장원석 기자 wsjang@ciociso.com

내년부터 금융권을 대상으로 모바일 보안과 공인인증서 인증체제 강화, 장애인에 대한 전자금융 서비스 편의성 증대 등이 중점적으로 관리 감독될 전망이다.
최근 본사가 주관하고 있는 제2기 CISO 전략과정에서 강사로 참여한 송현 금융감독원 IT 감독 국장은 “금융회사의 IT 보안 인프라와 내부통제 시스템, 제제수준을 강화하고 CISO 도입 확산을 위해 노력하겠다”고 밝혔다.
이를 위해 금융감독원은 모바일 보안과 관련해 탈옥, 루팅, 앱위변조 탐지 및 차단, 악성프로그램 백신, 가상키보드제공, 통신 암호화, 확장 E2E 등 다양한 대책을 마련하고 있는지 중점적으로 살펴볼 예정이다. 이를 위해 심층방어(Defense-in-Depth) 기법을 활용하기로 했다. 심층방어 기법은 보안 기술을 이용해 우회 접속을 최대한 지연시키거나 아예 접속을 차단시키는 기술이다. 다만 이 경우, 속도 저하ㆍ장애 가능성 증가 등 문제 발생 소지가 있으므로 철저히 검증한 후 사용키로 했다.
공인인증서 발급 체제와 관련해서는 보이스피싱 종합대책의 일환으로 공인인증서 재발급 또는 300만 원 이상 이체 시 단말기 지정 또는 추가 인증하는 전자 금융사기 예방 서비스를 구축하기로 했다. 만약 미지정 단말기일 경우에는 휴대폰 SMS를 통해 인증하거나 영업점에 직접 방문 하는 방법을 취해야 한다. 은행권은 지난 9월부터 시행하고 있고, 비은행권은 내년 1분기중에 시범 시행할 예정이다.
또 장애인들이 금융 거래를 쉽게 할 수 있도록 하기 위해 내년 4월부터 장애인 차별 금지법을 적용해 장애인용 ATM 기기 설치 및 인터넷홈페이지 접근성 개선 등을 중심으로 추진한다. 이외에도 금융감독원은 보안 강화 종합대책의 일환으로 557 모범규준에 못 미치는 금융기관은 사유와 이용자보호에 미치는 영향을 홈페이지에 공지하는 것을 의무화할 방침이다. 또한 고객정보 보호 차원에서 IT보안 내부통제체계, IT 보안 시스템 취약점 및 개인정보보호법 준수여부 등을 중점 검사할 계획이다. 한편 정보보호 교육과 관련해서는 현재의 CISO 교육과정이 금융위원회가 지정한 정보보호 전문교육기관은 아니지만 현장 경영실태 조사 평가 시 참고하겠다고 밝혔다.

이에 대해 이날 참석한 수강생과 업계 관계자들은 △개인정보보호와 관련해서는 금융감독원이 콘트롤 타워 역할을 해줬으면 좋겠다 △CISO 자격 요선을 IT 출신으로만 한정 지을 것이 아니라 전 직군으로 개방했으면 좋겠다 △조속한 CIO와 CISO 겸직 금지 방안 마련 △정보보호 인력의 사기진작을 위한 제도적 장치 마련 △회사별로 CIO와 CISO 분리할 단계적 로드맵 제시 등이 있었으면 한다는 의견을 제시했다.
이에 대해 송현 국장은 “업계와 지속적으로 소통할 수 있는 창구를 다양하게 열어놓으며 CISO 교육 과정이 금감원이 인정한 과정은 아니지만 향후 현장 경영 평가 시 참고하겠다”며 CISO 과정에 대해 관심을 표명했다.
한편 이날 두 번째로 강의한 한순기 행정안전부 과장은 정부의 개인정보호정책에 대해 “현재 개인정보보호법이 엄격한 건 사실이지만 그렇지 않으면 우리나라에 뿌리내리기 어렵다”며 “금융권 및 대기업은 정부가 추진하는 개인정보 보호 수준에 충분히 따라올 수 있다고 판단하기 때문에 앞으로도 엄격하게 적용할 것”이라고 밝혔다.
개인정보보호와 관련한 2013년 중점 추진 사항으로는 △개인정보 제3자 제공 규제를 위한 관리 △개인정보 안정성 확보조치 강화 등을 추진할 계획이라고 밝혔다.