[금융서비스국 이병래 국장]

 

   안녕하세요? 금융서비스국장 이병래입니다.

   금융전산 보안강화 종합대책에 대해서 말씀을 드리겠습니다.

   오늘 제가 발표할 내용은 추진배경 및 방향, 주요 내용, 향후 계획 순으로 말씀을 드리도록 하겠습니다.

   먼저, 추진배경 및 방향입니다.

   국내 전자금융 거래는 급격히 증가해서 전자금융 이용비중이 금년도 3월 기준으로 87.7%에 이르고 있습니다. 인터넷뱅킹 가입자 수는 중복 합산해서 8,940만 명, 모바일뱅킹 고객 수는 4,000만 명이고, 거래금액은 일평균 33조 원 수준이 되겠습니다.

   그러나 이와 같이 비대면 방식의 전자금융거래 이용수단의 발달로 소비자들의 이용편이성은 높아졌습니다만, 여러분들 잘 아시다시피 보안위협은 증가하고 있는 것이 사실입니다.

   특히, 최근 사이버공격은 여러 금융회사에 동시다발적·반복적으로 발생하고 있습니다. 날로 대형화·지능화 되는 보안위협에 대응하기 위해서 금융보안에 대한 패러다임의 전환이 필요한 시점이라고 말씀드릴 수 있겠습니다.

   이에 따라 지난 3월 20일 농협, 신한은행 등 금융전산 사고를 계기로 금융권 전산 보안 전반에 대한 실태점검을 실시하였고, T/F 구성을 통해서 종합적인 대책을 마련했습니다.

   한편, 정부 전체 차원에서도 사이버테러 대응체계를 강화하고 있고, 이와 관련해서 우리 금융 분야에서도 금융보안 대응체계를 강화할 필요성이 있다고 말씀드릴 수 있겠습니다.

   다음 페이지입니다.

   참고로, 지난 3월 20일 전산 사고 이후에 금융전산 종합점검 실시현황을 거기에 적시했습니다. 먼저, 사고발생 금융회사에 대해서 특별검사를 실시했고, 그 다음에 금융회사의 보안실태를 점검, 그 다음에 전 금융회사를 대상으로 금융 IT 보호업무 모범기준을 기준을 점검했습니다.

   아울러, 금융 전산사고 이후에 금감원 등 유관기관, 금융회사, 학계, IT 업계 등의 보안전문가로 구성된 금융전산 보안 T/F를 운영했습니다.

   이러한 점검 결과, 금융전산 위기대응체계 비율, 악성코드 유입경로 통제에 대한 미흡, 내부 통제의 소홀, 정보보호 인력 사기저하 등의 여러 가지 문제점들이 제기된 바 있습니다.

   이에 따라서 금년 이번에 발표하는 종합대책에서는 금융회사들이 자율적인 노력을 통해서 전산사고를 방지할 수 있도록 여러 가지 제도적으로, 기술적으로 보안관리체계를 강화하는데 중점을 두고 대책을 마련했습니다.

   두 번째로, 주요내용을 말씀드리겠습니다.

   주요내용은 몇 가지 차원에서 나누어서 말씀드리도록 하겠습니다.

   우선, 금융권 전체 차원에서 우리가 봐야 될 부분이 있고요. 그 다음에 금융회사의 전산시설이라든지, 인력 요건, 이런 부분에서 우리가 봐야 될 부분이 있고, 금융이용자 보호, 금융감독 차원에서 나누어서 말씀을 드리도록 하겠습니다.

   먼저, 금융전산 위기대응체계를 강화하는, 전 금융권 전반에 걸쳐서 위기대응체계를 강화하는 내용이 되겠습니다.

   첫 번째로, 금융전산 보안 컨트롤타워 역할을 강화하겠습니다.

   현재 금융권 사이버 위협에 대응해서 금융 보안 관련 여러 기관이 있습니다. 우리 금융위를 필두로 금융감독원이 있고요. 그 다음에 금융결제원, 코스콤, 금융보안연구원이 역할을 하고 있습니다.

   이러한 여러 기관 간에 그동안에 역할이 중복되거나 비효율적인 측면이 있다는 지적이 있어 왔습니다.

   특히, 취약점 점검이라든지, 침해사고 대응, 보안교육 등이 기관별로 중복되고, 사고원인 조사·분석팀과 같은 이러한 전문적이고 체계적인 위기대응조직은 부재한다는 문제점이 지적되어 왔고요.

   이에 따라서 우리 금융권을 중심으로 컨트롤타워 역할을 강화하기 위해서 금융위 주관 하에 금융전산 보안 관련기관이 참여하는 ´금융전산보안협의회´를 설치해서 운영하도록 하겠습니다.

   이러한 금융전산보안협의회에서는 이런 기관 간의 역할을 조정하고, 향후에 정책방안을 논의하는 역할을 하도록 하겠습니다.

   다음 페이지입니다.

