금융회사 정보기술부문의 보호업무 모범규준 금융감독 _ 김려성(소프트꼬레아 저자)

 

  

금융회사 정보기술부문의 보호업무 모범규준 금융감독

                                                                                                                                        2013. 5~7 감사저널에 게재

김 려 성 (소프트 꼬레아 저자)

 

3. 전자금융업무 등 감독

금융회사에 대한 해킹 등 전자적 침해행위가 증가하여 전자금융거래의 안정성이 위협받음에 따라 금융위원회는 지난 2011년 6월 「금융회사 IT보안강화 종합대책」을 발표하고, 관련 법령 및 규정을 개정하였다. 이어서 종합대책 내용 중 일부 실행 가능한 부분을 「전자금융감독규정」개정안에 담아 입법 예고하였으며, 규제개혁위원회의 심사와 금융위원회 의결을 거쳐 2011.10.10일부터 동 규정을 시행하고 있다. 이 규준은 「전자금융거래법」및 동법 시행령에서 금융위원회에 위임한 사항과 그 시행에 필요한 사항 및 다른 법령에 따라 금융감독원의 검사를 받는 금융회사 등의 정보기술부문 안전성을 확보하기 위하여 필요한 사항을 규준하여 공표하였다. 이 모범규준은 2012년 11월 1일부터 적용하고 있다.

보안성 심의

금융회사 등은 보안성 확보가 필수적인 경우에 이 규준에서 정한 별지 서식에 따라 금융감독원장에게 보안성 심의를 요청하여야 한다.

- 보안성 심의 대상

①전산실을 신규로 설치하는 경우(전산실 이전설치 및 재해복구센터 구축 포함)

②외국금융회사의 전산시설에 대한 해외 설치․이전 및 공동이용을 하는 경우

③그 밖의 전자금융거래 안전성 확보를 위하여 금융감독원장이 필요하다고 인정하는 경우

 

- 금융위원회가 정한 다음의 금융기관은 금융위원회에 보안성 심의를 요청하여야 한다.

①「한국산업은행법」에 따른 한국산업은행

②「중소기업은행법」에 따른 중소기업은행

③「자본시장과 금융투자업에 관한 법률」에 의한 한국거래소

④「자본시장과 금융투자업에 관한 법률」에 의한 한국예탁결제원

⑤「신용보증기금법」에 의한 신용보증기금

⑥「기술신용보증기금법」에 의한 기술신용보증기금

 

- 금융위원회 또는 금융감독원장의 보안성 심의를 요하지 않는 금융기관은 다음과 같다.

①「우체국예금․보험에 관한 법률」에 의한 체신관서

②「새마을금고법」에 의한 새마을금고 및 새마을금고 연합회

③「한국수출입은행법」에 따른 한국수출입은행

해킹대란 방송사·은행 전산망 마비 사태

지난 2013년 3월 20일 주요 방송사와 은행 전산망이 마비되는 해킹 사건이 발생됐다. KBS MBC YTN 등 방송사와 S은행 N은행 J은행 등에 있는 총 3만2,000여대에 달하는 컴퓨터가 악성코드에 감염돼 일시에 작동을 멈췄다. 지난 2009년에 발생한 7·7 디도스(DDoS·분산서비스거부)공격과 그리고 2011년 3·4 디도스 공격에 이어 이번에도 여러 기관에서 ‘해킹 대란’이 동시에 일어났다.

은행도 공격대상

물론 시중은행도 예외는 아니었다. S은행 본사와 영업점 PC가 작동하지 않거나 일부 파일이 삭제돼 인터넷 뱅킹과 현금입출금기(ATM)의 사용이 중지되었으며, 온라인 창구 거래 등 대부분의 은행업무가 상당시간 중단되었다. J은행과 N은행, N생명보험 등도 전산망에 장애를 겪었으며, S은행은 오후 4시경에나 전산망을 복구함으로써 당일 영업시간을 일부 연장하며 전산망 중단으로 피해를 입은 고객들에게 사과하였다.

