금융 전산사고에 체계적으로 대응하기 위한 금융전산 보안 컨트롤타워가 설치된다. 또 대형 금융회사들은 내부 업무망과 외부 인터넷망을 의무적으로 분리해야 하며 CIO(최고정보책임자)와 CISO(최고정보보호책임자)의 겸직이 전면 금지된다.
금융위원회는 이 같은 내용을 중심으로 한 ‘금융전산 보안강화 종합대책’을 11일 발표했다.
그동안 금융회사 해킹이 동시다발적·반복적으로 발생하면서 고객정보 유출 등의 피해가 지속됐다. 특히 지난 3월20일 NH농협·신한은행 등에서 금융전산 사고가 발생함에 따라 금융전산 보안 전반에 대한 점검 및 대책 마련 필요성 제기됐다.
앞선 2011년 4월 NH농협 전산망 공격 및 현대캐피탈 전산망 해킹, 과거 현대캐피탈·삼성카드·하나SK카드 등 카드사 고객정보 유출 등 금융사 전산사고는 끊이지 않고 있다. 카드업계에 따르면 지난해 신용카드 인터넷 결제 관련 해킹사고 피해금액은 3억 원을 넘었다.
이에 금융위는 제도적·기술적으로 보안관리 체계를 강화키로 했다. 금융위가 내놓은 금융전산 보안강화 대책은 △금융전산 위기대응 체계 강화 △금융회사 전자금융 기반시설 보안 강화 △금융회사 보안조직·인력 역량 강화 △금융 이용자 보호 및 감독 강화 △금융회사 자율적 보안노력 지원 등 5가지로 나뉜다.
우선 오는 8월 중 흩어져 있던 금융전산 보안 관리체계를 하나로 통합한 금융전산 보안 컨트롤타워를 설립한다. 금융위는 ‘금융전산 보안 협의회’에서 각 기관의 역할을 조정·정립해 중복을 최소화하는 한편 금융 정보공유분석센터(ISAC) 모니터링 대상기관 확대, 금융전산 위기대응 능력 강화 등을 이룬다는 방침이다.
지금까지는 금융결제원·코스콤·금융보안연구원 등 각각의 금융보안 관련 기관이 해킹 등의 사이버 위협에 산발적으로 대응함에 따라 비효율성이 컸다.
또 오는 2014년 중 ‘침해사고 대응 전담반’을 구성, 사고 원인에 대한 조사·분석을 통해 전문적이고 체계적으로 위기에 대응한다.
이와 함께 금융권 공동 백업전용센터를 구축해 금융정보의 영구 손실을 차단한다. 현재는 주 전산센터와 재해복구센터가 잠재적 동일 재난지역이나 건물에 위치하고 있어 지진 및 테러 등 재해발생 시 금융회사의 업무 중단이 불가피한 상황이다.
이에 따라 올 하반기 주 전산센터가 몰려 있는 서울·경기지역에서 일정거리 이상 떨어진 곳에 지하 또는 벙커 형태로 백업전용센터를 구축토록 했다. 공동 백업전용센터 구축은 은행권을 시작으로 보험, 증권 등 타업권으로 확대한다.
망분리 의무화도 추진된다. 금융위는 외부 침입을 원천 차단함으로써 악성코드나 해킹 등의 공격으로부터 내부 정보를 보호한다는 방침이다.
금융회사 전산센터는 오는 2014년 말까지 내부 업무용과 인터넷용 등 2대의 PC를 사용하는 망분리를 완료해야 하며 본점이나 영업점은 2014년 이후 총자산, 임직원 수 등 규모별 단계적으로 망분리를 해야 한다.
금융위는 총자산 2조 원 이상이면서 임직원수 300명 이상인 금융회사(84곳)의 의견 수렴 후 단계적으로 추진 일정을 결정할 계획이다.
또 최고경영자(CEO) 책임 하에 취약점 점검과 이에 따른 이행조치가 철저히 이뤄지도록 하고 비금융 전산시스템까지 취약점 점검 및 모니터링을 실시하는 등 금융기관이 자율적으로 전산 보안관리를 강화하도록 유도한다. 금융권의 이런 내부통제가 실제로 작동되도록 금융회사 내규에 정보보안 규정 위반 시의 제재 근거를 마련·시행토록 한다.
CIO와 CISO의 겸직은 전면 금지하고 최대 3년까지 임기를 보장한다. CISO의 독립성을 강화해 효과적인 보안업무 수행을 가능토록 한 것이다. 이에 따라 내년 관련 법이 개정되면 자산 10조원 이상이면서 임직원 1500명 이상 등 일정 규모 이상의 금융기관(36곳)은 CIO와 CISO를 따로 둬야 한다.
금융회사의 중요 IT보안 사항을 심의·결정하는 독립적 의사결정기구로 IT보안위원회를 설치토록 하고 CISO 주관 하에 주요 보안사항을 심의·결정, 중요 사항은 CEO에 보고한다. 아울러 금융당국은 매 분기 개최되는 ‘CISO 정책협의회’의 활성화를 위해 오는 2014년 중 법적 근거를 마련한다.
이 밖에 △금융지주회사 및 IT 자회사 감독 강화 △전산사고 빈번한 금융회사 집중관리 △업무지연 시 6개월 업무정지 등 제재기준 마련 △ 중소형 금융회사 보안 지원체계 마련 등을 실시한다.