   금융권 공동 백업전용센터 구축입니다.

   이 부분은 ´제3백업센터´라고 말씀드릴 수 있겠는데요.

   현재 전산시스템을 파괴하는 사이버 공격이나 지진, 테러 등 여러 자연재해에 따라서 전산센터가 파괴될 경우에 주요 금융정보가 손실될 우려가 제기되고 있습니다.

   특히, 우리 같은 경우에는 금융회사들의 주 전산센터와 재해복구센터가 대부분 서울·경기지역에 위치해 있다 보니까 잠재적으로 동일 재난지역에 위치해 있고, 그리고 대부분이 지상에 위치되어 있습니다. 그래서 이러한 여러 가지 자연재해나 이런 데에 취약하다는 그런 문제점이 지적되어 왔고요.

   그래서 이러한 기존의 재해복구센터 외에 사이버공격이나 지진, 테러 등에 대비해서 중요한 금융거래 정보를 저장해서 보관하는 금융권 공동의 백업전용센터를 지하벙커 형태로 구축하고자 합니다.

   우선, 은행권 중심으로 T/F를 구성해서 은행권부터 우선 추진하고, 은행권 추진 추이를 봐가면서 증권이나 보험 등 타 업권으로 확대할 계획입니다.

   해외에서도 미국이나 이스라엘 등 같은 경우에 폐광 등을 활용해서 정부, 민간에서 벙커 형태로 제3의 백업전용센터를 구축한 사례가 있습니다.

   세 번째로, 침해사고대응전담반 운영 등 위기대응능력을 강화하겠습니다.

   침해사고 분석 전담조직을 금융결제원이나 코스콤, 우리가 금융아이삭(ISAC)기관이라고 얘기하는데, 금융결제원이나 코스콤에 설치를 하고, 지능형지속위협(APT) 공격에 대비해서 훈련시나리오를 보완하고, 단말기 긴급복구체계를 마련토록 하겠습니다.

   다음으로, 보안 관제 및 정보공유를 전 금융권으로 확대하는 내용입니다.

   전자금융거래를 제공하는 금융회사는 결제원이나 코스콤 등 금융아이삭 기관에 모니터링 대상으로 편입을 의무화해서, 현재는 지금 은행, 증권을 제외한 제2금융권 중·소형사의 경우에는 금융아이삭의 모니터링 대상에 편입되어있지 않습니다만, 전 금융권에 대해서 앞으로는 실시간 모니터링 체계를 구축하도록 하겠습니다.

   아울러 개별 금융회사가 소집한 악성코드 정보나 취약점 정보 등을 전체 금융회사가 공유할 수 있는 체계를 구축해서 유사한 침해사례를 예방하도록 하겠습니다.

   다음 페이지입니다.

   두 번째로, 금융회사 차원의 대책을 말씀드리겠습니다.

   우선, 첫 번째 전자금융기반시설을 중심으로 금융전산 망분리를 의무화하겠습니다. 업무망과 인터넷망을 분리하는 내용인데요.

   이 부분은 전산센터와 본점 영업점을 분리해서 전산센터의 경우에는 아무래도 거기에 여러 가지 금융거래 DB가 보관되어 있고 이런 측면을 감안해서, 내년도 말까지 물리적으로 망분리를 의무화하고, 본점 영업점에 대해서는 단계적으로 망분리를 추진하도록 하겠습니다.

   이와 같은 망분리 가이드라인을 우리가 금년도 8월에 배포할 계획입니다.

   다만, 총자산, 임직원 수 등을 규모별로 이러한 망분리를 단계적으로 추진하고, 망분리 방식은 현재 물리적으로 망분리하는 방식이 있고, 논리적으로 하는 부분이 있습니다.

   물리적인 망분리를 PC를 업무용과 인터넷용하고 분리해서 하는 사용부분이 되겠고, 논리적 망분리는 소프트웨어를 통해서 같은 PC 내에서 업무용과 인터넷용으로 구분해서 사용하는 내용이 되겠습니다.

   두 번째로, 금융보안 관리체계 인증제도 도입입니다.

   우리 전자금융거래 법규에서는 최소한의 정보보안 수준을 규정하고 있습니다. 그래서 전체적으로 보면 금융회사들이 비교적 평준화된 보안수준을 유지하고 있습니다. 그래서 이런 부분에 대해서 앞으로는 금융회사별로 이러한 보안수준을 차별화하고, 보안수준 전체를 한 단계 업그레이드 시킬 필요가 있다, 이렇게 말씀드릴 수 있겠습니다.

   금융권 정보보안과 전자금융거래 업무특성 등을 반영해서 앞으로 금융보안 관리체계 인증제도를 도입해서 운영을 해 나가도록 하겠습니다.

   다만, 총자산이나 임직원 수, 전자금융거래 이용고객 수를 고려해서 일정규모 이상 금융회사에 대해서는 먼저 의무화하고, 이러한 대상을 향후에 시행추이를 봐가면서 확대해 나가도록 하겠습니다.

