은행 등 금융사 직원이 PC에 고객정보를 저장할 때는 의무적으로 암호화를 해야 한다. 금융권의 무선랜을 이용한 금융거래는 원칙적으로 차단된다.
금융감독원은 4일 이 같은 내용을 골자로 한 ‘2009년 IT 및 전자금융 중점 감독·검사 방향’을 발표했다. 지난해 금융권에서 해킹 등에 의한 정보유출 사고가 발생한 데 따른 후속 조치다.
이 조치에 따르면 고객정보 유출 방지를 위해 금융사 직원이 고객의 주민등록번호·계좌번호·비밀번호 등 정보를 전송하거나 PC에 저장할 때는 반드시 암호화해야 한다. 금감원 측은 단순히 데이터베이스(DB)에 들어가 고객정보를 보는 때에는 상관이 없지만 고객정보를 분석하는 등의 경우에는 PC에 암호화 프로그램이 설치돼 있어야 한다고 설명했다.
지난해 주요 시중은행 무선랜 해킹 후속조치로 금융사 무선랜을 이용한 예금 입출금, 자금이체 등 금융거래는 원칙적으로 금지하기로 했다. 단지 불가피한 때에는 무선랜에 대한 불법 접속시도 행위를 예방할 수 있도록 사용자 인증, 암호화, 불법 접속 감시·차단시스템 등 보안시스템 구축을 의무화했다.
금융사의 외주업체 상주직원이나 내부직원의 서버에 대한 접근 통제도 강화했다. 금감원은 외주업체 직원의 DB 접속 권한을 제한하고 정보 외부반출 통제 등 자료유출 경로 차단을 위한 대책 수립을 요구했으며 내부직원의 직무에 따라 서버 접근권한을 차등화하도록 했다.
금감원은 또한 전자금융 사고에 신속하게 대처하기 위해 시스템(EFARS)을 3월 구축한다. 사고 발생시 신고부터 관련 금융회사 전파까지 모든 과정을 온라인화하고 조치 방법도 세분화해 대응시간을 최소화한 것이 핵심이다.
김인석 금감원 부국장은 “지난해 해킹 사례에서 알 수 있듯이 금융사에서 정보 유출이 발생했을 경우 개인 프라이버시 침해가 될 수 있고 무엇보다 유출 정보로 인해 고객 자금이 인출될 우려가 있다”며 “올해 이 부분에 대해 현장 검사 등을 거쳐 집중적으로 감독을 할 것”이라고 말했다.
김준배기자 joon@etnews.co.kr