 |
||
금융당국은 이 같은 내용이 담긴 금융사 내부 업무망과 인터넷망의 분리를 의무화한다고 27일 밝혔다.
이는 해킹에 따른 고객 정보 유출이 대형 금융사뿐만 아니라 저축은행 등 제2금융권까지 무차별적으로 확산할 조짐을 보이고 있기 때문이다.
27일 금융권에 따르면 금융위원회는 이런 내용의 금융전산보안 강화 종합대책을 내주 발표할 예정이다.
이번 대책의 핵심은 내·외부망이 얽혀 있어 해킹으로 정보 유출이 쉬운 금융사의 약점을 근본적으로 해결하는 것이다.
전문 해커뿐만 아니라 북한, 국제해커집단 '어나니머스'까지 금융사를 주요 표적으로 삼고 있기 때문이다. '3·20' 금융·방송 전산 마비 사고 이후에는 망분리가 악성코드나 해킹 등의 공격에서 내부 정보를 보호할 수 있는 최고의 해법으로 여겨지고 있다.
국민은행 등 일부 대형 금융사들이 망분리 솔루션을 구축하기는 했으나 대부분 금융사는 그렇지 못한 상황이다.
이에 따라 금융 당국은 금융사 전산망 분리 및 백업 체계 운영 관련 가이드라인을 만들 예정이다.
금융당국 관계자는 "해킹을 근본적으로 막고자 금융사가 조기에 망 분리를 할 수 있도록 유도하기로 했다"며 "망 분리만 제대로 되면 전산 사고로 인한 고객 정보 유출을 상당 부분 예방할 수 있다"고 말했다.
정보통신(IT) 보안에 대한 최고경영자의 책임도 커진다.
과거 현대캐피탈과 삼성카드, 하나SK카드 등 고객정보 유출로 물의를 빚은 카드사와 전·현직 사장은 모두 경징계를 받았지만 앞으로는 사정이 달라질 전망이다. 최고 경영자도 금융보안과 관련해 보고를 받는 만큼 사고 때 실무 당사자들과 동등한 수준의 책임을 묻겠다는 게 금융당국의 의지다.
당시 정태영 현대캐피탈 사장은 '주의적 경고', 최치훈 삼성카드 사장은 '주의', 이강태 전 하나SK카드 사장은 '주의적 경고 상당'이라는 경징계를 받았다. 앞으로 대형 전산 사고가 일어나면 '문책 경고', '직무 정지'까지 내려질 수 있을 것으로 보인다.
대형 금융사는 최고 정보보호책임자(CISO)와 최고 정보관리책임자(CIO) 겸직이 금지될 것이다. CISO의 독립성을 보장하기 위해 임기 보장제를 도입할 예정이다.
보안 인력 운영을 위한 '5·5·7' 규정은 현행대로 유지된다.
이 규정은 전체 직원의 5%를 IT인력으로 채용하고 IT인력의 5%는 보안인력, IT예산의 7%는 정보보호 예산으로 편성하도록 한 것으로 2011년 도입됐다.
금융당국은 이 규정을 유지하되 내부 보안 인력 강화를 자율적으로 할 수 있도록 유도할 방침이다. 산학 연계를 통해 우수 보안 인력을 채용한 금융사에는 별도의 인센티브를 줄 방침이다.
대형 금융사는 그룹 내 전산처리 계열사가 있는 점을 고려해 최근 '금융회사의 정보처리 및 전산설비 위탁에 관한 규정' 개정을 통해 전산 위탁을 인정해주기로 했다. 이에 따라 그동안 '5·5·7' 규정을 충족하지 못한 삼성생명과 삼성화재도 전산보안 조건을 충족할 수 있게 됐다.
금융감독원은 금융사 IT 실태 평가 실시기관을 확대하고 우수기관을 공시하거나 표창할 방침이다.
금융당국이 이번 금융전산보안 대책 발표에 앞서 '3·20' 북한 해킹 사고를 당한 신한은행과 농협은행을 집중적으로 점검한 결과 해킹으로 인한 직접적인 고객 피해는 없었다. 다만, 신한은행에서 계좌 이체 지연으로 인한 가산금 등으로 고객에게 60여만원의 간접 피해만 발생했을 뿐이다.
금감원 관계자는 "신한은행에서 수건의 민원 외에는 북한 해킹에 따른 고객의 직접적인 금전 피해는 없는 것으로 나타났다"면서 "그러나 내부 통제에서는 문제점이 발견됐다"고 전했다.
최근 저축은행도 북한의 해킹으로 의심되는 사례가 발생해 금융위가 긴급 점검에 나서기도 했다.
금융위 관계자는 "북한이 일부 저축은행을 해킹했다는 첩보를 접수하고 점검한 결과 별다른 사안을 발견하지는 못했다"면서 "그러나 금융사의 전반적인 내부 통제와 내·외부망 운영 관련 문제점은 조기에 개선할 필요가 있다"고 덧붙였다.