   참고로 국제적으로도 국제표준화기구나 이런 데에서도 정보보안과 관련해서 분야별로, 예를 들어서 금융이면 금융, 나머지 금융위에 다른 분야에 있으면 그런 산업분야별로 정보보호 관리체계 가이드라인을 별도로 마련해서 운영하도록 권고를 하고 있습니다.

   세 번째로, 금융전산시설에 관한 내부통제 강화가 되겠습니다.

   금융회사별로 IT보안조직이 있는데, IT보안조직에 내부통제의 실행력을 강화하기 위해서 금융회사 임직원이 정보보안 규정을 위반할 경우에는 제재할 수 있도록 근거를 금융회사 내규에 마련해서 시행하도록 하겠습니다.

   아울러 전산시스템을 운영하는 임직원들이 기존에는 금융회사에 대외적으로 공개되는 홈페이지 같은 공개형 서버에 대해서만 접근할 때 ID나 비밀번호 이외에 추가적인 인증을 의무화하고 있습니다만, 앞으로는 이러한 공개형 서버뿐만 아니라 내부망 전산시스템 등 다른 전산시스템에 접근할 경우에도 ID나 비밀번호 이외에 IC카드나 지문인식이나 OTP라든지, 이런 것을 통해서 추가적으로 인증을 거쳐야만 접근할 수 있도록 해서 이런 외부의 침입을 근본적으로 차단해 나가도록 하겠습니다.

   다음으로 전산시스템에 대해서 접근하는 기록에 대해서 상시 모니터링 하고, 분석을 통해서 IT 보안리스크를 줄여 나가도록 하겠습니다.

   다음으로 그룹웨어, 예를 들어서, 문서보관시스템이나 이런 전자금융거래와 직접 관련이 없는 그룹웨어나 홍보용 홈페이지 등 비금융 전산시스템에 대해서도 취약점 점검을 확대하고, 취약점 점검결과에 대해서 미진할 경우에는 이행절차를 마련해서, 그 이후에 실행을 하고 이행여부에 대해서 CEO한테 보고하는 그런 체제를 만들도록 하겠습니다.

   세 번째로, 금융회사의 보안조직과 인력의 역량을 강화하는 내용이 되겠습니다.

   정보보호 최고책임자(CISO)의 역할 및 독립성을 강화하도록 하겠습니다.

   현재 현황을 보면 CISO는 법으로 CISO를 별도로 선임하도록 되어 있고, 일정 규모 이상의 경우에는 임원으로 선임하도록 전자금융거래법에 규정이 되어 있습니다.

   다만, 금융회사들이 대부분의 경우에는 CIO가 CISO를 겸직하고 있습니다. 그러다 보니까 양자 간에 업무상 경계도 모호하고, 이해상충이 발생할 경우에 보안보다는 아무래도 효율성이 중시되는 측면이 있어서 보안 측면에서 미흡하지 않느냐 이런 지적을 많이 받아왔습니다.

   그리고 CISO 금융전산보안이라는 것이 아무리 대비를 열심히 한다고 하더라도 항상 위험에 노출될 수가 있고, 새로운 공격기법들이 계속 발달하기 때문에 아무래도 CISO의 위험부담이 크고, 사고가 발생할 경우에는 여러 가지 책임이 무거워서 여러 가지 고충이 제기되는 사례도 있습니다.

   그래서 앞으로 CISO에 대해서 일정 규모 이상의 금융회사에 대해서는 전임제도를 도입해서 겸직을 금지하도록 하겠습니다.

   예를 들어서, 자산 10조 원 이상이고 임직원이 1,500명 이상 금융회사의 경우에 현재 36개에 해당됩니다만, 이에 대해서 먼저 전임제도를 도입하고 앞으로 대상을 확대해 나가도록 하겠습니다.

   아울러, CISO에 대해서는 전임자일 경우에는 부당한 인사상의 불이익을 명시적으로 금지해서 업무에 전념할 수 있도록 하고, 책임에 따른 문책부담 해소를 위해서 임기도 최선으로 보장하는 방식을 도입하도록 하겠습니다.

   다음은 두 번째로, 보안인력에 대한 사기진작 방안입니다.

   해킹이나 정보유출 등 금융전산사고 때 금융회사 책임이 강화되어서 보안담당자의 고충이 가중되고 직무만족도가 저하되는 현실입니다.

   이에 따라서, 앞으로는 CEO 책임 하에 보안인력에 대한 사기진작 방안, 여러 가지 방식이 있을 수 있을 것입니다. 급여에 반영을 한다든지, 연수기회를 준다든지, 여러 가지 우리 금융당국의 포상을 실시한다든지, 이런 부분에 대해서 사기진작 방안을 마련해서 시행토록 권고하고, 아울러 정보보안 담당직원이 관련된 책임과 의무를 다했을 경우에는 금융위, 금감원의 제재나 금융회사 자체의 내규에 따른 제재가 있을 경우에 면책할 수 있는 근거를 마련하도록 하겠습니다.

