금융전산 보안 컨트롤타워 세운다

금융위 '금융전산 보안강화 종합대책' 선보여..내년 말까지 망분리 완료

[아시아경제 최일권 기자] 금융당국이 금융 전산사고의 선제적 차단을 위해 금융전산 보안 컨트롤타워를 세운다. 또 자산 10조 이상 임직원 1500명 이상 36개 금융사에 대해서는 정보보호최고책임자를 별도로 두도록 할 방침이다. 전산 안전조치 의무를 위반할 경우에는 최대 6개월의 업무정지를 부과하고 재해에 대비해 제3재해복구센터 설립도 의무화하기로 했다.금융위원회는 이 같은 내용을 주요 골자로 하는 '금융전산 보안강화 종합대책'을 11일 발표했다.이병래 금융위 금융서비스국장은 이날 "전산실태를 점검한 결과 위기대응체계도 제대로 갖춰지지 않은데다 악성코드 유입경로 통제도 안되는 등 문제점이 심각한 것으로 드러났다"면서 "금융보안체계를 강화할 필요가 있다"고 말했다.대책에 따르면 금융위는 다음달 금융감독원 등 금융권 전산보안 관련기관이 참여하는 '금융전산 보안 협의회'를 가동하기로 했다. 금융결제원, 코스콤, 금융보안연구원 등 유관기관의 역할 조정과 금융정보공유분석센터(ISAC) 모니터링 대상 기관 확대 여부, 금융전산 위기대응능력 강화 등의 역할을 맡게 된다.이와 함께 금융권 공동 백업전용센터 구축을 위한 태스크포스(TF)를 하반기 중 구성하기로 했다. 은행을 포함한 대부분의 금융기관들은 재해복구센터(제2백업센터)를 갖추고 있는데, 거래원장과 같은 중요 금융정보만을 별도로 저장·관리하는 금융권 공동 백업전용센터를 지하 벙커 형태로 갖출 필요가 있기 때문이다.전요섭 금융위 전자금융과장은 "중장기 과제인 만큼 효율적인 비용 투입 방안을 모색할 것"이라면서 "은행권부터 우선 추진하고 다른 업권으로 확대할 방침"이라고 말했다.그동안 문제점이 됐던 금융전산 망분리(업무망, 인터넷망)는 내년 말까지 전산센터에 한해 의무화하기로 했다. 본점과 영업점은 단계적으로 망분리를 추진하는데 금융위는 이와 관련한 가이드라인을 배포할 계획이다.망분리는 컴퓨터 2대로 분리하는 물리적 방법과 PC 1대를 소프트웨어로 나누는 논리적 방법이 있다. 금융사는 2가지 방법 중 하나를 선택할 수 있다.금융위는 각 금융사의 정보보안 및 전자금융거래 업무 특성을 반영한 금융보안 관리체계 인증제도도 도입한다. 총자산, 임직원수 등 일정규모 이상 금융회사에 대해서는 의무화하기로 했다. 금융위는 자산 10조원 이상이며 임직원이 1500명 이상인 금융사 상위 36개사에 대해 우선적으로 적용하는 방안을 검토중이다.전산시설의 내부통제 강화를 위해 정보보호최고책임자(CISO)를 별도로 두도록 했다. 이는 정보관리책임자(CIO)와는 별개다.전 과장은 "CIO와 CISO가 겸직하는 사례가 많은데 이해상충시 보안보다는 효율성이 우선돼 보안 약화 우려가 있다"고 말했다.또 책임에 따른 문책부담 해소를 위해 적어도 3년의 임기를 보장할 것을 각 금융사에 권유하기로 했다.전산시스템 운영자들에 대해서는 공개용 서버 뿐 아니라 모든 전산시스템 접근시 지문인식 등 추가 인증을 의무화하는 등 내부통제를 위한 금융사 내규 마련도 주문했다.이와 함께 금융위는 보안인력 사기를 높일 수 있는 방안을 각 금융사 CEO들에게 만들 것을 지시했으며 금융보안 전문인력 양성을 위한 금융보안교육센터도 세우기로 했다.금융위는 또 안전조치 의무를 위반했을 경우 최대 6개월의 업무정지를 부과하기로 했으며 정보기술부문계획을 CEO가 확인토록 해 책임을 명확하게 지우도록 했다. 정보유출 등 전산사고가 발생하면 해당 금융사 홈페이지에 공시하는 방안도 추진할 방침이다.금융위는 올해 말까지 침해사고 대응 전담반 운영이 담긴 시행령을 개정하고 CISO 전임제 도입 및 인사상 불이익 금지 등이 포함된 전자금융거래법 개정을 내년에 추진하기로 했다.최일권 기자 igchoi@<ⓒ세계를 보는 창 경제를 보는 눈, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>