북조선 소행 여부 검토

2013년 3월20일 해킹에 사용된 악성코드는 정상 프로그램으로 위장한 트로이목마라고 정부 당국자가 발표하였다. 악성 코드의 유포 경로는 일차적으로 업데이트 관리 서버를 통해 들어 왔다고 당국자는 밝혔다. 정부의 합동대응팀 관계자에 의하며 “그동안의 전체 침투 윤곽은 단시일 내에 밝히기 어렵다”며 “해외 인터넷 프로토콜(IP) 주소를 통해 침투된 흔적이 있어 해당국에 국제공조수사를 요청했다”고 전하며, 북조선 소행의 가능성을 배제하지는 않는다고 발표했다.

정보기술부문 실태평가 등

금융감독원장은 업무의 성격 및 규모, 정보기술부문에 대한 의존도 등을 감안하여 지정한 금융기관에 대하여 검사를 통해 정보기술부문 운영 실태를 평가하고 그 결과는 경영실태평가 등 감독 및 검사업무에 반영하여야 한다. 정보기술부문 실태평가 대상 금융기관은 다음과 같다.

①「은행법」에 의해 인가를 받아 설립된 금융기관(단, 「은행법」 제58조에 의해 인가를 받은 외국금융기관의 국내지점은 제외한다)

②「한국산업은행법」에 의한 한국산업은행, 「중소기업은행법」에 의한 중소기업은행, 「농업협동조합법」에 의한 농업협동조합중앙회의 신용사업부문, 「수산업협동조합법」에 의한 수산업협동조합중앙회의 신용사업부문

③「자본시장과 금융투자업에 관한 법률」에 의한 투자매매업자․투자중개업자(단,「자본시장과 금융투자업에 관한 법률」제12조에 의해 인가를 받은 외국 투자매매업자․투자중개업자의 지점 등은 제외한다), 증권금융회사 및 한국예탁결제원

④「보험업법」에 의한 보험회사(단, 외국보험회사의 국내지점은 제외한다) 보험협회, 보험요율산출기관 및「화재로 인한 재해보상과 보험가입에 관한 법률」에 의한 한국화재보험협회

⑤「여신전문금융업법」에 의한 여신전문금융회사(단, 신용카드사 이외 여신전문금융회사의 경우 직전 사업년도 기준 자산규모 2조원 이상인 회사에 한한다) 및 여신전문금융업협회

⑥「자본시장과 금융투자업에 관한 법률」에 의한 종합금융회사 및 한국금융투자협회

⑦「자본시장과 금융투자업에 관한 법률」에 의한 한국거래소

⑧「상호저축은행법」에 의한 상호저축은행중앙회 및 상호저축은행(단, 직전 사업년도 기준 자산규모 2조원 이상인 상호저축은행에 한한다)

⑨「신용협동조합법」에 의한 신용협동조합중앙회

⑩ 「신용정보의 이용 및 보호에 관한 법률」에 의한 종합신용정보집중기관

금융감독원장은 정보기술부문 실태평가 결과를 경영실태평가 세부 평가항목 중 경영관리 또는 위험관리 항목의 평가비중에서 최소 100분의 20이상 반영하여야 한다. 금융감독원장은 정보기술부문 실태평가 결과가 4등급 이하인 금융기관에 대해 경영실태평가 2등급 이상으로 평가할 수 없다. 정보기술부문실태평가등급: 1등급(우수), 2등급(양호), 3등급(보통), 4등급(취약), 5등급(위험)

IT경영부문 평가에 가점 부여

전자금융감독규정에서 권고하는 정보기술부문 및 정보보호 인력․예산 비율 수준을 충족하는 등 IT경영 관리가 양호한 금융기관에 대해서는 정보기술부문실태 평가 시 IT경영부문 평가 결과에 가점을 부여할 수 있다. IT 인력․예산 등 경영 리스크 관리 능력, 안정적 IT업무 수행에 필요한 IT 내부인력(이 규준의 별표에 해당하는 인력을 말함)의 양적․질적 역량 및 인적 자원 관리 능력, IT 인력․예산에 대한 효율적 운용․관리 능력 등을 중점 평가한다.

