금융분야 개인정보 유출 재발방지 종합대책4

4. 정보보호 보안 : 금융권 사이버 안전 대책 강화

 

가. 내부통제 강화

 

 □ "금융전산 보안 표준지침(Best Practice)" 마련

 □ "보안점검의 날" 지정, 매월 보안점검 실시

  * '금융보안 표준 체크리스트' 마련

  O 보안점검 미이행시 엄중 제재(☞ 전자금융감독규정 및 시행세칙 개정)

 

 나. 외주업체 통제 강화(☞ 전자금융감독규정 및 시행세칙 개정)

 

  □ 외주용역 입찰 -> 계약 -> 수행 -> 완료 전 단계에 걸쳐 보안관리체계 개선

   O 외주용역 보안점검은 일일점검 실시

    * '외주용역 일일 체크리스트'를 감독 규정시행세칙에 반영

 

  □ 개발업무는 장소분리, 개발시스템은 운영시스템과 분리의 물리적 통제 명확화

 

 다. 전산시스템 해킹방지 대책 강화

 

  (1) 방어체계 대폭 강화

 

   O 내부망의 고객정보 DB에 저장된 고유식별정보 암호화(☞ 개인정보보호법 개정)

    * 금융회사는 금융위 주관하에 암호화 추진계획 마련

 

   O 망분리 추진, 미이행시 해당기관 및 책임자 제재

    * 전산센터는 '14년말, 은행의 본점⋅영업점은 '15년말, 비은행은 '16년말 완료

 

   O 금융전산 보안관제 범위를 은행⋅증권에서 보험⋅카드사까지 확대, 금융거래시스템 외에도 교육⋅홍보용 홈페이지까지 확대(☞ 전자금융거래법 개정)

    * 현재 금융결제원과 코스콤이 수행

 

   O 전자적 침해사고 접수창구를 일원화(☞ 전자금융감독규정 개정)

    * 금감원 또는 "금융보안 전담기구"로 일원화

 

  (2) 금융회사 전산보안 관리수준 대폭 제고(☞ 전자금융법규 개정)

 

   O "금융전산 보안인증제" 도입, 금감원은 인증결과를 IT부문 실태평가에 반영

   O 금융결제원 금융공동망을 '주요정보통신기반시설'로 추가 지정

 

  (3) 금융회사 정보화사업 보안대책 강화

 

   O 금융회사 IT사업에 대해 금감원의 보안성심의 대상 확대, 심의대상이 아닌 경우 자체 보안성심의 결과를 제출(☞ 전자금융감독규정 개정)

    * 정보화사업 계획수립단계에서 전산시스템의 보안대책을 사전에 점검

 

   O 모바일 어플리케이션을 보안 취약점 점검 대상에 포함(☞ 전자금융감독규정시행세칙, 모바일 앱 보안 가이드라인 배포)

 

 라. 금융회사 보안 이행실태 점검 강화

  O 금감원 주도로 "불시점검", "기획⋅테마검사" 실시

 

 마. 금융전산 보안전담기구 설치

 

  □ 금융결제원 및 코스콤의 보안관제조직(ISAC)을 분리하고, 이를 금융보안연구원과 통합하여 "금융전산 보안전담 기구" 설치('15년 출범목표)

 

 

   O 전담기구는 금융전산 보안관제 실시, 보안인증제 운영, 정책연구⋅교육, 보안전문인력 양성

 

 바. 금융권 IT인력의 전문성 제고 및 보안인력 양성

 

   O 금융연수원 및 금융보안연구원에 정보보호 과목 개설, 국내 대학(원)에 위탁교육 확대

 

 사. 신용카드 결제시 안정성 강화

 

  <IC단말기 전환 유도>

 

  □ POS 단말기를 사용하는 일반대형가맹점에 대해 '14.12월까지 IC단말기 선전환 유도

  □ '영세가맹점'의 경우 'IC단말기 전환기금' 조성하여 교체 지원

  □ 카드사는 가맹점 신규계약 체결 시 IC단말기 설치여부 확인

 

  <IC단말기 사용 활성화>

 

  □ '14. 하반기중 IC결제 우선 승인제 실시(☞ 가맹점표준약관 개정)

  □ '15년부터 IC단말기 설치 가맹점에서 IC결제를, '16년부터는 전 가맹점에서 IC결제를 의무화(MS카드 결제는 중단)(☞ 여전법 개정)

 

 아. VAN사에 대한 관리⋅감독 강화

   * 신용카드 결제 승인중계업자(Value Added Network)

 

  □ 카드사가 수탁자인 VAN사 회원거래정보⋅관리실태에 대해 자체점검 강화

  □ VAN사를 '여신전문금융업법' 상 등록제로 운용(☞ 여전법 개정)

  □ VAN사는 결제의 IT안전성 확보, 신용정보 보호, VAN 대리점 관리의무 부여

   O 결제업무에 필요치 않은 개인정보 수집⋅보유 엄격히 제한, 카드번호, CVC값 주요 정보는 암호화 처리

  □ VAN사의 법령준수 여부 관리⋅감독 강화

   O VAN사의 법 위반 사실에 대해서는 과징금, 등록취소 등 중징계가 가능토록 제재장치 마련

개인정보보호 컨설팅 및 정보보호 분석/설계 전문 기업 - 케이핌(www.kpim.co.kr)