금융전산 보안 강화 종합대책 2013-07-11

금융위원회 전자금융과, 금융감독원 IT감독국

 

1. 추진배경 및 방향

 

□ 국내 전자금융거래는 급격히 증가하여 전자금융 이용 비중이 2013년 3월 기준으로 87.7%*에 이르고 있음

 

ㅇ 인터넷뱅킹 가입자수는 8,940만명(중복합산), 모바일뱅킹 고객수는 4천만명(중복합산) 이며, 거래금액은 일평균 33조 804억원임

* 출처 : 2013년 1/4분기 국내 인터넷뱅킹서비스 이용현황(한국은행, ‘13.3월)

 

□ 그러나, 비대면 방식의 전자금융거래 이용수단의 발달로 금융소비자들의 이용 편의성은 높아졌지만, 보안위협도 함께 증가

 

ㅇ 최근 사이버공격은 여러 금융회사에 동시 다발적․반복적으로 발생하고 있어, 날로 대형화․지능화되는 보안위협에 대응하기 위해 금융보안에 대한 패러다임 전환(타율→자율, 비용→투자)이 필요한 시점

 

□ 이에 따라, 지난 3.20일 농협․신한은행 등 금융전산 사고를 계기로 금융권 전산보안 전반에 대한 실태점검과 TF 운영을 통해 종합적인 개선대책을 마련

 

ㅇ 또한, 국가차원*에서 사이버테러 대응체계를 강화하고 있는 바, 금융분야도 금융보안 대응체계 강화 필요

 

* 관계부처 합동으로「국가 사이버안보 종합대책」을 마련하여 발표(7.4일)한바 있음

 

< 참고 : 3.20 전산사고 이후 금융전산 종합점검 실시현황 >

 

‣ 사고발생 금융회사에 대한 특별검사 실시(‘13.4～5월)

‣ 유관기관 합동 점검반을 편성하여 금융회사 보안실태 점검 (‘13.4~5월)

‣ 全 금융회사 대상「금융IT 보호업무 모범규준」점검(‘13.4~5월)

‣ 금융전산 사고 이후 금감원 등 유관기관, 금융회사, 학계, IT업계 등의 보안전문가로 구성된「금융전산 보안 TF」를 운영(‘13.4～7월초)

⇒ (점검결과) 금융전산 위기대응체계 비효율, 악성코드 유입경로 통제 미흡, 내부통제 미흡, 정보보호 인력 사기저하 등 문제점 제기

 

 □ 금번 종합대책은 금융회사가 자율적인 노력을 통해 전산 사고를 방지할 수 있도록 제도적․기술적 보안관리 체계 강화에 중점

 

 

2. 주요 내용

 

1) 금융전산 위기대응 체계 강화

 

(1) 금융전산 보안 컨트롤타워 역할 강화

 

ㅇ (현황) 금융권 사이버위협에 대응한 금융결제원․코스콤․금융보안연구원 등 금융보안 관련 기관간 역할이 중복되는 등 비효율 노정*

 

* 취약점 점검, 침해사고 대응, 보안교육 등이 기관별로 중복되고, 사고원인조사․분석팀과 같은 전문적이고 체계적인 위기대응조직은 부재

 

< 금융전산 보안 협의회 주요 역할 >

① 금융결제원, 코스콤, 금융보안연구원 등 기관간 역할 조정․정립

② 금융ISAC* 모니터링 대상기관 확대 및 기능 효율화 협의

③ 금융전산 위기대응능력 강화 및 금융보안 전담 조직체계의 효율화 방안 협의

 

ㅇ (개선) 금융위의 컨트롤타워 역할을 강화하기 위해 금융위 주관하에 금융권 전산 보안 관련기관이 참여하는「금융전산 보안 협의회」를 설치

* ISAC : Information Sharing & Analysis Center(정보공유분석센터, 금융결제원․코스콤)

 

(2) 금융권 공동 백업전용센터 구축(제3백업센터)

 

ㅇ (현황) 전산시스템을 파괴(삭제)*하는 사이버공격과 지진․테러 등에 의한 전산센터 파괴시 중요 금융정보가 영구 손실 될 우려

 

* (사례) OO은행 DB삭제(2011년도), OO은행 DB삭제 시도(2013년도)

 

※ 전산센터․재해복구센터가 잠재적 동일 재난지역(서울․경기, 13개 은행) 및 지상 건물에 위치

 

ㅇ (개선) 기존 재해복구센터(제2백업센터) 외에 사이버공격, 지진, 테러 등에 대비하여 중요 금융정보를 저장․보관하는 금융권 공동 백업전용센터를 지하 벙커*형태로 구축

 

※ 은행권 공동 TF 구성, 은행권 우선추진 → 타 업권으로 확대

 

* 해외사례 : 폐광 등을 활용하여 정부․민간에서 벙커형태로 구축(미국, 이스라엘)

 

(3) 침해사고 대응 전담반 운영 등 위기대응능력 강화

 

ㅇ 침해사고분석 전담조직을 금융ISAC내에 설치하고, APT공격* 등에 대응한 훈련 시나리오 보완, 단말기 긴급 복구체계 마련

 

