자산 2조원 이상 금융회사 전산분석 전담반 구성해야

금융위 '전자금융감독규정' 개정안 11월 시행

[아시아경제 최일권 기자] 앞으로 총자산 2조원·종업원 수 300명 이상인 금융회사는 내·외부 전문가로 구성된 자체전담반을 꾸리고 해마다 전산시스템 취약점을 분석해야 한다. 또 금융회사에서 사용하는 업무용PC는 인터넷망과 외부메일 접근이 원천 차단된다. 전산 관련 침해사고대응기관으로는 금융결제원과 코스콤이 지정됐다.

금융위원회는 이 같은 내용의 '전자금융감독규정' 개정안을 오는 11월23일부터 시행한다고 16일 밝혔다.

개정안에 따르면 종업원 수 300명 이상인 금융회사는 보안 취약점을 분석하고 평가하기 위해 정보보호최고책임자(CISO)를 반장으로 하는 자체전담반을 구성해야 한다. 다만 외부의 평가전문기관에 위탁할 경우에는 전담반 구성 의무를 면제해주기로 했다.

이병래 금융위 금융서비스국장은 이날 가진 정례브리핑에서 "전산 보안 취약점을 지속적으로 보완하기 위해 금융회사가 주기적으로 들여다보도록 한 것"이라고 말했다.

금융위는 또 국경 간 전자상거래가 활성화되는 추세를 반영해 앱스토어를 통한 전자지급결제대행(PG) 업자의 등록요건도 완화하기로 했다. 지금까지는 환율변동 위험 등의 이유로 국내에 등록되지 않은 해외 PG업체를 이용하는 게 불가능했지만 앞으로는 국내 전산설비가 없어도 해외에 해당 설비와 인력이 있다면 등록이 가능한 것이다.

금융위는 이와 함께 금융회사 업무망과 인터넷망을 분리하도록 한 '망분리'도 감독규정에 포함하고, 관련 가이드라인을 발표했다.

이에 따라 내년 말까지 각 금융회사는 전산센터의 물리적 망분리(업무용과 인터넷용PC 별도 사용)를 마쳐야 한다.

이 국장은 "업무망과 인터넷망이 얽히다 보니 금융사고 발생 가능성이 큰 것으로 나타났다"면서 "망분리를 의무화할 필요성이 제기됐다"고 설명했다.

가이드라인에서는 망분리 이후 인터넷이 가능한 PC에 대해서도 '읽기전용'만 허용할 뿐 문서편집은 불가능하도록 했다.

시스템의 보안 업데이트 파일을 설치·관리하는 목적의 패치관리시스템 역시 인터넷과 분리돼 오프라인 방식으로 운영된다. 보안관리자가 프로그램을 직접 받아 시스템을 주기적으로 업데이트해줘야 한다.

다만 망분리에 따른 불편을 해소하기 위해 인터넷망과 업무망간 완충지대인 중계서버를 이용해 파일 송수신은 가능토록 했다.

금융위는 또 개인고객이 인터넷뱅킹을 이용할 때 추가인증을 해야 하는 '전자금융사기 예방서비스'를 오는 26일부터 전면 시행한다고 밝혔다.

최일권 기자 igchoi@asiae.co.kr