150여 금융사가 분산서비스거부(DDoS) 공격에 대비한 대응시스템을 의무 구축해야 한다. 또 최고정보보호책임자(CSO)를 임명, 정보보호 예산을 포함한 금융정보보호계획서 수립 의무도 주어졌다.
금융감독원은 이같은 내용을 골자로 한 ‘금융부문 DDoS 공격 대응 종합대책’을 확정, 28일 발표했다.
대책에 따르면 은행·증권·저축은행 등 인터넷 금융거래 서비스를 펼치고 있는 모든 금융사는 늦어도 내년 상반기까지 DDoS 공격 대응시스템을 구비해야 한다. 금감원은 시스템 구축에 예산이 투입되는 것을 감안해 은행은 연내로 증권사와 저축은행은 내년 상반기까지 구축을 권장키로 했다.
현재 온라인으로 금융거래 서비스를 펼치고 있는 금융사는 대략 은행 18곳, 증권사 36곳 등 150여개사로 파악된다. 금감원은 금융사에 따라 규모가 다른 만큼 의무 구축 시스템 항목과 규모를 명시하지 않았다. 다만 전용 장비와 공격에 대비한 우회선로 확보 등을 권장할 계획이다.
금감원은 시스템 구축에 맞춰 매년 1회 이상 모의훈련을 한다. DDoS 공격을 금융사가 기술적으로 대응할 수 있도록 하기 위한 차원으로 이를 통해 24시간 365일 침해대응 관제체제를 구축하도록 한다는 방침이다.
CSO를 의무적으로 선임해 금융정보보호계획서를 수립하도록 한 것도 핵심이다. 금융사가 자발적으로 정보보호 관리체계를 강화하도록 하는 취지로 계획서를 매년 수립해 이사회 또는 최고경영진의 승인을 받도록 했다.
금감원은 계획서의 구체적 모델 양식을 정하지는 않았지만 조직·예산·인력·전문장비 등을 포함하도록 해 CSO가 투자를 주도하도록 한다는 계획이다.
또 금감원은 금융사의 사이버 침해대응 능력을 중점 검사항목으로 지정했다. 이에 따라 금융사에서 감독 실사시 IT부문에 대한 감독을 더욱 강화하게 된다. 이밖에 금융보안연구원 등 금융 정보보호 전문기관에 금융 정보보호 아카데미 등 10여개 금융 교육과정 개설을 유도해 연간 2000명의 금융 정보보호 전문가를 양성한다.
최재환 금감원 IT업무팀 부국장은 “앞으로 어떤 사이버테러가 등장하고 또 그 규모가 얼마나 될지 알 수 없다”며 “패턴 변화에 대해 금융사들이 보다 강화한 대응책을 마련하기 위해 이번 대책을 마련했다”고 설명했다.
금감원은 종합대책과 관련해 금융권을 대상으로 설명회를 개최한다. 또 내년 이후 적절한 대응책을 내놓지 않은 금융사에는 ‘주의’ 등 제재에 들어간다.
김준배기자 joon@etnews.co.kr
관련 통계자료 다운로드 금융부문 DDoS 공격 대응 종합대책 개요