* APT(Advanced Persistent Threat) 공격: 특정 목적을 정해두고 해킹기법을 이용하여 장기간 지속적으로 공격함으로써 정보유출․시스템 파괴 등을 일으키는 공격

 

(4) 보안관제 및 정보공유 전 금융권 확대

 

ㅇ 전자금융거래를 제공하는 금융회사는 금융ISAC 모니터링 대상에 편입을 의무화하여 전 금융권 실시간 모니터링 체계 구축

 

* 현재 은행․증권을 제외한 제2금융권 중․소형사의 경우 편입률 저조

 

- 개별 금융회사가 수집한 악성코드 정보, 취약점 정보 등을 전체 금융회사와 공유할 수 있는 체계를 구축하여 유사 침해사례 예방

 

2) 금융회사의 전자금융기반시설 보안 강화

 

(1) 금융전산 망분리(업무망↔인터넷망) 의무화 및 가이드라인 배포

 

ㅇ 전산센터는 ‘14년말까지 물리적 망분리*를 의무화하고 본점‧영업점*은 단계적으로 망분리를 추진(망분리 가이드라인 배포)

* 총자산, 임직원 수 등 규모별로 단계적으로 추진하되 망분리 방식은 선택 가능

 

※ 물리적 망분리 : 통신망을 물리적으로 업무용과 인터넷용으로 분리하여 PC 2대 사용

 

    논리적 망분리 : PC1대를 S/W적으로 분리하여 업무용과 인터넷용으로 구분하여 사용

 

(2) 금융보안 관리체계 인증제도 도입

 

ㅇ 전자금융거래법규에서는 최소한의 정보보안 수준을 규정함에 따라 평준화된 보안수준을 금융회사별로 차별화하고 상향시킬 필요

 

ㅇ 금융권 정보보안 및 전자금융거래 업무 특성(인터넷뱅킹 등)을 반영한 금융보안 관리체계 인증제도를 도입*

 

* 총자산, 임직원수, 전자금융거래 이용고객 수 등을 고려하여 일정규모 이상 금융회사 의무화

 

※ 국제표준화기구(ISO)도 산업분야별 정보보호관리체계 가이드라인 마련중

 

(3) 금융전산시설 내부통제 강화

 

ㅇ IT보안 조직의 내부통제 실행력 강화를 위해 정보보안 규정 위반시 제재 근거를 금융회사 내규에 마련․시행

 

ㅇ 전산시스템 운영자들이 홈페이지 등 공개용 서버 뿐만아니라 모든 전산시스템 접근시 추가 인증(IC카드, 지문인식, OTP 등)을 의무화

 

ㅇ 전산시스템 접근기록 상시 모니터링 및 분석을 통해 IT보안 리스크 통제조치 시행

 

ㅇ 그룹웨어*․홍보 등 非금융시스템까지 취약점 점검을 확대하고, 취약점 점검결과에 대한 이행절차를 마련하여 이행여부를 CEO에 보고

 

* 조직 구성원들의 업무지원을 위해 서류작성, 결재, 문서보관 등을 지원하는 시스템

 

3) 금융회사의 보안조직․인력 역량 강화

 

(1) 정보보호최고책임자(CISO)의 역할 및 독립성 강화

 

ㅇ (현황) CIO가 CISO*를 겸직함에 따라 업무상 경계가 모호하고, 이해상충시 보안보다 효율성이 우선되어 보안 약화 우려

 

* CIO : Chief Information Officer, CISO : Chief Information Security Officer

 

- CISO는 권한에 비해 사고 발생시 책임이 무거워 고충 제기

 

ㅇ (개선) 일정규모 이상 금융회사는 CISO 전임제도(겸직금지) 도입

 

* (예시) 자산 10조원이상 & 임직원 1,500명이상 금융회사(36개사 해당)

 

- CISO는 전임자의 경우 부당한 인사상의 불이익을 금지하고, 책임에 따른 문책부담 해소를 위해 최소한의 임기 보장

 

※ 준법감시인 : (법령) 인사상 부당한 불이익 금지, (모범규준) 임기 3년 이내 자율 결정

 

(2) 보안인력 사기진작 방안

 

ㅇ (현황) 해킹, 정보유출 등 금융전산 사고시 금융회사 책임이 강화되어 보안담당자 고충이 가중되고 직무만족도 저하

 

ㅇ (개선) CEO책임하에 보안인력 사기진작 방안을 마련‧시행토록 권고

 

- 책임과 의무를 다한 정보보안담당 임직원에 대해서는 금융당국 제재와 금융회사 자체 내규에 의한 제재시 면책 근거 마련

 

(3) 금융보안 전문인력 양성 및 교육 강화

 

ㅇ 금융 정보보안 전문인력 양성과 임직원 보안 교육을 위해 금융보안 연구원에 ｢금융보안교육센터｣를 운영하고 전문가 과정 확대

 

ㅇ 정보보호 석사과정을 개설한 대학원과 금융회사간 협력체계 구축 유도

 

130711 (보도자료)금융전산 보안 강화 종합대책 .hwp(File Size : 392.5 KB)
130711 (참고)금융전산 보안 강화 종합대책.hwp(File Size : 361 KB)