정보보호최고책임자 임기 보장·이상금융거래탐지시스템 구축
-
금융위원회가 금융사를 대상으로 보안 강화를 위한 행정지도에 나섰다. 금융사들은 앞으로 전산 백업전용센터를 의무적으로 구축해야 한다.
또 정보보호최고책임자(CISO)의 임기를 보장해야 하며 비정상적인 금융 거래를 조기에 탐지하고 차단하는 시스템을 마련해야 한다.
이에 따라 각 은행·카드·보험사 등 금융사들은 금융위원회가 지도한 IT 부문 보호 업무 이행 지침을 이행해야 한다. 지침을 어기면 향후 금융감독원 검사를 통해 징계를 받게 된다.
◇ 백업전용센터 구축… '삼성카드 사건' 재발 막아야
이번에 마련된 지침에 따르면 금융사는 주 전산센터에서 발생한 위험의 영향을 받지 않는 곳에 재해복구센터를 확보해야 한다.
주 전산센터와 재해복구센터에서 발생할 수 있는 위험에 효율적으로 대처할 수 없을 때에는 별도의 백업전용센터를 구축하는 방안을 마련해야 한다.
주 전산센터와 재해복구센터에서 문제가 발생하더라도 이를 대체할 수 있는 제3의 센터를 구축해야 한다는 것이다.
지침은 또 장애 복구 시간을 최소화하고, 영업점 단말기 등의 대규모 전산 장애에 대비해 긴급 복구용 파일 등 전산 자원을 사전에 충분히 확보하도록 했다.
이는 삼성SDS 전산센터 화재로 삼성카드 서비스가 일주일간 서비스 장애를 겪는 등 복구 시간이 길어진 데 따른 것이다. 이렇게 오랜 기간 고객 서비스가 복구되지 않은 경우는 삼성카드가 처음이었다.
이에 따라 금융당국은 '재해복구센터 구축·운영 가이드라인'을 연내 각 금융사에 배포해 전산센터 사고 대비를 강화할 계획이다.
◇ 이상거래 징후, 즉시 탐지토록
금융위는 모든 금융사에 이상금융거래탐지시스템 구축도 요구했다.
국내의 컴퓨터 등에서 전자금융 거래를 한 뒤 곧바로 중국 등 외국에서 거래를 시도하는 경우나 다수의 계정으로 단시간 내에 전자금융 거래가 발생하는 등 이상거래가 발생한 경우, 이를 즉시 탐지하고 분석해 대응할 수 있는 시스템을 구축하라는 것이다.
이상 징후를 포착한 금융사는 정상 거래 여부를 확인하고 필요시 지급 정지 등의 조치를 취하도록 했다.
◇ ‘정보 최고 책임자’ 업무 독립성 보장해야
금융위는 이와 함께 정보보호 업무의 독립성을 보장하고 연속성을 유지하기 위해 CISO의 임기를 보장하도록 하고, 인사상 불이익도 당하지 않도록 했다.
임기 중 사망·퇴직 등으로 직무 수행이 곤란하거나 불가피한 사유가 있는 경우가 아니면 임기가 끝나기 전에는 교체하지 말라는 취지다.
금융위는 CISO에 대한 임기를 명시하지는 않았지만, 업무의 연속성 등을 위해 2~3년의 임기를 지도할 방침이다.
금융사들은 이 밖에 전자금융 기반시설에 대한 취약점 평가시 교육·홍보용 홈페이지나 이메일 등 내부 업무 처리를 위한 시스템도 평가 대상에 포함시키도록 했다. 이런 홈페이지 등을 통한 침해 사고가 전자금융 기반 시설로 퍼질 가능성이 있기 때문이다.