정부가 전국 폐광과 군시설을 활용해 벙커 형태로 `금융권 제3 백업센터`를 건립한다. 사이버테러뿐만 아니라 지진·테러 등에도 고객 정보를 보호하기 위해서다. 또 은행, 보험, 카드사 등 금융회사의 전산사고에 대비하기 위해 전산센터 내외부 망을 2014년까지 의무적으로 분리한다. 이와 함께 자산 10조원 이상, 임직원 수 1500명 이상인 금융회사는 앞으로 정보보호 최고책임자(CISO)와 최고정보관리책임자(CIO) 겸임이 전면 금지된다. CISO의 독립성을 강화하기 위해 임기보장제가 도입된다.
11일 금융위원회는 이 같은 내용을 골자로 한 `금융전산 보안강화 종합대책`을 발표했다. 대책에는 기반 시설 보안 강화는 물론이고 금융보안 컨트롤타워 설립, 보안 인력과 이용자 보호 영역을 아우르는 한층 구체화한 전략을 담았다.
우선, 그동안 유명무실하게 운영됐던 CISO제도를 대폭 손질했다. CISO 전임 제도를 도입해 CIO와 겸임을 금지했다. CISO가 부당한 인사상의 불이익을 받지 않도록 최소한의 임기보장제를 도입한다. 금융보안 전문 인력 양성을 위해 금융보안연구원 산하에 `금융보안교육센터`를 운영하고 정보보호 석사과정을 개설한 대학원과 금융회사 간 협력체제 구축을 유도할 방침이다.
사이버 테러에 유기적으로 대응하기 위한 금융전산 보안 컨트롤타워를 구축한다. 그동안 금융결제원·코스콤·금융보안 연구원의 역할이 중복돼 위기대응 능력이 떨어진다는 비판이 많았다. 금융위원회가 주축이 돼 금융권 전산 보안기관이 참여하는 `금융전산 보안협의회`를 설치한다.
사이버테러에 의해 전산시스템이 파괴돼도 금융정보를 보존하기 위해 제3의 금융권 공동 백업전용센터 건립이 추진된다. 금융위는 이를 위해 은행권 공동 TF를 구성해 지하벙커 형태로 백업센터를 구축하고, 타 업권으로 확대할 방침이다. 기반 시설은 폐광이나 군 시설 등을 활용하는 방안이 유력시되고 있다. 보안 관제와 정보공유를 강화하기 위해 금융회사는 금융ISAC 모니터링 대상 편입을 의무화하고, 전 금융권으로 모니터링 체계를 구축한다.
금융사의 기반 시설 보안도 한층 수위를 높이기로 했다. 금융사의 전산센터는 내년 말까지 물리적 망 분리를 의무화하고, 본점과 영업점은 단계적 망 분리를 추진토록 했다. 올해 하반기까지 감독규정에 이 같은 내용을 담을 예정이다. 전자금융거래 업무의 특성을 반영한 `금융보안 관리체계 인증제`도 도입한다. 금융전산시설 내부 통제를 강화하기 위해 정보보안 규정 위반 시 제재 근거를 금융회사 내규에 마련, 시행토록 했다.
일부 카드사에서 운영 중인 `이상금융거래 탐지시스템`을 은행과 증권 영역으로 확대한다. 안전 조치 의무 위반 시 최장 6개월의 업무정지를 부과할 수 있도록 세부 기준도 마련된다. 이병래 금융위원회 금융서비스 국장은 “기존 5.5.7 감독규정은 유지하되 금융사가 자율적인 노력으로 사고를 선제적으로 방지할 수 있도록 제도와 기술 전 영역에 걸쳐 체계를 강화하는 데 중점을 뒀다”며 “올해 하반기까지 IT 보안업무 관련 분야별 가이드라인을 마련하고, 제3 백업센터와 망 분리 작업은 2014년 이후 추진하는 것을 목표로 잡았다”고 밝혔다.
[표]금융전산 보안 강화 종합대책 자료-금융위원회
용어설명:5.5.7 룰(감독규정)
=금융당국이 금융회사 전체 인력의 5% 이상을 IT인력으로 채용하고 IT인력 중 5% 이상을 보안 인력으로, IT예산의 7% 이상을 정보보호에 집행하도록 한 규정이다.
길재식기자 osolgil@etnews.com
