[뉴스핌=김연순 기자] 최근 들어 지능화되는 보안위협과 금융권 IT보안 사고를 예방하기 위해 내년 말까지 금융전산센터의 업무망과 인터넷망 분리가 의무화된다. 또 금융권이 공동으로 내년부처 단계적으로 지하 벙커에 백업전용센터(제3백업센터)를 구축한다. 아울러 36개 금융회사 정보보호최고책임자(CISO)의 겸직이 금지되고 안전조치 위반시 최대 6개월의 업무정지를 부과한다.

동시에 카드사에서 운영중인 이상거래탐지시스템(FDS)을 전자금융거래를 취급하는 은행·증권 등으로 확대 구축한다.

금융위원회는 11일 지난 3월 20일 농협·신한은행 등 금융전산 사고를 계기로 금융권 전산보안 전반에 대한 실태점검과 TF 운영을 통해 이 같은 내용을 골자로 하는 종합적인 개선대책을 마련했다고 밝혔다.

금융위원회 이병래 금융서비스국장은 이날 브리핑에서 "날로 대형화·지능화되는 보안위협에 대응하기 위해 금융보안에 대한 패러다임 전환이 필요한 시점"이라며 "이번 종합대책은 금융회사가 자율적인 노력을 통해 전산 사고를 방지할 수 있도록 제도적·기술적 보안관리 체계 강화에 중점을 뒀다"고 밝혔다.

◆ 지하벙커에 금융권 공동 백업전용센터 구축

이번 종합대책에 따르면 금융권은 기존 재해복구센터(제2백업센터) 외에 사이버공격, 지진, 테러 등에 대비해 중요 금융정보를 저장·보관하는 금융권 공동 백업전용센터(제3백업센터)를 지하 벙커 형태로 구축키로 했다.

올해 하반기 은행권 공동 태스크포스(TF)를 구성해 내년부터 은행권에서 우선 추진한 후 타 업권으로 확대한다는 방침이다. 이는 전산시스템을 파괴(삭제)하는 사이버공격과 지진·테러 등에 의한 전산센터 파괴시 중요 금융정보가 영구 손실될 가능성을 막기 위해서다. 이병래 국장은 "제3센터 가시화시기는 은행권 TF를 구성해 하반기에 논의하고 내년부터 단계적으로 추진할 계획"이라고 밝혔다.

아울러 금융회사 전산센터는 2014년 말까지 물리적인 망분리를 해야 한다. 통신망을 물리적으로 업무용과 인터넷 등 2대로 구분해야 하는 것이다. 본점과 영업점은 단계적인 망분리를 추진한다. 현재까지 전산센터와 본점, 영업점까지 전체적으로 망분리된 곳은 기업은행 한 곳 뿐이다. 

전산센터가 망분리된 곳은 전체 17개 은행 중 9개 은행이며, 본점의 경우 기업은행 외에 신한은행, 광주은행이 완료된 상태다. 금융회사들은 총자산, 임직원 수 등 규모별로 단계적으로 추진하되 망분리 방식은 선택 가능하다.

금융위는 망분리에 따른 비용이 금융회사별로 다양하지만, 금융권에 큰 부담이 크지는 않을 것으로 보고 있다. 현재 전산센터의 물리적 망분리의 경우 10억~40억원 정도가 소요될 것으로 예상된다.

이 국장은 "대형사 망분리의 경우 새로운 전산센터를 설립하는 것이 아니기 때문에 예산 때문에 (망분리에) 차질이 발생할 것으로 보지는 않는다"면서 "은행들이 감내하지 못할 정도로 비용이 들어가지는 않는다"고 밝혔다.

이 국장은 이어 "논리적인 망분리가 비용이 덜 들어가기 때문에 은행들이 그쪽으로 갈 것으로 생각할 수 있지만 은행들도 논리적 망분리보다는 물리적 망분리가 확실하기 때문에 그 부분을 고려할 것으로 생각한다"고 덧붙였다.

또한 금융권은 침해사고분석 전담조직을 금융ISAC내에 설치하고, 공격에 대응한 훈련 시나리오 보완, 단말기 긴급 복구체계를 마련해야 한다.

동시에 금융위의 컨트롤타워 역할을 강화하기 위해 금융위 주관하에 금융권 전산 보안 관련기관이 참여하는 '금융전산 보안 협의회'를 설치하기로 했다. 협의회는 금융위 사무처장을 의장으로 분기 1회 회의을 소집할 예정이다.

◆ 36개 금융회사 CISO 겸임금지
 
또한 금융위는 현재 금융회사의 최고정보관리책임자(CIO)가 정보보호최고책임자(CISO)를 겸임하고 있지만, 자산 10조원 이상이면서 임직원이 1500명 이상인 36개 금융회사는 CISO를 전임으로 두도록 규정했다. CISO의 부당한 인사상 불이익을 금하고 최소한의 임기를 보장한다. 대상에선 금융지주회사는 빠지고 카드사도 일부 제외될 것으로 보인다.

이병래 국장은 "전체 금융회사 중에서 상위 10~15% 정도 회사를 대상으로 전임제를 도입하려고 한다"면서 "구체적인 대상은 시행령에서 규정할 것"이라고 말했다.

또 안전조치 의무 위반시 최대 6개월의 업무정지를 부과하기 위한 세부기준을 마련하고, 중대 전산사고 빈발 금융회사를 집중 점검, 관리한다. 금융자회사 검사시 금융지주사와 IT자회사도 연계 검사를 실시하고 정보유출 등 전산사고시 해당 금융회사 홈페이지에 공시하는 방안도 검토한다. 또 CEO의 정보기술부문계획 확인·서명을 통해 전산사고 발생에 대한 CEO의 책임을 명확히 하기로 했다.

이 국장은 "6개월 업무정지와 관련해선 법근거는 마련됐고, 거기에 대한 세부규정을 마련해 제재규정에 반영을 해야 한다"면서 "업무정지 범위에 대해선 규정을 마련할 때 구체화할 것"이라고 설명했다.

이와 함께 금융위는 이상금융거래 탐지시스템(FDS) 구축도 확대키로 했다. 이에 카드사에서 운영중인 이상거래탐지시스템(FDS)을 전자금융거래를 취급하는 은행·증권 등으로 확대 구축하고, 자체 탐지한 이상금융거래 정보를 전 금융권과 공유하는 체계를 구축한다.

금융위원회는 CISO전임제와 인사상 불이익 금지 등을 담은 전자금융거래법 개정은 내년에 추진할 방침이다. IT보안업무 관련 가이드라인은 올 하반기중 마련하고, 침해사고 대응 전단반 운영, 전산센터 망 분리 등의 시행령과 감독규정 개정은 올해말까지 개정한다. 제 3센터 구축, 본점과 영업점 망 분리는 2014년 이후 추진할 계획이다.

[뉴스핌 Newspim] 김연순 기자 (y2kid@newspim.com)