금융전산 보안강화 대책에 IT업계 '촉각'

사이버위협 대응 컨트롤센터 '금융전사 보안 협의회' 설치

금융위, 금융전산 위기대응 체계 강화 및 전자금융기반시설 보안 강화 추구

최근 잇따라 발생하고 있는 금융권 사이버테러에 대응하기 위한 정부 차원의 금융전산 위기대응 체계 강화 조치가 실시됩니다. 구체적으로 금융 전산사고에 체계적으로 대응하기 위한 금융전산 보안 컨트롤타워가 설치되며, 공동 백업전용센터 구축과 함께 금융전산 망 분리가 본격 의무화되는 등 강력한 보안 대응 체제가 마련될 것으로 기대됩니다.

금융위원회는 금융전산 사고방지를 위한 제도적•기술적 보안관리 체계 강화를 골자로 하는 ‘금융전산 보안강화 종합대책’을 지난 7월 11일 발표했습니다.

금융위가 내놓은 금융전산 보안강화 대책은 ▲금융전산 위기대응 체계 강화 ▲금융회사의 전자금융기반시설 보안강화 ▲금융회사의 보안조직•인력 역량 강화 ▲금융 이용자 보호 및 감독 강화 ▲금융회사의 자율적 보안노력 지원 등 5개 항목을 중심으로 세부 가이드라인을 제시하기 위해 마련됐습니다.

금융전산 보안강화 대책의 주요 내용은 다음과 같습니다.

또한 금융 당국은 보다 원활한 제도 시행을 위헤 전문기관 등을 통해 중•소형 금융회사에 대한 취약점 점검, 보안수준 진단 등을 지원하고, 자체 보안진단이 가능하도록 ‘금융 IT 보안수준 진단’ 가이드라인을 배포한다는 계획입니다. 가이드라인 마련은 올해 하반기 진행될 예정입니다.

한편 이 같은 내용을 반영한 전자금융거래법 개정 사항은 오는 2014년 추진될 예정이며, 시행령 및 감독규정 개정사항은 올해 말까지 개정을 추진합니다.

이번에 발표된 정부의 보안대책은 기존에 제기됐던 의견들을 대부분 담고 있다는 것이 업계의 대체적인 평가입니다. 이제 세부적인 조율과 함께 실행력이 중요한 시점입니다.

업계 동향 : 망 분리, 데이터 관리 시장 활성화 기대

이처럼 금융권과 IT업계의 이목을 집중시켰던 금융당국의 ‘금융전산 보안 강화 종합대책’에는 망 분리 의무화와 금융 공동 백업센터 구축 등 대형 IT사업을 수반하는 내용이 포함됐지만 실제 사업 진행은 구체화 단계를 거쳐 향후에 본격화될 것으로 보입니다.

이에 그 동안 망 분리를 추진했으나 금융당국의 종합대책이 발표되기를 기다렸던 은행들은 망 분리 도입 방안의 가닥이 잡힌 만큼 사업 추진에 속도를 낼 것으로 보입니다. 다만 금융위원회는 망 분리 사업에 수십억 원의 예산이 소요되는 만큼 금융당국은 구체적인 망 분리 적용에 대한 세부사항을 은행권과 협의해 8월 중으로 가이드라인을 발표한다는 예정입니다.

또한 제3백업센터가 구축되면, 기업의 개인 PC나 여러 저장 장치에 분산되어 보관되어 있던 데이터들을 유사 시에 외부유출 및 보안의 문제가 발생하지 않도록 중앙집중 관리가 가능해질 것으로 보입니다. 이러한 데이터 관리 솔루션을 활용하여 기업 문서들을 ECM의 단일 아키텍처를 통해 중앙 집중화 및 혼합 관리하여 전사적인 문서보안을 수행할 수 있습니다. 또한 정보자료의 자산화를 통해 사용자는 협업, 통합검색 및 업무시스템과의 연계를 통해 편리하게 문서를 활용할 수 있습니다.

금융당국은 제3백업센터 가시화 시기에 대해서는 은행권에 TF팀을 구성해 하반기에 논의를 시작해 구체적인 방안이 협의가 되면 내년부터 단계적으로 시행 추진할 계획으로, 장기적으로는 은행권을 시작으로 증권, 카드사들까지 제3백업센터 구축을 추진한다는 계획입니다.

제3백업센터로 이관되는 데이터의 종류 및 성격에 대해서는 TF에서 논의될 것으로 보이지만 은행 공동으로 진행되는 만큼 규모 면에선 대형 사업이 될 것으로 보입니다. 다만 사업 시행 시기는 유보적이어서 표면적인 움직임이 본격화되는 것은 시일이 조금 더 소요될 것으로 예상됩니다.

