 |
[컨슈머타임스 김일권 기자] 삼성 금융사 업무를 마비시킨 삼성SDS 전산센터 화재에 따른 후속조치로 금융사 전산 백업전용센터 구축이 의무화됐다.
금융사는 정보보호최고책임자(CISO)의 임기를 보장해야 하며 비정상적인 금융 거래를 조기에 탐지하고 차단하는 시스템까지 운영해야 한다.
9일 금융권에 따르면 금융위원회는 최근 전산사고와 고객정보 유출 등 금융사고가 빈번히 발생함에 따라 금융사에 최근 이런 내용의 행정 지도를 했다.
이에 따라 국민은행, 신한은행, 농협은행, 삼성생명, 현대해상, 삼성화재, 국민카드, 삼성카드 등 금융사들은 금융위원회가 지도한 IT 부문 보호 업무 이행 지침을 이행해야 한다. 지침을 어기면 향후 금융감독원 검사를 통해 징계를 받게 된다.
이번에 마련된 지침에 따르면 금융사는 주 전산센터에서 발생한 위험의 영향을 받지 않는 곳에 재해복구센터를 둬야 한다.
주 전산센터와 재해복구센터에서 발생할 수 있는 위험에 효율적으로 대처할 수 없을 때에는 별도의 백업전용센터를 구축하는 방안을 마련해야 한다.
주 전산센터와 재해복구센터에서 문제가 발생하더라도 이를 대체할 수 있는 제3의 센터를 구축해야 한다는 것이다.
지침은 또 장애 복구 시간을 최소화하고 영업점 단말기 등의 대규모 전산 장애에 대비해 긴급 복구용 파일 등 전산 자원을 사전에 충분히 확보하도록 했다.
이는 삼성SDS 전산센터 화재로 삼성카드 서비스가 일주일간 서비스 장애를 겪는 등 복구 시간이 길어진 데 따른 것이다. 이렇게 오랜 기간 고객 서비스가 복구되지 않은 경우는 삼성카드가 처음이었다.
이에 따라 금융당국은 '재해복구센터 구축·운영 가이드라인'을 연내 각 금융사에 배포해 전산센터 사고 대비를 강화할 계획이다.
금융위는 모든 금융사에 이상금융거래탐지시스템 구축도 요구했다.
국내의 컴퓨터 등에서 전자금융 거래를 한 뒤 곧바로 중국 등 외국에서 거래를 시도하는 경우나 다수의 계정으로 단시간 내에 전자금융 거래가 발생하는 등 이상금융 거래를 탐지하고 분석해 대응할 수 있는 시스템도 구축하도록 했다.
이상 징후를 포착한 금융사는 정상 거래 여부를 확인하고 필요시 지급 정지 등의 조치를 취하도록 했다.
금융사들은 전자금융 기반시설에 대한 취약점 평가시 교육·홍보용 홈페이지나 이메일 등 내부 업무 처리를 위한 시스템도 평가 대상에 포함시키도록 했다. 이런 홈페이지 등을 통한 침해 사고가 전자금융 기반 시설로 퍼질 가능성이 있기 때문이다.
금융위는 이와 함께 정보보호 업무의 독립성을 보장하고 연속성을 유지하기 위해 CISO의 임기를 보장하도록 하고 인사상 불이익도 당하지 않도록 했다.
임기 중 사망·퇴직 등으로 직무 수행이 곤란하거나 불가피한 사유가 있는 경우가 아니면 임기가 끝나기 전에는 교체하지 말라는 취지다.
금융위는 CISO에 대한 임기를 규정하지는 않았지만, 업무의 연속성 등을 위해 2~3년의 임기를 지도할 방침이다.
금융당국의 강화된 IT 부문 보호업무 이행 지침에 대해 금융회사들은 각종 금융사고를 저지른 원죄 때문에 대놓고 반발하지 못하지만 속내는 복잡하다.
최근 순익 감소로 경영에 비상이 걸린 가운데 생산성과는 거리가 먼 IT 부문에 막대한 예산을 계속 투입해야 하기 때문이다.
대형 금융사는 앞으로 5년간 수천억원, 중소형 금융사도 수백억원의 IT 개선 비용이 드는 것으로 추산되고 있다.
최근 IT 전문 인력에 대한 스카우트 경쟁으로 인력 확보도 힘든 상황이다.
2011년에 만들어진 5·5·7룰을 구체적으로 명시한 점도 부담이다. 이는 금융사가 전체 인력의 5% 이상을 정보기술(IT) 인력으로, IT 인력의 5%를 정보보호 인력으로 운용하고 IT 예산의 7%는 정보보호에 쓰도록 하는 가이드라인이다.
한 시중은행 관계자는 "최근 잇단 IT 관련 사고로 금융당국이 강화를 요구하는 것은 어쩔 수 없지만 지침까지 동원해 강요하는 것은 부담스럽다"고 토로했다.
한 중형 카드사 관계자는 "삼성카드도 못했던 사안인데 재해복구센터 등 지침에 규정된 규정을 모두 지킬 수 있는 금융사가 있을지 의문"이라고 말했다.
금융당국 한 관계자는 "IT 부문의 정보 보호 강화를 위해 마련한 지침이지만, 금융회사에 대한 권고 사안"이라고 말했다.
