‘무더기’ 유출에 칼 빼든 금융보안원…상시평가 대폭 강화

최근 대규모 정보유출 사태가 반복되자 금융보안원이 올해 상시평가를 대폭 강화하기로 했다. 직급과 업무에 따른 권한 부여 현황표 제출을 의무화하고, 외부 접속 기록의 주기적 확인 등 내·외부 위험 대응 체계를 모두 고도화한다는 방침이다. 9일 정보보안 업계에 따르면 금융보안원은 최근 정보보호 상시평가 실무진을 대상으로 올해 상시평가에서 강화되는 내용을 설명했다. 정보보호 상시평가는 금융회사의 개인신용정보 활용이나 관리 실태점검 결과를 접수하고 점검 결과에 따라 등급을 부여하는 제도다. 대상 기관은 이달 말까지 상시평가를 접수해야 한다. 지난해에는 3000여개 금융회사가 상시평가를 받았다. 금융보안원은 지난 2년간의 사고 사례를 반영해 올해 접근권한 관리, 이상행동 감독, 취약점 점검 등 8개 항목의 상시평가 기준을 강화했다. 먼저 내부사용자가 업무범위를 벗어난 조회 권한을 가지고 가맹점주의 정보를 외부에 유출한 사례나 직원이 업무 목적 외 개인신용정보를 무단으로 수집하거나 유출한 사례를 지적했다. 기존 전 직원에게 동일한 권한을 부여한 것을 개선해 직급과 업무별 접근권한 차등 부여 현황표를 의무적으로 제출하도록 하고, 인사이동 시 30일 이내 권한 변경을 증빙하도록 했다. 또 업무 목적에만 정보를 사용할 수 있도록 신용정보 동의서에 대한 상세 양식을 제출하도록 했다. 외부 공격 징후를 탐지 이후의 모니터링과 이상행위 탐지 체계도 미흡하다고 봤다. 이에 월 1회 이상 접속기록이나 이상행위, 과다조회를 점검하고 이상행위 판단 내부 기준을 수립한 뒤 문서로 남기도록 했다. 또 외부 접속 구간을 정확히 탐지할 수 있도록 네트워크 구성도를 구체화하고 침입탐지와 차단 정책의 운영 로그도 제출하도록 강화한다. 이밖에 연 1회 이상 취약점을 점검해 경영진에 보고하고 서버와 PC 전체 백신 설치, 개별 장비 업데이트 확인 등을 증빙하도록 제시했다. 금융위원회와 금융보안원이 매년 기업에 대한 정보보호 상시평가를 진행하고 있지만, 대규모 유출 사고가 잇따르면서 평가 항목을 대폭 강화한 것으로 풀이된다. 최근 발생한 대규모 유출 사태 이후 상시평가의 실효성에 대한 지적도 제기된 바 있다. 금융보안원 관계자는 "상시평가 자체가 금융회사들이 실제로 정보보호 활동을 제대로 하고 있는지를 서면으로만 평가할 수 있어 한계도 존재한다"며 "이를 보완하기 위해 올해는 모의해킹과 같은 실질적인 평가를 추가하는 것도 검토하고 있다"고 말했다. 김남석 기자 kns@dt.co.kr