이 누리집은 대한민국 공식 전자정부 누리집입니다.
1. 추진배경 및 방향
□ 국내 전자금융거래는 급격히 증가하여 전자금융 이용 비중이 2013년 3월 기준으로 87.7%*에 이르고 있음
ㅇ 인터넷뱅킹 가입자수는 8,940만명(중복합산), 모바일뱅킹 고객수는 4천만명(중복합산) 이며, 거래금액은 일평균 33조 804억원임
* 출처 : 2013년 1/4분기 국내 인터넷뱅킹서비스 이용현황(한국은행, ‘13.3월)
□ 그러나, 비대면 방식의 전자금융거래 이용수단의 발달로 금융소비자들의 이용 편의성은 높아졌지만, 보안위협도 함께 증가
ㅇ 최근 사이버공격은 여러 금융회사에 동시 다발적․반복적으로 발생하고 있어, 날로 대형화․지능화되는 보안위협에 대응하기 위해 금융보안에 대한 패러다임 전환(타율→자율, 비용→투자)이 필요한 시점
□ 이에 따라, 지난 3.20일 농협․신한은행 등 금융전산 사고를 계기로 금융권 전산보안 전반에 대한 실태점검과 TF 운영을 통해 종합적인 개선대책을 마련
ㅇ 또한, 국가차원*에서 사이버테러 대응체계를 강화하고 있는 바, 금융분야도 금융보안 대응체계 강화 필요
* 관계부처 합동으로「국가 사이버안보 종합대책」을 마련하여 발표(7.4일)한바 있음
< 참고 : 3.20 전산사고 이후 금융전산 종합점검 실시현황 >
‣ 사고발생 금융회사에 대한 특별검사 실시(‘13.4~5월)
‣ 유관기관 합동 점검반을 편성하여 금융회사 보안실태 점검 (‘13.4~5월)
‣ 全 금융회사 대상「금융IT 보호업무 모범규준」점검(‘13.4~5월)
‣ 금융전산 사고 이후 금감원 등 유관기관, 금융회사, 학계, IT업계 등의 보안전문가로 구성된「금융전산 보안 TF」를 운영(‘13.4~7월초)
⇒ (점검결과) 금융전산 위기대응체계 비효율, 악성코드 유입경로 통제 미흡, 내부통제 미흡, 정보보호 인력 사기저하 등 문제점 제기
□ 금번 종합대책은 금융회사가 자율적인 노력을 통해 전산 사고를 방지할 수 있도록 제도적․기술적 보안관리 체계 강화에 중점
2. 주요 내용
1) 금융전산 위기대응 체계 강화
(1) 금융전산 보안 컨트롤타워 역할 강화
ㅇ (현황) 금융권 사이버위협에 대응한 금융결제원․코스콤․금융보안연구원 등 금융보안 관련 기관간 역할이 중복되는 등 비효율 노정*
* 취약점 점검, 침해사고 대응, 보안교육 등이 기관별로 중복되고, 사고원인조사․분석팀과 같은 전문적이고 체계적인 위기대응조직은 부재
< 금융전산 보안 협의회 주요 역할 >
① 금융결제원, 코스콤, 금융보안연구원 등 기관간 역할 조정․정립
② 금융ISAC* 모니터링 대상기관 확대 및 기능 효율화 협의
③ 금융전산 위기대응능력 강화 및 금융보안 전담 조직체계의 효율화 방안 협의
ㅇ (개선) 금융위의 컨트롤타워 역할을 강화하기 위해 금융위 주관하에 금융권 전산 보안 관련기관이 참여하는「금융전산 보안 협의회」를 설치
* ISAC : Information Sharing & Analysis Center(정보공유분석센터, 금융결제원․코스콤)
(2) 금융권 공동 백업전용센터 구축(제3백업센터)
ㅇ (현황) 전산시스템을 파괴(삭제)*하는 사이버공격과 지진․테러 등에 의한 전산센터 파괴시 중요 금융정보가 영구 손실 될 우려
* (사례) OO은행 DB삭제(2011년도), OO은행 DB삭제 시도(2013년도)
※ 전산센터․재해복구센터가 잠재적 동일 재난지역(서울․경기, 13개 은행) 및 지상 건물에 위치
ㅇ (개선) 기존 재해복구센터(제2백업센터) 외에 사이버공격, 지진, 테러 등에 대비하여 중요 금융정보를 저장․보관하는 금융권 공동 백업전용센터를 지하 벙커*형태로 구축
※ 은행권 공동 TF 구성, 은행권 우선추진 → 타 업권으로 확대
* 해외사례 : 폐광 등을 활용하여 정부․민간에서 벙커형태로 구축(미국, 이스라엘)
(3) 침해사고 대응 전담반 운영 등 위기대응능력 강화
ㅇ 침해사고분석 전담조직을 금융ISAC내에 설치하고, APT공격* 등에 대응한 훈련 시나리오 보완, 단말기 긴급 복구체계 마련