확약서 및 양해각서 제출

금융감독원장은 정보기술부문 실태평가 결과 종합등급이 4등급인 경우에는 당해 금융기관에게 이의 개선을 위한 확약서 제출을 요구할 수 있고, 금융기관은 해당 기관장의 승인을 받아 확약서를 금융감독원장에게 제출하여야 한다. 금융감독원장은 정보기술부문 실태평가 결과 종합등급이 5등급이거나 직전 정보기술부문 실태평가 결과에 비해 평가등급이 2등급 이상 하향된 경우에는 취약점 개선대책의 수립·이행을 내용으로 하는 양해각서를 체결할 수 있고, 양해각서는 금융기관 이사회 구성원 전원의 서명을 받아 체결한다.

이행점검 및 점검주기 등

금융감독원장은 확약서 또는 양해각서의 이행상황을 점검하여 그 이행이 미흡하다고 판단되는 경우에는 확약서를 다시 제출받거나 양해각서를 다시 체결할 수 있다. 확약서 및 양해각서의 효력발생일자, 이행 시한 및 이행 상황 점검주기는 각 확약서 및 양해각서에서 정한다. 이행상황 점검주기를 따로 정하지 않은 경우에는 금융기관은 매분기익월말까지 분기별 이행상황을 금융감독원장에게 보고하여야 한다.

N협동조합 전산망 마비

N협동조합 전산망 마비 사태는 지난 2011년 4월 12일 N협 전산망에 있는 자료가 대규모로 손상되어 수일에 걸쳐 전체 또는 일부 서비스 이용이 마비된 사건이다. 사건 초기에는 협력 업체에 의한 사고 가능성으로 제기되었으나, 이후 N협 측에서는 내부 전문가에 의한 사이버 테러일 가능성이 높다고 발표했다. N협의 일부 업무는 4월 13일 오후, 모든 업무는 여러 차례 연기한 끝에 18일만 인 4월 30일에 정상화되었다. 검찰은 N협 해킹이 북조선의 사이버 테러에 의한 것으로 결론 내렸다. 조사결과에 따르면 서버 유지보수를 맡은 외주업체 직원 한국IBM 직원 H씨가 2010년 9월 4일 한 커피숍에서 웹하드에 쿠폰을 무료로 다운 받는 사이트에 접속하여, 서버관리 업무에 쓰는 노트북에 영화를 내려 받다가 컴퓨터가 감염되었다고 발표했다. 이렇게 감염된 H씨의 컴퓨터가 N협 전산망에 장애를 일으켰다고 한다.

북조선이 심은 악성코드에 감염

북조선이 심은 악성코드에 H씨의 컴퓨터가 감염되었고, 이후로는 범인들이 노트북을 마음대로 들락거리며 각종 악성프로그램을 심었으며, 다음 공격 실행일 까지 일곱 달 동안 최고위 관리자의 비밀번호 등 전산망 관리를 위한 각종 정보를 빼내고, 도청 프로그램을 설치했다. 해커들은 공격명령 파일 설치 후 2011년 4월 12일 오후 4시50분 경 인터넷을 이용한 원격제어로 공격명령 프로그램을 실행했다. 노트북으로 '삭제 명령'을 내리자 1차 공격을 받은 전산망 서버들이 좀비 컴퓨터로 변해 다른 서버들을 잇달아 공격하면서, 30분 만에 서버 절반이 파괴됐다. 결국 N협 공격에 쓰인 IP 가운데 하나를 추적한 결과, 북조선 정찰총국이 사용하는 IP로 확인되었다고 수사 당국은 밝혔다. 고객의 금융정보를 취급하는 금융회사의 정보기술 보안체계를 앞으로 강화할 필요가 있다.

외부주문 등에 대한 기준

금융회사 등은 전자금융거래를 위한 외부주문 등의 경우에는 다음의 사항을 준수하여야 한다. 전자금융감독규정(§3)에서 정한 전자금융보조업자와 제휴, 위탁 또는 외부주문에 관한 계약을 체결하고 해당 전자금융보조업자를 위하여 전자금융업무와 관련된 정보처리시스템을 운영하는 사업자는 전자금융보조업자로 간주한다.