   다음으로, 금융보안 전문인력 양성 및 교육 강화입니다.

   그동안에 누차 제기된 문제점입니다만, 금융보안 전문인력 양성과 임직원 보안 계획이 매우 중요합니다.

   그래서 이런 부분을 현재 금융보안연구원이나 금융결제원이나 코스콤 같은 금융아이삭(ISAC) 기관에서도 현재 역할을 다하고 있는데, 앞으로 금융보안연구원에 보안 교육기능을 강화해서 금융교육보안센터를 설치 운영하고 전문가 과정을 확대하도록 하겠습니다.

   아울러, 정보보호 석사과정을 개설한 학교도 있습니다. 그런 곳하고 금융회사 간에 협력체계를 확대해 나갈 계획입니다.

   다음 페이지입니다.

   네 번째로는, 금융이용자에 대한 보호, 금융감독 측면에서의 대응방안이 되겠습니다.

   첫 번째, 이상금융거래탐지시스템(FDS) 구축을 하겠습니다.

   현재 카드사에서 FDS라고 해서 이상거래탐지시스템을 운영하고 있습니다. 그래서 카드를 승인할 때 부정사용이 의심되는 거래에 대해서는 실시간으로 검색해서 분석해서 탐지하는 시스템인데요.

   이런 부분을 카드사뿐만 아니라 은행이나 증권 등으로 확대해서 구축하도록 하고, 아울러 이렇게 탐지된 정보에 대해서는 다른 금융기관이 공유할 수 있도록 해서 위험에 대비할 수 있는 체계를 구축하도록 하겠습니다.

   그리고 이 부분은 금융결제원이나 코스콤과 같은 금융아이삭(ISAC) 기관을 통해서 공유 시스템을 구축해야 될 사항이 되겠습니다.

   다음으로, 불법사이트 접속차단 및 이용자 교육 강화입니다.

   인터넷사업자의 불법위해사이트 차단시스템을 활용해서 국내 금융회사를 사칭하는 해외불법사이트로 접속되는 것을 차단해 나가도록 하겠습니다.

   이와 관련해서 현재 한국인터넷진흥원(KISA)과 우리 금융결제원 등과 지금 협의가 진행되고 있고, 그래서 국내 금융회사를 사칭하는 해외불법사이트로 접속됨으로써 보이스피싱이나 고의피해가 발생하지 않도록 대비해 나가도록 하겠습니다.

   아울러 영업점에서 이런 교육홍보자료를 배포하고, 그 다음에 인터넷뱅킹 등에 대해서 보안사고 예방법을 안내를 한다든, 그런 부분에 대해서 이용자 교육을 강화하도록 하겠습니다.

   세 번째로, 금융회사의 업무정지 제재기준 마련 등 검사감독을 강화해 나가도록 하겠습니다.

   안전조치를 위반할 경우에 지난번 5월에 전자금융거래법이 개정됨으로써 업무정지를 부과할 수 있는 근거가 마련되었습니다. 최대 6개월까지 업무정지를 할 수 있는데, 그 세부기준을 마련하고 아울러 중대한 전산사고가 빈발하는 금융회사에 대해서는 집중적으로 점검·관리해나가도록 하겠습니다.

   다음으로 금융지주사, IT 자회사, 금융자회사 간의 전산관리에 대한 역할 책임을 명백히 하고, 은행이나 증권회사 등 금융자회사를 검사할 때 지주사나 IT 자회사에 대해서 연계해서 검사를 실시하도록 하겠습니다.

   다음으로 CEO의 정보기술부문 계획 확인·서명을 통해서 전산사고 발생에 대한 CEO의 책임을 명확히 하도록 하겠습니다.

   지난 5월에 전자금융거래법이 국회에서 통과됨으로써 CEO의 이런 정보기술부문 계획에 대해서 확인해서 CEO가 확인을 하고 그것을 우리 금융위에 제출하는 관련법안이 통과되었습니다.

   그래서 CEO가 정보기술부문에 대해서 보다 더 관심을 가지고 앞으로 금융보안 수준을 강화하는데 더 관심을 가지고 하도록 유도를 하겠습니다.

   다음으로 정보유출 등 전산사고가 발생했을 때 해당 금융회사의 홈페이지에 공시하는 방안을 검토해 나가도록 하겠습니다.

   마지막으로 금융회사의 자율적 보안노력을 지원하기 위해서 스마트폰뱅킹이나 IT 신기술을 이용한 전자금융거래의 안전성 확보를 위한 보안가이드를 보안연구원이나 관련 유관기관을 통해서 제공하도록 하고, 관련기관을 통해서 중소형 금융회사에 대한 취약점 점검, 보안수준 진단을 할 수 있도록 지원해주고, 금융회사들이 자체적으로 보안진단을 할 수 있도록 금융 IT보안진단 수준에 대한 가이드라인을 만들어서 배포하도록 하겠습니다.