* APT(Advanced Persistent Threat) 공격: 특정 목적을 정해두고 해킹기법을 이용하여 장기간 지속적으로 공격함으로써 정보유출․시스템 파괴 등을 일으키는 공격
(4) 보안관제 및 정보공유 전 금융권 확대
ㅇ 전자금융거래를 제공하는 금융회사는 금융ISAC 모니터링 대상에 편입을 의무화하여 전 금융권 실시간 모니터링 체계 구축
* 현재 은행․증권을 제외한 제2금융권 중․소형사의 경우 편입률 저조
- 개별 금융회사가 수집한 악성코드 정보, 취약점 정보 등을 전체 금융회사와 공유할 수 있는 체계를 구축하여 유사 침해사례 예방
2) 금융회사의 전자금융기반시설 보안 강화
(1) 금융전산 망분리(업무망↔인터넷망) 의무화 및 가이드라인 배포
ㅇ 전산센터는 ‘14년말까지 물리적 망분리*를 의무화하고 본점‧영업점*은 단계적으로 망분리를 추진(망분리 가이드라인 배포)
* 총자산, 임직원 수 등 규모별로 단계적으로 추진하되 망분리 방식은 선택 가능
※ 물리적 망분리 : 통신망을 물리적으로 업무용과 인터넷용으로 분리하여 PC 2대 사용
논리적 망분리 : PC1대를 S/W적으로 분리하여 업무용과 인터넷용으로 구분하여 사용
(2) 금융보안 관리체계 인증제도 도입
ㅇ 전자금융거래법규에서는 최소한의 정보보안 수준을 규정함에 따라 평준화된 보안수준을 금융회사별로 차별화하고 상향시킬 필요
ㅇ 금융권 정보보안 및 전자금융거래 업무 특성(인터넷뱅킹 등)을 반영한 금융보안 관리체계 인증제도를 도입*
* 총자산, 임직원수, 전자금융거래 이용고객 수 등을 고려하여 일정규모 이상 금융회사 의무화
※ 국제표준화기구(ISO)도 산업분야별 정보보호관리체계 가이드라인 마련중
(3) 금융전산시설 내부통제 강화
ㅇ IT보안 조직의 내부통제 실행력 강화를 위해 정보보안 규정 위반시 제재 근거를 금융회사 내규에 마련․시행
ㅇ 전산시스템 운영자들이 홈페이지 등 공개용 서버 뿐만아니라 모든 전산시스템 접근시 추가 인증(IC카드, 지문인식, OTP 등)을 의무화
ㅇ 전산시스템 접근기록 상시 모니터링 및 분석을 통해 IT보안 리스크 통제조치 시행
ㅇ 그룹웨어*․홍보 등 非금융시스템까지 취약점 점검을 확대하고, 취약점 점검결과에 대한 이행절차를 마련하여 이행여부를 CEO에 보고
* 조직 구성원들의 업무지원을 위해 서류작성, 결재, 문서보관 등을 지원하는 시스템
3) 금융회사의 보안조직․인력 역량 강화
(1) 정보보호최고책임자(CISO)의 역할 및 독립성 강화
ㅇ (현황) CIO가 CISO*를 겸직함에 따라 업무상 경계가 모호하고, 이해상충시 보안보다 효율성이 우선되어 보안 약화 우려
* CIO : Chief Information Officer, CISO : Chief Information Security Officer
- CISO는 권한에 비해 사고 발생시 책임이 무거워 고충 제기
ㅇ (개선) 일정규모 이상 금융회사는 CISO 전임제도(겸직금지) 도입
* (예시) 자산 10조원이상 & 임직원 1,500명이상 금융회사(36개사 해당)
- CISO는 전임자의 경우 부당한 인사상의 불이익을 금지하고, 책임에 따른 문책부담 해소를 위해 최소한의 임기 보장
※ 준법감시인 : (법령) 인사상 부당한 불이익 금지, (모범규준) 임기 3년 이내 자율 결정
(2) 보안인력 사기진작 방안
ㅇ (현황) 해킹, 정보유출 등 금융전산 사고시 금융회사 책임이 강화되어 보안담당자 고충이 가중되고 직무만족도 저하
ㅇ (개선) CEO책임하에 보안인력 사기진작 방안을 마련‧시행토록 권고
- 책임과 의무를 다한 정보보안담당 임직원에 대해서는 금융당국 제재와 금융회사 자체 내규에 의한 제재시 면책 근거 마련
(3) 금융보안 전문인력 양성 및 교육 강화
ㅇ 금융 정보보안 전문인력 양성과 임직원 보안 교육을 위해 금융보안 연구원에 「금융보안교육센터」를 운영하고 전문가 과정 확대
ㅇ 정보보호 석사과정을 개설한 대학원과 금융회사간 협력체계 구축 유도
*자세한 내용은 첨부파일을 참고하시기 바랍니다.