- 전자금융감독규정에서 정한 전자금융보조업자

①정보처리시스템을 통하여「여신전문금융업법」 상 신용카드업자의 신용카드 승인 및 결제 그 밖의 자금정산에 관한 업무를 지원하는 사업자

②정보처리시스템을 통하여 은행업을 영위하는 자의 자금인출업무, 환업무 및 그 밖의 업무를 지원하는 사업자

③전자금융업무와 관련된 정보처리시스템을 해당 금융기관 또는 전자금융업자를 위하여 운영하는 사업자

외부주문 등에 대한 준수사항

①금융회사등과 전자금융보조업자 간의 접속은 전용회선(가상사설망(VPN: Virtual Private Network) 제외)을 사용하여야 하며, ②외부주문 등 계약서, 협약서 등에는 다음의 사항을 명확히 기재하여야 한다.

- 비밀유지의무

- 금융회사 등이 정한 보안 관련 규정 준수

- 계약 위반 시의 손해배상책임

- 인력, 예산, 시설 및 정보기술부문을 포함한 안전대책

- 외부주문 등 계약서의 기재사항(예시)

- 계약 목적, 제품․서비스 및 계약 이행 기간

- 서비스 비용, 대금지급방법, 지불조건, 검수방법 및 납품방법․장소

- 계약 수정․파기 절차 및 관할법원

- 외주직원 또는 외주업체에 의해 발생한 손실에 대한 계약업체의 배상책임

- 외주직원에 대한 보안접근 수준

- 납품 지연 시 지체배상금, 보증기간 및 하자보증금

- 무상 유지보수조건, 교육훈련 및 한글화된 매뉴얼 제공

- 프로그램(소스포함) 소유권의 금융회사 등의 귀속여부 및 지적재산권 내역

- 프로그램 사용권만 있는 경우 소스 확보에 대한 비상대책

- 금융회사 등의 평가, 점검 등에 관한 권한

- 업무보고서, 내부통제보고서, 내․외부감사보고서 및 재무보고서 제출

- 제3자 재위탁 또는 재위탁업체 변경 시 사전 동의 절차

- 금융회사 등이 제시한 제반 법규․기준의 준수 및 미준수시 벌칙

- 계약업체의 위탁받은 업무에 대한 관리적․기술적․물리적 보호조치

- 외주직원의 신원보증에 관한 사항 등

③정보관리의 취약점 최소화 및 보안유지를 위한 내부통제방안을 수립·운용하고, 외부주문의 적정성을 검토 후 자체적으로 통제가 가능하도록 금융회사 등의 내부에 조직과 인력을 갖출 것,

④전자금융보조업자에 대한 재무건전성을 정기적으로(연 1회 이상) 평가하여 재무상태 악화에 따른 도산에 대비하고 주요 경영활동에 대한 상시 모니터링을 실시할 것,

⑤전자금융보조업자가 제공하는 서비스의 품질수준을 정기적(연1회 이상)으로 평가할 것,

⑥전자금융보조업자가 사전 동의 없이 다시 외부주문 등 계약을 체결하거나 계약업체를 변경하지 못하도록 하고, 사전에 이에 동의할 때에는 해당 계약서에서 정한 사항을 기재하도록 통제할 것,

⑦업무수행인력에 대하여 사전 신원조회 실시 또는 대표자의 신원보증서 징구, 인력 변경 시 인수인계에 관한 사항 등을 포함한 업무수행인력 관리방안을 수립할 것, 외부주문 등은 자체 보안성 검토 및 정기 보안 점검 실시할 것 등이다.

평가 결과보고

재무건전성 및 서비스 품질에 대한 평가 결과를 금융감독원장에게 보고하여야 하고, 금융감독원장은 그 평가 실시 여부를 정보기술부문 실태평가에 반영할 수 있다.

업무위수탁 운영기준 준수

외부주문 등을 하고자 할 때에는「금융기관의업무위탁 등에 관한 규정」제3조의2에 따른 자체「업무위수탁운영기준」을 준수하여야 한다.