   마지막으로, 향후 계획을 말씀드리겠습니다.

   발표한 내용 중에 전자금융거래법 개정사항이 여러 가지가 있습니다. 그래서 이 부분은 우리가 금년 하반기에 법개정 내용을 연구검토를 해서 내년도에 법개정을 추진하도록 하겠습니다.

   CISO의 전임제라든지 인사상 불이익을 금지하는 내용 그리고 결제원이나 코스콤 같은 금융아이삭을 통해서 모든 금융회사가 모니터링이 되도록 하는 방식을 의무화한다든지 이런 내용들이 되겠습니다.

   다음으로 시행령 및 감독규정 개정사항에 대해서는 금년도 말까지 개정을 추진하도록 하겠습니다.

   예를 들어서, 침해사고대응전담반 운영은 시행령 개정사항이고, 감독규정으로 내년 말까지 되어 있는 전산센터 망분리, 그 다음에 전산시스템에 대한 접근통제를 강화하는 내용, 그리고 ***이나 홈페이지 같은 비금융 시스템에 대해서도 취약점을 점검하는 내용들을 감독규정에 반영할 사항입니다.

   다음으로 IT 보안업무 관련 가이드라인을 마련하겠습니다. 그래서 금년 하반기에 마련해서 추진하도록 하겠습니다. 전산망 망분리 가이드라인, 금융 IT 보안수준진단 가이드라인 등이 되겠습니다.

   제3백업전용센터의 구축이나 본점과 영업점에 대한 망분리 이런 부분은 예산도 소요되고 관련기관과 앞으로 추가적인 협의가 필요한 사항이고, 그래서 이 부분은 2014년 이후에 본격적으로 추진을 하도록 하겠습니다. 이와 관련해서 금년 하반기에 관련되는 협의는 진행하도록 하겠습니다.

   이상 발표를 마치겠습니다.

 

[질문 답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 처리했으니 양해 바랍니다.

<질문> ***

<답변> 말씀 감사합니다. 우선 금융전산보안협의회는 우리가 금융위 사무처장을 협의회 의장으로 지금 할 계획이고요. 그 다음에 원칙적으로 분기 1회 우리가 회의를 소집하고 필요에 따라서 그때그때 회의를 소집하는 형태로 운영하도록 하겠습니다.

   다음으로 이러한 여러 가지 대책추진과 관련해서 우리 금융위 인력문제, 조직문제 이런 부분을 지적을 해주셨는데요.

   일단, 우리가 금융보안협의회를 구성한 이유도 사실은 잘 아시다시피 우리 금융위의 최근에 전자금융팀이 전자금융과로 소폭 확대 개편되기는 했습니다만, 우리가 여러 가지 현안 이슈를 처리하는데 큰 제약이 있는 것은 사실입니다.

   그래서 우리가 금융보안협의회를 통해서 우리가 관련기관하고 협조체제를 더 강화하고요. 우리가 조직이나 인력문제에 대해서는 일단 현재 주어진 범위 내에서 최선을 다하도록 하겠습니다.

<질문> 이번에 5.17 관련된 예전에 규정이 있는데, 그것에 대해서는 이번에 변화가 없는 것인지 여부를 부탁드리고요.

   그리고 제가 알고 있기로는 TF에서 보안외주인력 부분들을 감축을 하고, 내부인력을 강화하는 방안도 논의가 된 것으로 알고 있는데, 인력운용방안에 대해서 보니까 내용이 빠져 있는 것 같은데 그 부분에 대해서는 어떻게 진행되고 있는지, 그리고 또 마지막으로 사실 농협이나 신한은행에 대한 제재 수위에 대해서 관심이 높은데, 아직까지는 지금 언급할 단계는 아니지만, 상당히 사회적인 이슈가 되었고, 처벌을 강화해야 된다는 목소리가 높습니다.

그래서 금융위 입장에서는 이 부분들을 앞으로 처벌 규정이나 이런 부분들에 대해서, 특히 농협이나 이런 부분들에 대해서는 어떻게 진행을 할 것인지.

그리고 마지막으로, 얼마 전에 국정원 쪽이나 이런 쪽에서는 금융권뿐만 아니고 범정부 차원에서 종합보안대책을 마련한 것으로 알고 있습니다.

그래서 미래부라든가, 그쪽과도 어떤 유기적으로 범정부 종합대책에 금융권의 대책이 녹아들어가는 것인지, 별도의 발표가 있는 것인지 답변 부탁드리겠습니다.

