금융당국, 금융권 직접 '진두지휘'
■ 금융감독원 "2010 금융보안 관리감독 더욱 강화"인터넷뱅킹의 하루 평균 이용금액은 30조원, 이용자 수 5700 만 명. 이제 금융거래에 있어 인터넷뱅킹은 생활에 매우 밀접한 위치에 놓였다. 전자상거래 규모도 2008년 기준 621조9000억원에 달하는 등 이제 클릭 한 번으로 다양한 물품을 구매할 수 있는 시대가 됐다.
그러나 인프라의 고도화와 함께 이를 타깃으로 한 정보보호 위협도 증가하고 있다. 인터넷뱅킹 거래를 노린 중국 발 아이디 해킹, 혹은 신용카드 위ㆍ변조 같은 개별적 범죄에서 전자금융 서비스 자체를 마비시키는 DDOS 등 국가적 테러수준으로 강도가 높아지면서 금융감독 당국을 필두로 금융권의 보안이 주요 이슈가 되고 있다.
금감원은 올해에도 온라인 뱅킹의 자산과 정보를 은닉하고 탈취하기 위한 공격이 기승을 부리고 악성코드를 활용한 사이버테러나 범죄가 다양화, 고도화 될 것으로 예측하고 있다. 이에 따라 그 동안 금융보안에 미온적 대응을 해온 금융감독당국이 태도를 바꾸고 적극적으로 금융보안에 대한 관리감독에 나섰다.
지난해 금융감독원은'금융부문 DDOS 공격대응 종합대책'을 발표 하는 등 2010년부터 본격적으로 대책마련에 들어간 상태다. 우선 인터넷 기반 전자금융거래서비스를 제공하는 모든 금융회사는 DDOS 공격대응 시스템을 의무적으로 갖추도록 했다.
또한 금융기관에 최고정보보호책임자(CSO)를 의무적으로 영입해야 한다. 금융ISAC, 금융보안연구원 등에'금융정보보호 아카데미'등 10여 개 교육훈련과정을 개설해 연간 2천 여명의 금융정보보호 전문가를 양성할 계획이다. 인터넷 기반 전자금융거래서비스를 제공하는 모든 금융회사는 DDOS 공격대응 시스템을 도입해 모니터링하고, 연 1회 이상 모의훈련을 실시해야 한다. 기술적 대응역량 제고는 은행은 물론 증권, 보험, 저축은행 등 모든 금융사들이 지난해 말까지 DDOS 공격대응 시스템을 도입하도록했다.
아울러 매년 '금융정보보호계획서'를 수립해 이사회 등의 승인을 받아야 한다. IT감독도 대폭 강화된다. 금융회사의 사이버침해대응 능력을 중점 검사항목으로 지정한다. 금감원은 지난해 4분기 은행에 대한 디도스 공격대비 모의실험을 마치고 올해 상반기중 증권사와 저축은행을 대상으로 DDOS 공격대비 모의훈련을 실시하고 실효성을 검증한다는 방침이다.
<이하 컴퓨터월드 2010년 1월 호 참조>
차정석 기자
cjs@itdaily.kr