금감위 ‘전산 망분리 가이드라인’
설치용 ‘패치관리체계’ 보안 강화
외부메일 차단·USB 사용제한도

결제원·코스콤 사고대응기관 지정
자체전담반 보안취약점 지속 분석


앞으로 금융회사 내 업무용 컴퓨터(PC)는 원칙적으로 인터넷망과 외부메일이 차단된다. 전산보안을 강화하기 위해 업무용PC에 설치되는 ‘패치관리시스템’도 인터넷과 분리ㆍ운영하도록 해 외부 접근을 원천 차단했다.

금융위원회는 지난 7월 발표한 ‘금융전산 보안강화 종합대책’의 일환으로 이 같은 내용의 ‘금융전산 망분리 가이드라인’을 마련했다고 16일 밝혔다. 우선 금융회사는 PC 보안을 강화하기 위해 ‘업무용PC’와 ‘인터넷PC’를 구분해 사용해야 한다. 업무용PC로는 인터넷을 할 수 없도록 인터넷망이 차단되고 외부에서 들어오는 메일도 볼 수 없다.

반대로 인터넷PC는 내부 업무망 접근이 원천 차단된다. 인터넷은 가능하지만 외부메일은 읽기 기능만 이용할 수 있다. 문서 편집은 관리자의 승인 하에 제한적으로 허용된다.

이에 따라 업무망PC에서는 금융회사 내부메일만 이용할 수 있고, 외부메일은 인터넷PC에서만 확인할 수 있다. 직원들간 파일 송수신은 인터넷망과 내부 업무망을 이어주는 중계서버 등을 이용해야 한다.

금융위는 또 전산보안의 취약점을 해결하기 위해 업무용PC에 설치ㆍ운영하는 패치관리시스템의 보안도 강화했다. 앞으로 백신업체 등은 패치관리시스템을 인터넷과 분리해 운영해야 하고, 비인가된 PC나 이동식저장장치(USB), 노트북 등으로 접속할 수 없도록 통제된다.

금융위는 ‘전자금융감독규정 개정안’ 규정 변경도 예고했다. 금융전산 보안대책을 시행하기 위한 법적 근거를 마련한 것이다.

개정안은 금융결제원과 코스콤을 금융전산 침해사고대응기관으로 지정하고, 금융위가 이 두 기관을 포함해 침해사고 합동조사단을 구성ㆍ운영할 수 있도록 했다.

총자산이 2조원이 넘고 직원 수가 300명 이상인 금융회사는 정보보호최고책임자(CISO)를 반장으로, 내ㆍ외부전문가가 참여하는 자체전담반을 구성하고 매년 전산보안 취약점을 분석ㆍ평가해야 한다.

다만 외부 평가전문기관에 위탁할 경우 자체전담반을 운영하지 않아도 된다. 이보다 작은 규모의 금융회사는 분석ㆍ평가 항목이 축소되고 자체전담반도 구성하지 않아도 된다.

금융회사의 전산센터는 내년 말까지 내ㆍ외부통신망을 분리ㆍ운영해야 하고 본점과 영업점은 단계적으로 확대하도록 했다. 정보처리시스템에 접근할 때는 신분증(ID)과 비밀번호 확인 이외에 추가 인증이 의무화된다.

한편 금융위는 스마트폰 어플리케이션(앱ㆍ응용프로그램) 등을 통한 국가간 전자상거래의 대한 결제대행업무를 수행하는 전자금융업자의 등록요건을 완화했다. 국내 소비자와 해외 판매자에게 동시에 서비스를 제공한다는 점을 감안해 해외 계열사의 물적 시설 및 인력을 이용해 영업할 수 있도록 허용했다. 

최진성 기자/ipen@heraldcorp.com