우선, 첫 번째 5.17 규정, 그 부분에 대해서 그동안에도 여러 가지 실행과정에서 여러 가지 얘기들이 있는 것으로 알고 있고요. 그래서 이번 대책에서는 일단 5.17 규정에 대해서는 특별히 이번에 변경하거나 그런 내용은 담겨 있지 않습니다.

다만, 우리가 지난 6월 25일에 금융정보처리를 외주를 할 수 있도록 금융정보처리 위탁규정을 제정해서 지금 금융거래와 관련된 전산체제처리를 외부에 위탁할 수 있는 근거를 마련했습니다. 물론, 외국의 금융회사의 경우에는 해외에 위탁하는 경우도 있을 수 있을 것이고요.

그래서 이제 그 부분이 국내 금융회사들의 경우에도 외부에 전산처리를 위탁할 수 있는 근거가 마련되었는데, 그래서 지금 말씀하신 인력과 관련해서 IT 인력 5%, 그 다음에 보안인력 5% 이렇게 되어 있지 않습니까?

그래서 그 부분이 이런 식으로 외부에 위탁했을 경우에는 그 부분을 어떻게 봐야 될 것이냐.

그래서 그 부분은 사실은 정부의 그러한 정책 내용이 바뀐 부분이 있기 때문에 우리가 5% 룰을 앞으로 어떻게 볼지, 그 부분에 대해서 현재 실무적으로 검토를 하고 있습니다.

그래서 그 부분은 우리가 업계와 협의를 거쳐서 합리적으로 우리가 규정을 시행하는 방안에 대해서 마련하도록 하겠습니다.

다음으로, T/F의 내부인력 하는 부분에 대해서는 아직 T/F에서 아직 구체적으로 논의된 것 같지는 않고요.

그 다음에 농협이나 신한은행, 지난 번에 3월 20일 전산사고 관련해서 제재 관련해서 말씀을 주셨는데요. 지금 현재 금감원에 잘 아시다시피 검사는 완료가 됐고요.

그래서 지금 현재 금감원 담당 부서에서 이런 검사결과에 대해서 정리를 하고, 이런 제재 관련된 내용을 현재 검토하고 있는 단계입니다.

그래서 아직 제재심의위원회에 지금 ***가 됐다든지, 그런 상황이 아니라서 아직은 관련 부서에 검토가 아직도 진행되고 있는 상태라서 그 부분은 조금 더 기다려주시면 감사하겠습니다.

다음으로, 지금 아까 저도 간단히 말씀드렸습니다만, 범정부 차원의 사이버안전대책을 지난 7월 초에 미래부를 중심으로 발표를 한 바 있습니다.

그래서 거기에 우리 금융위도 일원으로 참여해서 우리 금융전산과 관련된 내용도 일부 반영되어 있고, 그래서 지금 그 대책에 어떻게 보면 가장 중요한 골격은 전산보안과 관련된 기관들이 정부전체에 지금 여러 기관들이 하고 있는데, 그런 것에 대해서 예를 들어서 컨트롤타워 기능을 강화한다든지, 그런 부분이 되어 있고, 거기서도 사실은 금융전산 부분도 매우 중요한 사항이기 때문에 금융부분에 있어서도 전산보안을 강화하는 내용이 포함되어 있고요.

그래서 그 일환으로 사실은 오늘 대책을 발표하게 된 것이라는 점을 이해해주시면 감사하겠습니다.

아까 또 하나 제재 관련 규정 말씀하셨나요?

<질문> 국장님, 6월에 법안소위 하실 때 이종걸 위원이 공인인증서 폐지 관련해서 얘기해서 검한다고 얘기하셨다고 들었는데, 여기 내용에 공인인증서 관련한 내용이 왜 빠지게 된 것인지, 그리고 어떻게 하실 것인지 좀 여쭤볼게요.

<답변> 그것은 지난번에 법안이 제출되어서 우리가 법안소위에서 논의가 있었고요. 그래서 지금 그것과 관련해서 현재 공인인증서 제도와 관련된 개선방안에 대해서 현재 연구용역이 진행되고 있습니다. 9월까지 연구용역이 진행될 예정이고요. 그리고 이 부분은 국회에서도 매우 관심이 있는 부분이기 때문에 물론 업계에서도 마찬가지로 관심이 있겠습니다만, 지금 우리가 정기 국회가 열리면 이 부분에 대해서 본격적으로 논의가 될 것으로 예상을 하고 있습니다.

   그리고 우리도 이 부분에 대해서 그동안에 오랫동안 공인인증서가 활용이 됐습니다만, 그와 관련된 여러 가지 지적되는 문제에 대해서 우리도 내부적으로 검토를 하고 있습니다.

<질문> 제3백업센터 구축한다고 하셨는데 그 구축비용은 각 금융기관들이 분담을 해서 부담을 하게 되는 체제인지 궁금하고요.

   구축을 하게 된다면 어느 정도 예산이 소요되는지 그런 것과 망분리도 상당한 비용이 드는 것으로 아는데, 이렇게 개선안대로 추진이 될 경우에 금융권에서 어느 정도 비용이 소요가 될지 추정된 것인지 궁금합니다.

