국제협력

홈으로 정책마당 정책일반 국제협력

인쇄하기

□ 핀테크, 금융권, 유관기관, 금융당국 등은 금융 마이데이터 전면시행(’22.1.1일)에 대비하여

ㅇ 금융위원회 금융혁신기획단장 주재로 ’21.12.23.(목) 14시 IT리스크 합동훈련을 실시하여 마이데이터 서비스 관련 IT리스크 대응 시스템을 점검

개요

□ 핀테크, 금융권, 유관기관 및 금융당국 등은 12월 23일 마이데이터 전면시행에 앞서 IT리스크 합동훈련을 실시하였습니다.

<마이데이터 전면시행에 따른 IT 리스크 합동훈련 개요>

□ 일시/장소 : 2021.12.23.(목) 14:00∼15:30, 비대면(Zoom)

□ 훈련내용 : 마이데이터 서비스 전면시행 이후 발생할 수 있는 정보유출, 전산장애 등 IT리스크에 대한 기관별 대응체계 점검

□ 참가기관 : 금융위원회, 금융감독원, 금융보안원, 신용정보원, 금융결제원, 기업은행, 하나은행, 카카오페이, 네이버 등

마이데이터 보안강화를 위한 그간의 노력

□ 핀테크, 금융권, 유관기관 및 금융당국 등은 안전한 마이데이터 서비스 이용을 위하여 그간 다양한 보안장치를 마련해 왔습니다.

➊ 마이데이터 허가시 망분리, 침입차단·방지시스템 등 엄격한 개인정보보호·보안기준을 충족하는지 심사하고 있습니다.

구 분	주요 내용
보안 시스템	∎ 침입차단·탐지시스템, 이동식저장장치 통제 프로그램, 바이러스 및 스파이웨어 탐지 및 백신프로그램 마련 등
암호화 처리	∎ 안전한 데이터 암호화 처리방침 및 암호처리 시스템 구축 등
백업·복구	∎ 백업 및 복구시스템, 백업 대책 등
기타	∎ 망분리 등 전자적 침해행위 방지대책 ∎ 비상계획, 재해복구 훈련 실시 체계 ∎ 물리적 보안설비 ∎ 외부접속 시 안전한 접속·인증수단 등

➋ 아울러, 허가 이후에도 신용정보법령에 따라 철저한 기술적·물리적·관리적 보안대책을 마련하여 시행하여야 합니다.

[ 기술적ㆍ물리적ㆍ관리적 보안대책 ]

기술적·물리적 보안대책

관리적 보안대책

∎ 접근 통제

∎ 접속기록의 위ㆍ변조방지

∎ 개인신용정보의 암호화

∎ 컴퓨터바이러스 방지

∎ 출력ㆍ복사시 보호조치 등

∎ 신용정보관리·보호인 지정

∎ 개인신용정보의 조회권한 제한

∎ 개인신용정보의 이용제한 등

➌ 마이데이터 사업자는 연 1회 이상 서비스 및 전산설비에 대한 기능적합성 심사* 및 보안취약점 점검** 등을 의무적으로 받아야 합니다

* (기능적합성 심사) 마이데이터 서비스 프로그램의 신용정보법령상 행위규칙 준수 여부, 표준API 규격 적합성 등을 서비스 출시 전 금융보안원에서 심사

** (보안취약점 점검) 마이데이터 서비스 시스템 일체에 대해 평가전문기관 등이 금융보안원 점검기준에 따라 연 1회 이상 보안취약점 점검 수행

금번 훈련의 주요 내용

□ 관계기관, 전문가 등이 참여한 가운데 정보유출, 전산장애 등 다양한 위기상황 가능성에 대비하고 사고를 예방하기 위해 관련 사고예방·대응체계를 밀도있게 종합 점검하였습니다.

ㅇ API 방식의 마이데이터 전면시행에 따른 트래픽 증가에 대비하여 전면시행 전까지 관련 전산자원을 보다 확충하고

ㅇ 각종 IT 리스크 발생시의 신속한 대응 프로세스(Contingency Plan)를 마련하여 전면시행을 차질없이 준비하겠습니다.

구 분	주요 점검내용
마이데이터 사업자	∎ 마이데이터 서비스 보호대책 (망분리, API 위변조 대응체계 구축 등) ∎ 해킹, 모럴해저드(내부자)로 인한 정보유출 발생시 대응 시스템 등
정보제공자	∎ 정보제공자 정보보호 대책 ∎ 해킹 등으로 인한 정보유출 사고 발생시 대응 시스템 등
중계기관	∎ 마이데이터 중계기관 운영체계 및 장애 대응 시스템 (서버이중화, 재해복구시스템 운영 등) ∎ 중계기관 디도스 공격 발생시 대응 시스템 등
본인인증기관	∎ 인증기관 정보보호현황 및 인증서비스 제공시 침해사고 대응체계 등

기대효과

□ 이번 IT리스크 합동훈련을 통해 전체 마이데이터 참여기관 간 체계적인 리스크 대응체계를 마련하여 더욱 편리하고 안전한 마이데이터 서비스가 제공될 수 있을 것으로 기대됩니다.

목록으로