데일리시큐와 머니투데이가 공동 주최하는 제6회 스마트 금융&정보보호페어 SFIS 209가 2월 20일 소공동 롯데호텔 2층 크리스탈볼룸에서 240여 명의 금융기관 정보보호 실무자들이 참석한 가운데 성황리에 개최됐다.

본 행사에 앞서 열린 '금융 CIO 및 IT CEO 조찬 간담회에서는 40여 명의 금융기관 CISO와 CIO가 참석해 네트워킹 시간을 가졌다.

기조연설자로 나선 전길수 금융감독원 IT〮핀테크 전략국 선임국장은 '금융IT 보안 위협 및 감독방향'에 대해 강연을 진행했다.

전길수 국장은 최근 보안사고 사례 타임테이블을 정리해 설명하면서 금융기관 보안사고와 일반기업의 보안사고에 큰 차이는 없다. 결과만 다를 뿐이라고 강조했다. 이어 KISA나 국내 보안 기업 및 글로벌 보안기업에서 예측한 2019년 보안위협 이슈에 대해 기업 뿐만 아니라 금융기관도 동일하게 대응해야 한다고 말했다.

특히 금융사 IT외주업체를 경유한 공격이나 소프트웨어 개발단계에서부터 이루어지는 공격에 적극적인 대응이 필요하다고 밝히고 올해 금융IT 감독에서 금융사들의 IT 아웃소싱에 대한 관리 감독과 보안체계를 갖추고 있는지를 집중 점검할 것이라고 전했다.

전 국장은 2019년 금융기관 감독 검사 방향에 대해 "리스크 중심의 상시 감시체계를 이어가겠다. 특히 IT아웃소싱에 대한 검사를 강화해 공급망 공격에 금융사들이 적극적으로 대응할 수 있도록 하겠다"며 "금융사 IT아웃소싱 비율이 40%가 넘는다. 외주업체에 대한 보안관리가 어떻게 이루어지고 있는지 점검하고 관련 사고를 예방할 수 있도록 감독해 나갈 것"이라고 설명했다.

금융감독원의 2019년 금융IT 감독 세부 추진방향을 살펴보면, △신기술 적용 금융서비스에 대한 리스크 관리 감독 △IT아웃소싱 리스크 감독 체계 마련 △클라우드 서비스 이용 활성화 관련 리스크 감독 강화 △해킹 등 사이버 침해위협에 대한 대응체계 점검 지도 △취약점 분석평가 및 업무 연속성 계획 관리체계 감독 강화 △이상금융거래탐지시스템(FDS) 제도화 및 운영 고도화 △금융회사 및 금융시장과의 소통 활성화 △핀테크, 사이버 보안 등 IT감독 관련 국제 협력 강화 △보안 유관기관과 사이버 침해 공동 대응 등을 중심으로 추진할 예정이다.

한편 최근 주요 검사시 제재 사례도 소개했다. 주요 제재 사례로 △망분리 적용 미비 △공개용 웹서버의 안전대책 운용 소홀 △개인신용정보 삭제 및 분리보관 미흡 △정보처리시스템 가동기록 보관 미흡 △자동이체 처리시 개인신용정보 부당이용 및 제공 사례 △프로그램 적용 및 일괄작업 수행 미흡 △전산원장 변경 관련 통제 미흡 등을 들었다.

전길수 국장은 "금융감독원은 징벌적 취지에서 감독과 검사를 하는 것이 아니다. 목적은 건전한 금융환경을 만드는데 있다. 소비자를 보호하고 원활한 서비스를 위한 점검이다. 사고를 미연에 예방하자는 것"이라며 "자율보안 체계 유지라는 대전제는 변함이 없다. 전체적으로 금융 IT와 보안수준을 높이는데 목적이 있다. 이를 위해 금융사와 더 많은 소통을 해 나가겠다"고 밝혔다.

이번 SFIS 2019에는 에스에스알, 엔사이퍼 시큐리티, 굿모닝아이텍, 다크트레이스, 이스트시큐리티, 지란지교소프트 등이 참가해 금융사 관계자들에게 최신 솔루션을 소개했다.

★정보보안 대표 미디어 데일리시큐!★