[이슈분석]금융사 보안 상태 불시에 점검한다

정부는 금융권 사이버 안전 대책도 내놨다. 금감원 등 외부기관이 금융회사 보안 이행 실태를 불시에 점검한다. 감독당국이 금융협회와 공동으로 ‘금융전산 보안 표준 지침’도 마련한다.

정부는 사이버 안전 대책으로 △내부통제 강화 △외주업체 통제 강화 △전산시스템 해킹 방지 대책 △보안 이행실태 점검 강화 △금융전산 보안전담기구 설치 △금융권 IT인력 전문성 제고 및 인력 양성 △신용카드 결제 안전성 강화 △VAN사 관리 감독 강화 대책을 담았다.

정부는 끊이지 않는 금융권 보안 사고를 불시 점검과 기획 검사로 막겠다는 의지를 보였다. 금융회사가 보안 규정을 항상 준수하는지 예고 없이 전산망을 점검한다. 매월 보안 상태를 파악해 미흡한 부분이 발견되면 철저히 따지는 기획·테마검사를 실시한다. 감독과 검사 사각지대를 해소해 금융회사 보안 불감증을 근절하는 목적이다.

금융회사별로 ‘보안점검의 날’도 지정한다. 최고정보보호책임자(CISO)가 매월 보안점검을 하고 CEO에 결과와 보안책을 보고한다. 금감원은 결과를 제출받아 미이행시 엄하게 제재한다.

카드 3사 고객정보유출 사고 원인이었던 외주업체 통제도 강화한다. 금융회사 외주용역의 입찰→계약→수행→완료 등 전 단계에 보안관리체계를 개선한다. 외주 개발시스템은 내부 운영시스템과 물리적으로 완전히 분리한다.

급증하는 해킹에 대한 방어 수준도 높인다. 고객정보 해킹에 대비해 금융회사 고객정보데이터베이스에 저장된 고유식별번호를 암호화한다. 금융권 전산센터는 올해 말, 은행 본점과 영업점은 내년 말까지 내부 업무망과 인터넷망을 분리한다. 비은행권은 2016년까지 망분리를 마친다.

금융전산 보안관제 범위를 은행·증권에서 보험·카드까지 확대한다. 객관적인 기관이 금융사 보안 수준을 평가하는 ‘금융전산 보안인증제’를 도입한다.

내년 금융전산 보안전담기구도 설치한다. 금융결제원과 코스콤의 보안관제조직(ISAC)을 분리하고 금융보안연구원과 통합한다. 보안전담기구는 금융권 보안관제와 보안인증제를 운영하고 인력양성 등 종합 서비스를 제공한다.

신용카드와 결제승인중계사업자(VAN) 보안 대책도 내놨다. 2016년까지 전 가맹점에서 IC단말기 결제를 의무화한다. IC결제시 가맹점수수료 인하 등 인센티브를 제공한다. VAN사를 일정 자격 요건을 갖춰야하는 ‘여신전문금융업법’상 등록제로 운용한다. 금융회사에 적용되는 IT안전성 기준을 VAN에도 적용한다.

보안전문가는 사고 때마다 비슷한 대책이 쏟아졌지만 이행과 점검이 미흡하다고 입을 모았다. 구태언 테크앤로 법률사무소 대표변호사는 “행정부 주도의 강한 정보보호 법규 및 행정, 형사처벌 법제 강화가 오히려 정보보호를 약화시키는 딜레마가 된다”며 “정부가 정한 가이드라인만 지키고 그 이상 보안조치를 취하지 않는 문제를 야기한다”고 지적했다.

김인순기자 insoon@etnews.com