된다.

금융감독원 권고사항에 머물렀던 금융사의 IT예산, 세부 인력 가이드라인도 법제화된다. 또 강제성이 없던 핵심 보안세칙도 명문화되는 등 한층 강화된 보안 가이드라인이 마련된다. 하지만 보안 대책의 중점사항이었던 최고정보보호책임자(CISO) 규정은 제외됐다.

금융위원회는 최근 전자금융 감독규정 전부 개정안을 예고하고, 금융 IT보안 대책 수립 후 세부 가이드라인을 만들어 발표했다고 9일 밝혔다.

개정안에서는 가장 취약점으로 손꼽혔던 IT보안 부문 인력, 조직 운영, 예산 부문을 법제화해 추가했다. 이에 따라 앞으로 국내 금융사의 IT부문 인력은 총 임직원수의 5% 이상, 정보보호인력은 IT부문 인력의 5% 이상을 확보해야 한다. 아울러 정보처리시스템, 전자금융업무 관련 전담조직도 구성해야 한다.

전자금융업무에 대한 감독도 대폭 강화됐다. 개정안에 따르면 우선 금융감독원의 IT부문 실태평가 대상 금융기관이 기존 은행과 보험회사 외에 투자매매업자, 투자중개업자, 증권금융회사, 신용카드사, 자산 2조원 이상 여신전문금융회사 및 저축은행, 금융협회, 종합신용정보집중기관 등으로 확대된다.

금감원은 이들 금융기관에 대해 IT부문 운영 실태를 평가해 경영실태평가 등 감독ㆍ검사 업무에 반영해야 한다. IT부문 실태평가 결과가 경영실태평가 세부 항목 중 경영관리 또는 위험관리 항목 평가에 20% 이상 반영돼야 하고, IT부문 평가가 4등급 이하인 금융회사에 대해서는 경영실태평가 2등급 이상 평가할 수 없도록 했다.

개인정보 유출 사각지대로 꼽혔던 외부 아웃소싱 기업에 대한 책임소재도 한층 강화된다. 이는 과거 농협과 외주기업인 IBM간 법정 소송을 초래한 분쟁도 사전에 차단하겠다는 취지다. 금융사 뿐만이 아니라 보안 시스템과 밀접하게 연관돼 있는 외주 기업들에게도 별도의 책임규정을 둔다는 것이다.

이에 따라외부 아웃소싱을 통해 보안시스템을 운영중인 금융사는 계약 체결 후 자체 통제가 가능하도록 회사 내부에 별도의 조직과 인력을 갖춰야 한다. 또 전자금융보조업자와 계약을 체결하고 정보처리시스템을 운영하는 사업자를 전자금융보조업자에 포함시켜 아웃소싱 기업도 규제 대상으로 정의했다.

전자금융거래 종류별 안전성 기준도 마련됐다. 전산실, 건물, 설비, 단말기, 정보처리시스템 등 전자금융 업무의 안전성 확보를 위해 필요한 사항에 대해 별도의 안전성 기준을 적용키로 한 것이다.

이에 따라 앞으로 금융사는 △전원실, 공조실 등 주요 설비시설에 자물쇠 등 출입통제장치 △전원, 공조, 방재 및 방범 설비에 대한 적절한 감시제어시스템 확보 △전산실 전력공급 중단에 대비한 자가발전설비 △전력공급 장애에 대비한 복수회선 설치 및 전력공급의 연속성 유지를 위한 무정전전원장치(UPS) 등을 갖춰야 한다.집적정보통신시설(IDC) 등과 같이 다수의 기관이 공동으로 이용하는 장소에 정보처리시스템을 설치할 경우 미승인자가 접근하지 못하도록 적절한 접근통제 대책도 마련해야 한다.

정보유출 수단으로 활용되는 단말기, 전산자료 보호대책도 내놓았다. 금융거래 단말기의 경우 △비밀번호는 생년월일, 주민등록번호, 전화번호를 포함하지 않은 숫자와 영문자 및 특수문자 등을 혼합해 8자리 이상으로 설정하고 분기별 1회 이상 변경 △주요 단말기에 대해서는 외부 반출 금지, 업무 전용단말기 지정ㆍ사용, 사전 지정용도 외 사용금지 △노트북(laptop) 등 휴대용 전산장비 사용을 금지했다.

이밖에 금융위는 위기대응 행동 매뉴얼 또는 비상대책을 수립하고 연 1회 이상 비상대응훈련을 실시하는 등 금융회사가 비상사태에 대비하도록 했다. 또 전자금융사고에 대비해 보험 또는 공제에 가입할 경우 보상한도 금액을 은행은 20억원 이상, 신용카드는 10억원 이상, 금융투자 회사는 5억원 이상으로 정했다.

한편 IT보안대책의 핵심으로 꼽혔던 CISO 도입 규정은 이번 개정안에서 제외됐다. 금융위 관계자는 "CISO 도입 사항은 국회에서 입법발의된 사항으로 이번 개정안에서는 중복될 가능성이 높아 제외됐다"며 "지난 임시국회 때 CISO 직급을 명확히 해야한다는 지적이 있어 현재 입법발의한 이성헌 의원과 시행령 반영을 위해 협의가 진행 중"이라고 밝혔다. CISO 도입은 현재 여야 모두 공감대가 형성돼 있어 이달 임시국회에서 통과될 가능성이 높은 것으로 알려졌다.

길재식기자 osolgil@




[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]