<답변> 제3센터 관련해서는 현재 지금 우리가 일단 은행부터 먼저 금년 하반기에 TF를 구성해서 제3센터 구축 관련 협의를 진행할 것이고, 은행들 같은 경우는 현재 금융결제원의 금융공동망 관련 은행들이 납부한 참가비가 있습니다. 그래서 그 부분이 지금 현재 예산으로 확보되어 있는 부분이 있기 때문에 그 범위 내에서 우리가 예산을 활용할 계획이고요.

   예산 규모에 대해서는 우리가 협의를 해 봐야 될 것 같습니다. 지금 단계에서 어느 정도 들어갈지 그 부분을 사전적으로 말씀드리기는 어려울 것 같고, 현재 당장 별도로 은행들한테 **를 한다든지 그런 상황은 아닙니다.

   그리고 망분리 예산인데요. 망분리 예산은 제가 보기에는 금융회사별로 다양한 것으로 파악을 하고 있습니다. 대형사 망분리 같은 경우에 그것이 기술적인 부분이 되겠습니다만, 어떤 새로운 전산시스템을 설립한다든지 이런 것이 아니기 때문에 그래서 망분리 예산 때문에 우리가 2013년 말까지 전산센터에 대해서는 망분리를 의무화 했는데, 예산 때문에 제대로 차질이 발생하거나 그럴 것으로는 생각하지 않습니다.

<질문> *** 안전조치 의무 위반 시 최대 6개월 업무정지 부과할 수 있다고 되어 있는데요. 이것이 그러면 금융 회사 전체에 대한 것인지 아니면 전산센터나 이런 것인지를 안전조치 의무 위반이라는 것 자체도 약간 모호한 것이 있어서 구체적으로 말씀해 주시면 좋겠고요.

   마지막으로는 금융자거래 검사 시 지주사 IT 자회사도 연계 검사 실시한다고 되어 있는데, 중앙회에 검사권이 없어서 이번에 계속 문제가 됐던 것 같은데 그 부분은 여전히 해결이 안 되는지 답변해 주시기 바랍니다.

<답변> 우선 제3센터 가시화시기에 대해서는 우선 우리가 은행권에 TF를 당장 구성을 해서 하반기에 논의할 것이고, 그래서 구체적인 방안이 협의가 되면 내년부터 단계적으로 시행 추진할 계획입니다.

   지금 시간소요도 우리가 아직 구체적으로 시간소요가 얼마가 될지 지금 당장 단정적으로 말씀드리기는 어려운데, 일단 하반기에 협의를 해서 어떤 방식으로 할지 결정하도록 하겠습니다.

   그리고 안전조치 위반했을 때 6개월 업무정지와 관련해서는 우리가 지금 현재 법에 업무정지의 근거에 대해서는 지난번에 전자금융거래법 개정했을 때 마련이 됐고요.

   그래서 그것에 대한 세부기준을 마련을 해서 우리가 제재규정에 반영해야 됩니다. 그 작업을 제가 하반기에 진행을 해서 제재규정을 만들 것이고, 그리고 업무정지를 할 때 업무정지 범위나 이런 부분에 대해서 아마 규정을 마련할 텐데, 업무 정지라는 것이 예를 들어서 전체 업무정지라기 보다는 부분적으로 예를 들어서, 인터넷 뱅킹이나 예를 들면 신규 고객가입을 일정 기간 동안 제한을 한다든지 그런 방안이 있을 수 있을 것 같습니다. 그런데 그 부분은 우리가 규정 작업을 할 때 검토를 해서 반영하도록 하겠습니다.

<질문> 망분리 관련해서 전에 취재하다 보면 은행들 중에 어떤 데는 망분리 했다는데도 있고 안 된 곳도 있고 하던데, 망분리가 지금 안 되어 있는 은행이 어디인지 궁금하고요.

   CISO 전임제도 관련해서 예시에 보면 10조원 이상 & 1,500명 이상 되어 있는데, 여기 있는 대로 가면 금융지주사랑 일부 자업계 카드사도 빠지는 것 같은데 이것이 기준이 어떻게 나온 것인지 36개사 명단을 공개해 주실 수 있는지 여쭤 보겠습니다. 

<답변> 망분리와 관련해서는 제가 안 된 은행을 말씀드리기가 면구스럽고, 된 은행을 말씀드리겠습니다. 지금 현재 전산센터와 본점, 영업점까지 전체가 다 망분리된 은행은 기업은행 하나이고요. 그 다음에 지금 은행의 경우에 본점에 대해서 전산센터에서 망분리된 기관이 전체 은행 17개 은행 중에서 9개 은행이 되겠고요. 그 다음에 본점의 경우에 망분리가 된 기관이 현재 기업은행 이외에 신한은행, 광주은행, 이렇게 있습니다.

