[Industry Review]정보보호 컴플라이언스-금융·공공기관 분야

 금융감독원의 ‘2009년 IT 및 전자금융 중점 감독·검사 방향’에 따라, 앞으로 은행 등 금융사는 무선랜을 사용할 때 불법 접속시도 행위를 예방할 수 있도록 사용자 인증, 암호화, 불법 접속 감시·차단시스템 등 보안시스템을 구축해야 한다.

 또 은행 등 금융사 직원이 PC에 고객정보를 저장할 때는 의무적으로 암호화를 해야 한다. 금융사의 외주업체 상주직원이나 내부직원의 서버 접근도 통제된다. 금감원은 외주업체 직원의 DB 접속 권한을 제한하고 정보 외부반출 통제 등 자료유출 경로 차단을 위한 대책 수립을 요구했으며 내부직원의 직무에 따라 서버 접근권한을 차등화하도록 했다.

 특히 무선 네트워크는 유선 네트워크에 비해 데이터 도청과 비인가자의 불법 접근 가능성이 높기 때문에, 이의 대책을 반드시 마련해야 한다. 이는 모든 금융사에 해당되는 것이어서, 필수적으로 관련 솔루션을 도입해야 할 것으로 보인다.

 공공기관이 가상사설망(VPN), DB보안 제품, 침입탐지시스템(IPS327) 등의 보안 장비를 구입할 때에는 국정원으로부터 검증을 받은 암호화 모듈이 들어간 제품만이 허락된다. 이는 공공기관의 정보보호 기능을 더욱 강화하기 위한 정책으로, 미국을 비롯한 대부분의 선진국이 암호화 모듈의 검증필 정책을 취하고 있다. 대신 국정원은 추가 인증의 불편함을 없애기 위해 검증필을 받은 암호화 모듈이면 자사 제품이 아니라고 해도 장착할 수 있도록 했다. 이에 따라, 암호화 검증을 받은 모듈을 장착하거나 국정원이 소스코드를 공개한 한국형 암호화 모듈을 사용해 개발해야 한다. 국내에는 드림시큐리티·이니텍·고려대학교 등 11개 기업·기관이 암호화 모듈 검증필을 획득한 바 있다.

  문보경기자 okmun@etnews.co.kr