2014년부터 금융사 망분리 의무화…업무용PC 인터넷 차단

관련 통계자료 다운로드 연도별 보이스피싱 피해현황

모든 금융회사 전산센터는 내년 말까지 외부통신망 분리·차단이 의무화되고, 본점과 영업점도 단계적 망분리를 추진한다. 금융보안 침해 사고가 발생하면 금융결제원과 코스콤이 조사를 전담한다. 총자산 2조원, 종업원 수 300명 이상인 금융회사 정보보호최고책임자(CISO)는 내·외부 전문가로 자체전담반을 구성해 매년 취약점 분석·평가를 실시해야 한다.

금융위원회는 이런 내용을 반영한 `전자금융감독규정` 개정안 규정변경을 입법 예고했다. 시행령 개정안은 입법예고를 거쳐 11월 23일 전면 시행된다. 이번 조치는 지난 7월 발표한 `금융전산 보안강화 종합 대책` 시행을 위한 후속조치다.

우선 금융위는 침해사고 대응기관으로 금융결제원과 코스콤을 지정했다. 보안 인력을 갖춘 2개 기관을 지정해 보안 사고에 발빠르게 대응하겠다는 취지다. 아울러 감독권을 보유한 금감원과 보안사고 조사 업무를 분리해 신속한 침해사고 분석 작업에 나설 방침이다. 침해사고 원인분석과 정보 수집, 침해사고 예보·경보 발령 권한이 주어진다.

자산 2조원, 종업원 수 300명 이상의 금융사는 CISO가 직접 자체전담반을 구성해야 한다. 매년 취약점 분석과 평가를 의무화한다. 자체 전담반은 CISO를 반장으로 전문인력 비율 30%이상으로 구성한다. 다만 외부 평가전문기관에 위탁할 경우 면제된다. 아울러 총자산 2조원 미만이고 종업원이 300명이 넘지 않는 금융사는 분석·평가 항목을 축소하고 자체 전담반 구성의무를 면제한다.

모든 금융회사의 전산센터는 2014년 말까지 외부통신망과 분리·차단해야 한다. 금융위는 정보처리 시스템 접근 통제를 대폭 강화한다고 밝혔다. 이에 따라 정보처리시스템 관리자와 운영자는 시스템에 접근할 때 ID와 비밀번호 이외 추가 인증을 의무적으로 받아야 한다. 금융위는 망분리 관련 혼선을 방지하기 위해 준수 사항을 집대성한 망분리 가이드라인을 배포할 계획이다. 가이드라인에는 PC보안과 이메일 보안, 패치관리시스템 보안 방법들이 수록돼 있다.

전자금융사기 예방서비스도 오는 26일 전면 시행한다. 은행과 증권, 저축은행, 신협, 우체국, 새마을금고, 농·수협 거래 고객 대상이며, 카드사와 보험사는 제외된다. 모바일뱅킹의 경우 올해 말까지 전자금융사기 예방서비스 시스템을 구축키로 했다. 금융감독원 관계자는 “시중 은행별로 모바일뱅킹에 적용할 시스템 구축 작업이 진행 중”이라며 “스마트폰 단말기 지정과 SMS인증 적용 방법 등을 검토하고 있다”고 말했다.

전자금융업자의 등록요건은 대폭 완화된다. 앱 스토어 등을 통한 국경간 전자상거래 전자지급결제 대행업무와 관련 국내 PG업 등록 시 해외에 있는 본사 시설과 인력을 이용하도록 허용키로 했다.

금융위 관계자는 “국내 PG업자로 등록하지 않은 해외업체를 이용하는 국내 소비자는 외화결제로 인한 수수료부담과 환율변동 위험에 노출돼 있다”며 “소비자 편익 증진을 위해 해외 계열사의 전산설비와 인력을 활용하는 것을 허용한다”고 밝혔다.


[표] 연도별 보이스피싱 피해현황 자료-금융위·금감원

[표] 2013년 파밍 피해현황 자료-금융위·금감원

2014년부터 금융사 망분리 의무화…업무용PC 인터넷 차단
2014년부터 금융사 망분리 의무화…업무용PC 인터넷 차단

길재식기자 osolgil@etnews.com


브랜드 뉴스룸