- 업무위수탁운영기준 수립 시 고려사항

- 업무 위탁에 따른 비용․편익 분석

- 금융이용자 피해 발생 및 금융질서 문란 여부

- 제3자가 관련 법규에 따라 업무위탁이 가능한지의 여부

- 금융실명거래 및 비밀보장에 관한 법률 등 관련법령에의 저촉여부

외부주문 등 금지

금융회사 등은「금융기관의 업무위탁 등에 관한 규정」제3조에 따라 정보기술부문에 대하여 외부주문 등을 할 수 없는 업무를「업무위수탁운영기준」에 반영하고, 내부인력(규정 <별표1> 2.가목 및 3.가목에 해당하는 인력을 말함)으로 하여금 처리하도록 하여야 한다.

- 내부인력 수행 업무(예시)

①인가 등을 받은 금융업의 본질적 요소를 포함하는 업무(단, 코스콤과 저축은행중앙회에 원장을 위탁하고 있는 금융회사는 제외한다.)

②관련법령에서 금융회사 등이 수행하도록 의무를 부여하고 있는 업무

③업무 위탁으로 인해 금융회사 등의 건전성 또는 신인도를 크게 저해하거나 금융질서의 문란 또는 금융이용자의 피해 발생이 심히 우려되는 업무

④금융회사 등의 주요정보를 직접 취급하고 해당 정보 유출로 인한 사고 발생 위험이 매우 높고 사회적 파장이 매우 큰 업무

⑤자금이체, 주식매매 등 자금 이동을 수반하는 업무와 관련하여 정보기술부문의 사고로 인해 직접적이고 중대한 금전적 사고를 유발할 수 있는 업무

⑥정보처리시스템의 관리자(Root) 권한으로 수행해야 하는 업무

정보기술 부문 및 전자금융 사고 보고

중대한 사고가 발생한 경우에는 지체 없이 이 규준에서 정하는 별지 서식에 따라 금융위원회 및 금융감독원장에게 각각 보고하여야 한다.

- 사고 보고 대상

①정보처리시스템 또는 통신회선 등의 장애로 10분 이상 전산업무가 중단 또는 지연된 경우

②전산자료 또는 프로그램의 조작과 관련된 금융사고가 발생한 경우

③해킹, 컴퓨터악성코드 유포 등 전자적 침해 행위로 인해 정보처리시스템에 사고가 발생하거나 이로 인해 이용자가 금전적 피해를 입었다고 금융회사 등에게 통지한 경우

④전자금융거래법 제9조제1항의 규정에서 정하는 사고

- 접근매체의 위조나 변조로 발생한 사고

- 계약체결 또는 거래지시의 전자적 전송이나 처리과정에서 발생한 사고

위기 징후 보고

금융회사 등은 사고 보고를 고의로 지연하거나 은폐한 자에 대하여 소정절차에 따라 징계 등 필요한 조치를 취하여야 한다. 금융위원회의 금융전산분야 위기대응실무매뉴얼에 따라 행동매뉴얼을 수립․운용하는 금융기관은 금융전산사고 포함하여 금융전산위기징후를 금융위원회에 보고하여야 한다.

세계 각국도 사이버전에 대응준비

최근 세계 각국은 사이버전(戰)에 대응할 고급 해커 인력을 양성하고 있다. 미국 대통령 버락 오바마는 2013년 국정연설에서 사이버 공격의 위험성을 경고하였고, 이를 단호히 대처하겠다고 발표한 바 있다. 오바마 대통령은 중국의 국가주석 취임 축하 전화에서 사이버 안보를 언급했다고 한다. 중국과 사이버 신(新)냉전을 벌이고 있는 미국은 최근 사이버사령부 규모를 현재 900여명에서 앞으로 5년 안에 군인·민간인 등 4,900여명으로 5배 이상 늘리는 계획을 승인했다. 미국은 매년 약 4조 5,000억원을 들여 사이버 전쟁 훈련을 실시하고 있다. 물론 미국에서도 금융기관 침해사고 등 사이버범죄와 테러가 발생함으로써 정보보안에 대한 관심이 높아지고 있다. 우리나라도 정보보호 및 시스템 보안기술 개발에 투자를 확대시켜야 할 것이다.

