본문 바로가기

현장속으로/세미나

안전한 금융 거래 위한 금감원 정책 5가지

금융보안 & 개인정보 페어(FPIS2013) 5월 14일 양재동 엘타워에서 개최되었다. 이 날 컨퍼런스에는 금융권 CISO, 금융보안담당자, 금융기관 개인정보책임자 및 담당자, 보안시스템 운영자 등 기타 여러 IT실무자들이 참가하였다. 지난 3.20 전산망 대란 이 후로 높아진 관심 때문에 금융사관계자 들이 많이 참석한 모습을 엿볼 수 있었고, 국내 경제지 중에서는 최초로 머니투데이에서 개최하는 보안 컨퍼런스라는 점 등 여러가지로 뜻 깊은 자리였다.

 ▲ FPIS 2013 행사모습

우리나라 인터넷뱅킹 이용고객은 등록고객 수 기준으로 현재 8600만명을 초과하였고 은행권의 전자금융거래 규모도 전체 금융거래 대비 건수기준으로는 80%, 금액기준으로는 30%에 달하고 있다. 스마트폰을 이용한 금융거래도 크게 증가하고 있다. 이와 같이 금융산업과 정보통신기술간의 융·복합으로 인해 전자금융 이용자가 증가하고 금융소비자의 편의가 크게 높아졌으나, 해킹으로 인한 금융 정보유출과 전자금융사고발생 등 보안 위험이 증가하고 있다. 특히 파밍, 피싱, 스미싱 등 새로운 금융사기범죄가 증가하고 있어 금융정보보호에 대한 중요성이 증대되고 있다.

금융보안과 개인정보보호를 주제로한 이번 행사에서 김영린 금융감독원 부원장보는 오프닝 연설에서 안전한 전자금융거래의 기반을 마련하기 위해 금융당국은 다섯 가지에 중점을 두고 금융IT감독 정책을 추진한다고 말하였다. 다음은 주요 내용.

 

1. 개인정보보호 대책을 강화하겠다.

정부는 개인정보의 불법적인 수집·유출 등으로부터 사생활을 보호하기 위해서 개인정보 보호법을 제정하고 2012년 3월 30일 부터 본격적으로 시행해 나가고 있다. 이와 관련해서 금융감독원도 작년 5월 전담조직을 구성하여 금융권 개인정보제도의 안정적인 정착을 위해 노력하고 있다. 

2012년 6월 금융인 금융협회와 합께 금융권 개인정보 협의회를 구축해서 금융에서의 개인정보의 과도한 수집을 근절하였다. 또한 금년에는 개인정보 보호 가이드라인을 마련하여 금융 실무 처리 기술을 제시하는 등 앞으로도 개인정보 보호대책을 지속적으로 추진할 예정이다.

 

2. 전자금융거래의 안정성 확보를 위해 노력하겠다. 

모바일 전자결제, 전자지갑 등 다양한 금융IT신기술의 홍수 속에서 안전한 전자금융 서비스를 제공하기 위해서는 개별적인 보안위협에 임기응변적으로 대응하기보다는 중장기적인 인식전환이 필요하다. 이에 따라 금융기관의 최고 의사결정자가 정보보안에 대해 적극적으로 관심을 갖고 적정수준의 인력과 예산을 확보하는 한편 체계적인 조직운영을 통해 직무 담당자의 업무를 명확히 하고 오류와 실수를 최소화하는 기본을 확립하는 것이 중요하다. 

이러한 인식 하에 금융당국은 현대캐피탈 정보유출, 농협의 전산장애 사고 등을 계기로 IT보안업무모범기준을 제정하였다. 금융회사에 대해 최고 정보보호책임자(CISO)를 임명하고 적정 수준의 IT보안인력과 예산을 적정한 수준을 유지하도록 감독해 나가겠다. 또한 금융회사 CIO간담회, IT보안실무자 세미나 등을 통해 학계, 산업계 및 금융회사 간의 소통을 강화하고 상호협력 체계를 갖추겠다.

 

3. 전자금융사고 및 사이버 테러에 선제 대응하겠다.    

3.20에 대한민국은 큰 충격에 빠졌다. 사이버 공격으로 인해 일부 언론사와 금융회사의 전산망이 마비되는 사태가 발생하였다. 몇 시간 안에 고객의 직접적인 피해는 크지 않았지만 금융회사의 보안능력 및 전자금융거래의 안정성에 대한 국민들의 불안감이 높아지게 되었다. 이러한 사고를 재발하지 않게 하기 위해서는 보안취약점에 대해 신속히 대처하는 한편 예방대책을 마련하는 것이 중요하다.

2013년 5, 6월 중 전 금융권에 대한 IT보안실태 테마 검사 및 IT모범기준 이행 실태 점검을 실시하여 IT보안강화대책을 마련할 예정이다. 피싱, 파밍 사이트 등을 통한 고객정보 유출에 대해서는 금융감독원은 고객의 부주의로 고객정보가 유출되더라도 금전적인 피해가 최소화 되도록 공인인증서 재발급하거나 일일 누적 300만원 자금이체를 하는 경우에는 지정된 단말기에서만 가능토록 할 예정이다. 또한 SMS 본인인증 등 추가적인 인증서비스를 금년 중에 시행할 예정이다.

 

4. IT 부분 검사를 강화해서 금융 회사의 수준을 제고하겠다.    

최근 발생하는 해킹 유형은 지능형 지속형 공격(APT)이다. 작은 취약점을 장시간에 걸쳐 공략하여 전체 시스템을 무력화하고 주요 정보를 채취한다. 이에 금융감독원은 2013년 중 사고발생 금융회사에 대한 현장검색을 통해 IT내부통제, 취약점 및 조치현황을 점검하고 미흡한 부분은 신속히 개선하여 금융회사의 보안수준을 제고하겠다.

 

5. 전자금융을 이용하는 소비자 보호를 강화하겠다.               

전자금융이용과 관련해 발생할 수 있는 위험요인과 예방대책에 대해 홍보를 지속적으로 강화하는 한편, 장애인에게 좀더 편리한 전자금융서비스를 제공할 수 있도록 하는 등 상대적으로 전자금융이용에 취약한 계층에 대해서도 전자금융환경 개선을 위한 노력도 지속하도록 하겠다. 

이러한 정책과 제도가 성공하려면 현장에서 정책을 직접 수행하는 금융회사 임직원들과 금융소비자의 역할이 중요하다. 금융회사 임직원은 고객정보가 반드시 지켜져야 할 고객자산이라는 점을 명시하고 스마트 금융확산등 급변하는 전자금융환경에 적극 대응함으로써 IT보안 또는 고객정보유출 등의 사고가 발생하지 않도록 유념해야 한다.

금융소비자도 전자금융사고 예방을 위해서 보안인식전환이 필요하다. IT 및 통신기술의 발달과 융합으로 이루어진 오늘의 전자금융환경을 안전하게 이용하기 위해서는 무엇보다도 보안사고의 예방과 개인정보관리가 중요할 뿐 만아니라 다소의 불편과 비용지출이 불가피하다는 것을 명심해야 한다. Ahn

 

 

대학생기자 김대희 /  경기대 컴퓨터과학과