금감원 송현 국장 “금융회사 IT보안 역량 강화 및 보안 취약 요소 개선에 힘써야”
최근 금융IT 감독 관련 주요 이슈는 무엇일까. 데일리시큐와 머니투데이가 주최한 ‘스마트 금융&정보보호 페어 2014’에서 금융감독원 IT감독국 송현 국장은 최근 금융IT감독 이슈와 관련 금감원 입장을 발표하는 시간을 가졌다.2013년 말 기준, 인터넷뱅킹 등록고객수는 9천549만명, 모바일뱅킹 등록고객수는 4천993만명에 이른다. 특히 스마트폰 모바일뱅킹 일평균 이용건수는 2천158만건, 이용금액은 1조4천133억원에 이르고 있다. 이러한 비대면 금융거래가 꾸준히 증가하면서 정보보안 문제는 금융시스템 안정화에 있어 최대 이슈로 떠오르고 있다.
송현 국장은 올해 초 3개 카드사로부터 발생한 1억581만건의 개인정보 유출 사건을 설명하면서 그동안의 금융보안 대응 현황과 향후 계획에 대해 발표했다.
송 국장은 “그동안 2~3년 간격으로 실시하는 금융회사 종합검사시 IT보안 및 내부 통제시스템 구축, 운영 상황을 평가해 왔다. 특히 농협카드는 2012년 6월에, 롯데카드는 2013년 6월, KB국민카드는 2010년 1월경에 검사를 실시했다. 그리고 3개 카드사 모두 모범규준 이행 실태 점검을 실시했지만 이번 사고를 막지 못했다”고 강조했다. 즉 실태점검을 했지만 그 원칙들이 잘 지켜지지 않아 발생한 문제라는 지적이다.
한편 이번 카드사 고객정보 유출 사고 대응에 대한 향후 방향성에 대해 송 국장은 “이번 사고의 근본적이고 구조적인 원인을 철저히 규명하는 것이 중요하다. 책임소재에 따라 법상 허용 가능한 최고 한도의 엄중한 제재를 추진하고 고객 불편을 최소화하기 위해 노력하겠다”며 “유사사례 재발 방지 대책도 추진할 예정이다. 금융회사의 IT보안 및 개인정보보호 체계에 대한 전면적인 재점검을 통해 각종 제도들이 현장에서 정착되도록 노력하겠다”고 밝혔다.
좀더 구체적으로 금융전산 보안강화 종합대책 추진 내용도 소개됐다. 우선 금융전산 보안 컨트롤타워 역할을 강화하겠다는 것이다. 현행 금융결제원, 코스콤, 금융보안연구원 등 금융보안관련 기관간 역할 중복이 되는 문제를 개성하기 위해 향후 금융전산 보안 협의회를 설치할 계획이다.
또 전산센터, 재해복구센터가 동시 파괴되는 것을 방지하기 위해 금융권 공동백업 전용센터를 구축할 예정이다.
그리고 침해사고 분석 전담 조직을 금융 ISAC 내부에 설치하고 APT 공격 등에 대응한 훈련 시나리오를 만들고 단말기 긴급 복구 체계를 마련할 예정이다. 더불어 전자금융거래를 제공하는 금융회사는 금융 ISAC 모니터링을 의무화하고 금융회사별 수집정보를 공유할 수 있는 체계를 구축하겠다고 밝혔다.
전자금융기반시설 보안 강화를 위해서는 2014년까지 전산센터 물리적 망분리 의무화와 본점, 영업점은 단계적 망분리를 추진하며 망분리 가이드라인도 배포할 예정이다.
또 내부통제를 강화하기 위해 CEO 책임하에 취약점 점검 및 보안조치를 철저히 이행해야 하며 비금융 전산시스템도 취약점 점검 및 보안관제를 해야 한다. 더불어 전산시스템 접근 시 별도의 추가인증 적용을 의무화하고 보안규정 위반시 내부 제재 근거도 마련해야 한다.
더불어 전자금융감독규정 개정 주요 내용도 발표됐다. 송 국장은 “금융회사 내에 정보기술보안사항을 심의 의결하는 정보보호 위원회를 설치해 운영해야 한다. 또 CEO는 정보보안 관련 법규를 위반한 임직원에 대해 이를 제재하기 위한 내부 절차를 수립해야 한다”며 그리고 “전산실 내 정보처리시스템 및 직접 접속 단말기에 대해 외부통신망으로부터 물리적으로 분리하고 내부 업무용 시스템은 외부통신망과 분리, 차단 및 접속을 금지해야 한다”고 밝혔다.
또한 “윈도 XP지원 종료시 보안패치가 이루어지지 않아 악의적 공격에 상대적으로 취약할 것”이라며 “지난해 12월 기준 금융회사 전체 단말기 79만대 중 51만대, 약 64.7%가 윈도우 XP 이하 버전을 사용중이고 CD/ATM의 경우 전체 8만대 중 7만8천대인 86.4%가 취약해 진다. 악성코드 감염에 취약한 XP 이하 단말기는 올해 4월 8일 이전까지, 서버는 2015년 7월13일까지 전환을 완료할 계획”이라고 전했다.
마지막으로 송 국장은 “금융당국은 보안 컨트롤 타워 역할을 강화하고 금융권 전체 보안 거버넌스 확립, 금융회사 IT보안 역량 강화 및 보안 취약 요소 개선에 힘써야 한다”며 “금융회사는 자체 보안 거버넌스를 확립하고 보안 투자 및 인력을 확보해야 하며 IT 내부통제의 확립 및 보안 아웃소싱 관리개선, 보안시스템 설계 및 기술적 보호 조치를 강화해 나가야 한다. 더불어 새로운 보안 위협에 대안 발빠른 대응 솔루션 개발과 전문인력 양성도 필수다. 이를 위해서는 금융권과 정보보안 산업 그리고 정부의 역할이 중요하다. 그리고 전자금융사업자에 대한 감독과 검사를 더욱 강화해 나가겠다”고 강조했다.
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지