금융감독규정 전면 개정안, IT모범규준, 개인정보보호법 등 대비 시급

현대캐피탈 고객정보유출, 농협 전산망마비 등 올해 들어 잇따라 일어난 보안 사고를 계기로 금융당국이 보안사고 근절에 칼을 빼들었다. IT보안 감독 및 제도 개선을 추진하고 있는 것이다. 금융당국의 이러한 움직임은 현재 업계에 큰 파장을 일으키고 있다. 금융사는 금융감독규정 전면 개정안, IT모범규준, 전자금융거래법 개정, 개인정보보호법 등에 종합적인 대비에 나설 수밖에 없는 입장이다. ▲IT인력은 전체 직원의 5%이상, 정보보호인력은 IT인력의 5%이상, 정보보호예산은 전체 IT예산의 7%이상을 확보해야 하고 ▲외부 위탁 인력은 50%를 넘지 말아야 하며 ▲정보보호최고책임자(CISO)를 지정해야 한다. 보안사고 시 제재기준도 한층 강화되어 앞으로 금융사들은 정보유출 사고나 시스템 마비 사고를 일으켜 고객들에게 피해를 입힐 경우 CEO 문책, CEO 해임권고 등 막중한 책임을 지게 된다. 또한 금융감독원의 금융기관 경영실태평가 시 과거 2~3%밖에 차지하지 않았던 IT부분이 내년부터 20%까지 반영된다. 금융권을 대표하는 국내 주요 은행들의 IT 및 보안 담당자들을 만나 금융권 제도 개선에 따른 업계 이슈사항 및 대응 방안, 내년도 보안 투자 계획 등에 대해 살펴본다.

1부 은행권 보안투자 현황 및 계획

"2012년 내부통제 강화 및 개인정보보호에 역점"

보안 예산 및 인력 투자 기존보다 2배 이상 늘어날 것으로 전망

컴퓨터월드가 국내 주요 은행 7곳을 대상으로 조사한 결과, 은행들은 내년도 IT보안 투자로 내부통제 강화와 개인정보보호 계획을 세우고 있는 것으로 나타났다.

은행들은 농협의 전산망 마비사태 이후 IT모범규준에 따른 내부통제 강화에 집중하고 있다. 올해는 출입통제 강화를 비롯해 운영자들의 공용 계정을 개인계정화 하고 서버 계정관리, 패스워드 관리, 접근통제 및 로그관리, OTP시간 단축, USB통제 등 IT인력들에 대한 시스템 개발 및 접속 시 통제를 일제히 대폭 강화했다. 뿐만 아니라 일부 은행은 유해사이트 및 비업무용 사이트를 차단하고, 첨부파일에 대한 로그관리를 철저히 하기 위해 외부 메일을 차단하는 등 내부통제를 개선했다.

은행 관계자는 "보안USB를 도입해 쓰기 기능은 안 되고 읽기만 되게 했다. 만약에 쓰기 기능이 필요하다면 부서장이나 팀장의 결재를 받아야 쓸 수 있고 이 경우에도 10분만 허용하고 더 이용하려면 재결재를 받아야 하므로 번거롭기 때문에 직원들의 USB 사용 자체가 줄게 됐다"고 전했다.

내년에도 올해에 이어 내부통제 강화에 중점을 둔다고 밝힌 곳이 많았다. 전산센터에 검색대 설치, 각종 반·출입 통제 강화 외에도 PC단으로 내부통제 영역을 확대한다는 것. 특히, 개인정보보호와도 맞물려서 데이터유출방지시스템(DLP)를 활용해 메일, 메신저, 네트워크 구간, PC단 통제를 한층 강화한다는 계획이다.

DLP, VDI 등 활용한 PC단 통제 강화

은행들 대부분이 내년에는 개인정보보호법 대응을 위해 개인정보 유·노출 탐지체계 구축, 데이터유출방지(DLP)솔루션 도입, PC 내 개인정보탐지시스템 도입, 연수원·콜센터 등 고객정보유출 소지가 있는 장소 및 전산 인력들에 대한 데스크톱가상화기술(VDI) 기반의 망 분리 추진, 식별 번호에 대한 DB암호화 등에 투자를 할 예정이다.

은행들 가운데는 이미 개인정보보호법 관련 고객정보 유출 현황 파악을 위한 프로젝트를 진행했거나 진행 중인 곳도 있다. 개인정보를 얼마나 보유하고 있는지 현황을 파악해 관리하고 유출 시 통제하거나 승인 프로세스를 거치게 한다는 것.

은행 관계자는 "금융회사다 보니 PC단에 고객정보가 없을 수가 없다. 텔러부터 지점장 등 모든 사람들이 개인정보 취급자이다"라며"거래화면, 동의서 받는 부분 등 개인정보보호 영역이 무척 방대할 뿐만 아니라, 비즈니스 및 정책 분석과 함께 기술적인 부분의 커버가 동시에 이뤄져야한다"고 설명했다.

한편, 은행권에서는 여전히 내부망에 저장된 중요 개인정보에 대한 DB암호화에 대해 적극적인 움직임을 보이고 있지 않다. 암호화가 상위 보안 수단임을 인지하고 있지만 서비스 리스크와 막대한 비용을 감수하면서 진행 할 정도로 효율성이 있느냐에 대해 회의적인 시각을 보이고 있다.

은행들은 DB암호화에 상응하는 보안 대책을 이미 마련해놓고 있으며, 은행 서비스의 가용성에 영향을 크게 미칠수 있기 때문에 '해도 같이 하고, 안 해도 같이 안 한다'는 고도의 눈치작전을 취하고 있다.

은행의 보안담당자는 "DB암호화는 은행 거래 시 일어나는 트랜잭션과 직접 관련이 있어서 금융위를 통해 이행하기 어렵다고 전달했다. 은행권의 경우 DB암호화 보다 서비스 가용성을 고려해 채널 최소화 및 통제 방안으로 가는 게 맞다"며 "이미 DB접근통제를 하고 있고 사전승인 등 DB보안 체계를 갖추고 있다. 특히, 클라이언트단으로 데이터가 내려왔을 때가 정보유출 우려가 큰데 PC내 영역보안을 적용했고 밖으로 나갈 때 암호화해 내보내고 있다"고 말했다.

이 밖에도 일부 은행에서는 위험요소, 해킹기술이 계속 발전함에 따라 접점 채널인 전자금융에 대한 지속적인 보안 투자를 할 계획이며 대외 모바일 서비스를 강화하기 위한 신규 디바이스에 대한 정책, 모바일 비즈니스 요구 증대에 따른 무선침입방지시스템(WIPS) 도입 등 무선보안 강화 방안을 현재 고민 중이라고 밝혔다.



<이하 상세 내용은 컴퓨터월드 12월 호 참조>

저작권자 © 컴퓨터월드 무단전재 및 재배포 금지