개인 사용자 가이드라인과 보안의식 강화 대책 마련되어야

또한 대부분 금융 이용자들이 인터넷 뱅킹을 위해 여전히 PC에 공인인증서를 저장관리하고 있기 때문에 이에 대한 사용 가이드라인과 보안 의식 강화도 요구되는 시점입니다. 대부분 일반적인 개인정보유출, 스미싱, 피싱, 파밍 등의 보안사고는 1차적으로 사용자가 주의했더라면 막을 수 있는 경우가 많아, 그만큼 사용자에게도 기본적인 조치를 이행했는지 여부를 점검할 수 있는 가이드라인이 필요하다는 의견입니다.

현실 : 정보보안 예산 및 보안 인프라 확충이 최우선

올해 초 금융보안연구원(원장 김광식)은 지난해 금융회사 IT•보안담당자를 대상으로 진행한 ‘2012년 주요 금융IT보안 이슈 및 2013년 전망’ 설문조사 결과를 발표한 바 있습니다.

설문조사 결과 ‘2012년 주요 금융IT보안 이슈’로 설문 응답자의 과반수 이상(65%)이 ‘개인정보보호법 준수를 위한 DB암호화 등 개인정보의 안전성 확보조치’를 가장 주요한 이슈로 선택했습니다.

이 외에 △신•변종 피싱(파밍, 스미싱 등) 증가(46%) △전자금융거래법 일부 개정 등 전자금융 관련 정책 및 법•규정 변화(38%) △정보보호최고책임자(CISO)를 비롯한 보안인력 수요 급증(27%) △위•변조 뱅킹 앱을 통한 금융정보 절취(26%) 등으로 나타났습니다.

그리고 ‘2013년 금융IT보안 이슈 전망’에 대해서는 △설문 응답자 다수가 전자금융소비자 보호 등을 위한 정부규제 강화(46%) △개인정보보호법 준수를 위한 개인정보 수집 및 활용 등 보호조치 의무(43%) 등을 주요 사안으로 전망했습니다.

이 외에 △스마트워크에 따른 영역별 보안위협 증가(38%) △지속적인 피싱/파밍 공격 위협(35%) △웹 접근성 강화 등 차세대 웹 브라우저 보안 이슈(32%) 등으로 나타났습니다.

특히 주목할만한 것은, 이번 금융IT보안 담당자들은 2012년에 이어 2013년에도 금융소비자 보호를 위한 고객정보관리 및 관련 정책/법안 등에 대한 관심이 가장 큰 것으로 조사됐습니다. 이와 함께 올해 스마트워크에 따른 영역별 보안위협에 특히 주목하는 한편 스마트뱅킹의 대중화, 차세대 웹 브라우저 실현 등 변화하는 전자금융서비스 환경에 따른 신규 보안위협도 주요 이슈로 꼽았습니다.

해당 기관에서 최우선적으로 대비해야 할 사항으로 ▲정보보호 예산 및 IT 보안 시설 인프라 확충(46%) ▲모바일 금융 등 새로운 IT 환경에서의 보안성 확보(38%) ▲정보보호 조직 확충을 통한 업무 효율성 제고(35%) ▲내부통제 강화(35%) ▲IT 컴플라이언스 강화(34%) 등의 순으로 답했습니다(복수응답).

이에 금융회사들은 2013년 보안강화를 위해 우선적으로 대비해야 할 사항으로 지난해에 이어 ‘정보보안 예산 및 IT보안시설인프라 확충(46%)’, ‘정보보호 조직 확충을 통한 업무효율성 제고(38%)’ 및 ‘내부통제 강화(35%)’에 대한 응답률이 높아 내실 강화를 통한 보안성 제고 등 실질적인 대안 마련에 주력하고 있는 것으로 나타났습니다.

하반기에 들어선 지금, 미래를 준비하는 IT관리자라면 보안 정책을 확충하고 사업을 체계적으로 추진하기 위해 장기적인 관점에서 예산 확보에 나서야 할 때입니다.

효성인포메이션시스템의 정보자료 보호 및 관리를 위한 중앙집중화 & SAP 보안 솔루션

HECM은 보안, 통합, 관리, 사용 전반에 걸친 기업 콘텐츠 솔루션으로서 ECM단일 저장소 역할을 하는 Content Server와 이를 기반으로 한 정보자료 관리 및 집중화, 개인정보보호, SAP 보안 등 다양한 솔루션을 제공합니다. 기업 내에서 발생하는 문서를 ECM의 단일 아키텍처를 통해 중앙 집중화 및 혼합 관리하여 전사적인 문서보안을 수행할 수 있습니다. 또한 정보자료의 자산화를 통해 사용자는 협업, 통합검색 및 업무시스템과의 연계를 통해 편리하게 문서를 활용할 수 있습니다.

* SAP 보안 솔루션 바로가기

* 개인정보보호 솔루션 바로가기

* 정보자료 집중화 솔루션 바로가기