그런데 이 부분은 지금 은행들의 경우에는 지금 현재 망분리가 되지 않은 은행들의 경우에도 지금 이번에 3월 20일 전산사고 이후에 망분리가 전산 사이버테러를 막는데 굉장히 중요하다는 부분에 대해서 충분히 인식하고 있어서 아마 서둘러서 망분리를 진행할 것으로 알고 있습니다.

그리고 CISO 전임자 기준을 말씀하셨는데, 지금 10조 원과 1,500명으로 하면 36개사가 되겠습니다. 36개 사가 되고, 그것은 아마 전체 우리 대상 금융회사 중에서 상위회사, 그래서 전체적으로 10~15%에 해당되는 회사들을 대상으로 CISO 전임제를 도입하는 것으로 일단 생각하고, 대략 우리가 기준을 맞춰보니까 상위 10~15% 정도에 우선 도입하는 것으로 하면, 기준이 이렇게 되고, 35개사 정도 되겠다고 추정이 되었습니다.

<질문> ***

<답변> 금융지사*** 예.

<질문> ***

<답변> 카드사도 전부 다 해당되는 것은 아니고요. 카드사도 해당되는 카드사가 있고, 기준이 안 되면 빠지는 회사도 있고 그렇습니다.

<질문> ***

<답변> 36개사로 명확하게 나와 있어서 그 부분은 우리가 시행령 개정 작업할 때 다시 검토를 하겠습니다.

<질문> 제가 기업은행과 방금 전에 통화를 했는데, 그쪽에서는 본점과 영업점 망분리가 안 되어 있다고 답변을 들었거든요. 전산센터 망분리는 이미 되어 있는데, 본점과 영업점 망분리는 이제 시작단계이고, 아직 공사에 들어가지도 못했다고 확인을 했는데, 어떻게 된 것인지 그것을 좀 파악해주시고, 방금 10분 전인가 통화를 했었거든요.

그리고 두 번째는, 물리적 망분리가 당연히 논리적 망분리보다 비용이 많이 들어갈 텐데, 물론 여기 자료에 보면, 은행이 망분리 방식을 선택할 수 있다, 그러면 비싼 것 할 리는 없을 텐데, 아무튼 만약에 전체 은행권이 물리적 망분리를 택하게 된다면, 정확히 얼마 정도 예산이 소요될 것인지 그 추계를 하셨을 텐데, 그것을 아까 멱황하게 국장님이 말씀 안 하셨서 숫자를 좀 말씀해 주십시오.

<답변> 기업은행의 경우에는 망분리가 끝난다는 말씀입니다. 그러니까 지금 전산센터의 경우에는 물리적 망분리가 되어 있고, 본점이나 영업점에 대해서는 논리적으로 망분리를 하고 있다는 얘기죠.

<답변> (관계자) ***

<답변> 그 다음에 예산의 경우에는, 우리가 이제 그 부분은 T/F 회의를 할 때 은행들 의견을 들었는데, 지금 망분리라는 것이 일반적으로 생각하면 엄청난 비용과 예산이 들어간다고 생각하실 수가 있는데, 모르겠어요. 다른 업권은 모르겠는데, 은행들 같은 경우는 망분리가 실질적으로 예산 상으로도 은행들이 감내하지 못할 정도로 그렇게 크게 비용이 들어가는 것으로는 인식을 하고 있지 않습니다.

그래서 그 부분은 우리가 앞으로 점검을 해나가도록 하겠습니다.

<질문> ***

<답변> 10억에서 40억? 전산센터만 할 경우에?

<질문> ***

<답변> (관계자) 본점하고 영업점까지 다 하는 것은 개략적으로 인원수에 PC가격 정도 곱해보시면 그 정도 수준으로, 실제로 그렇습니다. 그 정도 수준으로 곱해 보시면 되고요.

   인원이 각 은행별로 표차가 크기 때문에 이 자리에서 ‘얼마다’라고 정확히 말씀드리지는 않겠습니다. 센터의 경우에는 내년에 당장 내년 말까지 하는 것으로 되어있고, 나머지 본점 영업점은 지금 T/F에서 향후에 규정을 만들 때 추가적으로 검토를 해야 하는 사항이고, 기간도 충분히 봐야 되는 상황이기 때문에 지금 당장 정확한 금액은 말씀드리기는 곤란합니다.

<답변> 은행별로 비용이 예를 들어서 논리적 망 분리가 비용이 덜 들어간다고 해서 다 은행들이 논리적인 망 분리로 가지 않겠느냐, 그런 생각을 할 수도 있는데, 지금 은행들의 경우에도 판단도 하겠죠. 아무래도 논리적 망 분리보다는 물리적 망 분리가 금융보안측면에서는 더 확실하기 위해서 그런 부분을 감안해서 은행들이 판단할 것으로 생각합니다.

   고맙습니다.

<끝>