공공기관의 IT부문 내부통제수단

금융회사 등은 정보기술부문 내부통제 모범규준에 따라 내부규정의 개정과 직제 및 제도를 변경하여야 한다. 금융위원회와 금융감독원에서 제정한‘금융회사 정보기술부문의 보호업무 모범규준’의 평가항목에 따라 점검을 실시하여야 한다. 즉 은행, 증권, 보험, 카드업계 등 금융회사에 종사하는 경영진, 감사, 준법감시인, 정보처리 책임자 및 정보보호 책임자는 전자금융업무 감독규정과 모범규준을 숙지하고 준수하여야 한다. 그 뿐 아니라 이 모범규준의 내부통제 방법과 통제수단은 감사원의 피감기관인 정부기관, 정부투자기관, 지방자치단체, 지방공사 및 지방공단, 특별법인 등에도 유사한 필요성이 있다고 하겠다. 금융기관의 IT부문을 감독하는 금융감독원의‘금융회사 정보기술부문의 보호업무 모범규준’은 정부기관과 공공기관 등에게 많은 도움이 될 것이다.<끝>

참고자료

전자금융거래법 [시행 2012.9.2] [법률 제11461호, 2012.6.1, 타법개정] 금융위원회(전자금융팀)

전자금융감독규정 [시행 2011.10.10] [금융위원회고시 제2011-18호, 2011.10.10, 전부개정] 금융위원회(은행과)

금융회사 정보기술(IT)부문 보호업무 모범규준 2012. 10, 금융위원회, 금융감독원

IT 검사매뉴얼 2006. 금융감독원

ISO27001:2005 ISMS (Information Security Management Systems) - Security Techniques

김려성 공공기관의 정보시스템 감리 시행, 감사저널 2007.3. (사)한국감사협회

김려성 은행, 증권, 보험 등 금융회사의 IT부문 내부통제방법론 도입, 감사저널 2007.4. (사)한국감사협회

김려성 전산감사 용어론(電算監査 用語論), 감사저널 2007.5. (사)한국감사협회

김려성 IT 건강진단, 우리 회사의 IT는 얼마나 건강할까? 감사저널 2007.6. (사)한국감사협회

김려성 정보기술 다스리기(IT Governance), 감사저널 2007.8. (사)한국감사협회

김려성 정보보호[情報保護] 버그(Bug)가 살고 있는 컴퓨터, 감사저널 2007.9. (사)한국감사협회

김려성 정보보호[情報保護] 누가 우리(IT)를 괴롭히는가?, 감사저널 2007.11. (사)한국감사협회

김려성 감사실무의 정보화, 감사절차(監査節次)의 자동화, 감사저널 2008.2. (사)한국감사협회

김려성 정보보호[情報保護] 해커(Hacker)냐? 보안관이냐? 감사저널 2008.3. (사)한국감사협회

김려성 cyber범죄의 전자증거 제출, 컴퓨터 포렌식(Computer Forensic), 감사저널 2008.4. (사)한국감사협회

김려성 정보보호[情報保護] IT 가상 전쟁, 감사저널 2008.6. (사)한국감사협회

김려성 IT감사, 리스크 관리[Risk Management] 너는 누구냐?, 감사저널 2008.7. (사)한국감사협회

김려성 IT 감사-GRC(Governance Risk management Compliance) 指向 ‘e-감사’에센스(Essence), 감사저널 2008.11. (사)한국감사협회

김려성 IT내부통제와 IT감사, 제9기 내부감사연수에서 강의 2009.6.24.~26, (사)한국감사협회

김려성 감사실 정보화! 이것이 알고 싶다, 소프트꼬레아(Soft Corea) 2010.6.15. (주)진한엠엔비

김려성 정보보호[情報保護] 개인정보영향평가를 어떻게 실시하는 게 좋을까? 감사저널 2012.11/12. (사)한국감사협회

김려성 IT감사-금융회사 정보기술부문의 보호업무 모범규준 해설 2013.신년호 (사)한국감사협회

김려성 IT감사-금융회사 정보기술부문의 보호업무 모범규준 내부통제 2013.3~5 (사)한국감사협회

행정안전부, 한국인터넷진흥원 개인정보 암호화 조치 안내서 (V e r 1 .0) 2012. 10.

정보과학회지 2012.1 제30권 제1호 통권272호, 특집 제목: 보안 참조