[서울파이낸스 유승열기자] 금융당국이 금융보안 강화를 위해 정보보호최고책임자(CISO) 전임제를 도입키로 했다. 전산시스템 파괴에 대비한 금융권 공동 백업센터도 구축된다.
금융위원회는 11일 농협·신한은행 등 금융전산 사고를 계기로 금융권 전산보안 전반에 대한 실태점검과 TF 운영을 통해 종합적인 개선대책을 마련했다고 밝혔다.
개선대책은 △금융전산 위기대응 체계 강화 △금융사의 전자금융기반시설 보안 강화 △금융사의 보안조직․인력 역량 강화 △금융 이용자 보호 및 감독 강화 △금융사의 자율적 보안노력 지원 등을 골자로 하고 있다.
우선 금융위는 '금융전산 보안 협의회'를 설치하기로 했다. 협의회의 주요 역할은 △금융결제원, 코스콤, 금융보안연구원 등 금융ISA 기관간 역할 조정·정립 △금융ISAC 모니터링 대상기관 확대 및 기능 효율화 협의 △금융전산 위기대응능력 강화 및 금융보안 전담 조직체계의 효율화 방안 협의 등이다.
또 전산시스템을 파괴하는 사이버공격과 지진·테러 등에 의해 중요 금융정보가 영구 손실 될 우려가 있어 금융권 공동 백업전용센터를 구축키로 했으며, 침해사고분석 전담조직을 금융ISAC 내에 설치하기로 했다.
금융사의 전자금융기반시설 보안도 강화된다. 금융위는 전산센터는 내년 말까지 업무용과 인터넷용 등 통신망 분리를 의무화하고 본점·영업점은 단계적으로 망분리를 추진할 계획이다. 또 평준화된 보안수준을 금융회사별로 차별화하고 상향시켜야 한다는 판단에 금융보안 관리체계 인증제도를 도입할 예정이다.
IT보안 조직의 내부통제 강화를 위해서는 정보보안 규정 위반시 제재 근거를 금융사 내규에 마련·시행토록 했다. 이에 따라 금융사들은 전산시스템 운영자들이 모든 전산시스템 접근시 추가 인증을 의무화하고, IT보안 리스크 통제조치 시행해야 한다. 이와함께 비금융시스템까지 취약점 점검을 확대하고, 점검결과에 대한 이행절차를 마련해 이행여부를 CEO에 보고해야 한다.
보안조직 역량 강화를 위해서는 일정 규모 이상 금융회사는 정보보호최고책임자(CISO) 전임제를 도입하고 최소한의 임기를 보장토록 한다. 보안인력 사기진작을 위해 의무를 다한 담당 임직원에 대해서는 금융당국 제재와 금융회사 자체 내규에 의한 제재시 면책 근거를 마련할 계획이다.
금융 이용자 보호를 위해 카드사에서 운영중인 이상거래탐지시스템(FDS)을 은행·증권 등으로 확대 구축하고, 이상금융거래 정보에 대해 전 금융권과 공유하는 체계를 구축키로 했다.
아울러 안전조치 의무 위반시 업무정지(최대 6개월) 부과를 위한 세부기준을 마련하고, 중대 전산사고 빈발 금융사는 집중 점검·관리할 계획이다. 정부는 지난 5월 전자금융거래법을 개정해 금융지주사와 계열사간 전산관리에 대한 책임과 전산사고 발생에 대한 CEO의 책임을 명확화했으며, 자회사 검사시 금융지주사와 IT자회사도 연계검사를 실시토록 했다. 이밖에도 정보유출 등 전산사고시 해당 금융회사 홈페이지에 공시하는 방안을 검토중이다.
이와 함께 금융사의 자율적 보안노력 지원을 위해 전자금융거래의 안전성 확보를 위한 보안가이드를 제공하고, 금융보안 전문기관 등을 통해 중·소형 금융회사에 대한 취약점 점검·보안수준 진단 등을 지원하기로 했다.
금융위는 금융위는 CISO 임기제 도입, 금융ISAC 연계 의무화 등 전자금융거래법 개정 사항은 내년년에 추진하고, CISO 전임제 등의 시행령과 전산센터 망분리 등 감독규정 개정사항은 올해말까지 추진한다. IT보안업무 관련 가이드라인 마련은 올해 하반기 중 진행하며, 제3센터 구축, 본점·영업점 망분리는 2014년 이후 추진할 계획이다.
