전산사고에 망 분리·백업센터 구축으로 대응

금융당국이 망 분리와 금융권 공동 백업센터 구축, 최고정보보안책임자(CISO) 위상 강화 등 전방위 대책을 마련한 것은 기존 시스템으로는 진화하는 보안사고에 대응하기 어렵다고 판단했기 때문이다.

최근 사이버공격이 동시다발적으로 발생하고 대형화해 금융권을 아우르는 기반시설과 인적 역량 강화가 필요하다고 본 것이다.

◇대형화·지능화하는 보안위협 “심각한 수준”

11일 금융위원회와 한국은행에 따르면 올해 3월 기준으로 인터넷뱅킹 가입자 수는 8천940만명이다. 거래금액은 하루 평균 33조804억원에 달한다.

전체 금융서비스 가운데 창구에서 이루어지는 전통적 ‘대면거래’는 12.3%뿐이다. 나머지 87.7%는 현금자동입출금기(CD·ATM)와 텔레뱅킹, 인터넷뱅킹 등 ‘비대면거래’로 이루어진다.

전자금융거래를 이용하는 비중이 늘다 보니 사이버공격이나 전산 장애가 발생하면 불편과 혼란으로 이어진다.

2011년 4월에는 사흘 동안 농협의 인터넷뱅킹을 비롯해 폰뱅킹, CD·ATM 업무가 마비돼 고객들이 불편을 겪었다.

당시 피해를 완전히 복구하는데 한 달 이상이 걸렸고 30만건 이상의 민원이 제기됐다.

올해 3월에는 이른바 3·20 사태로 농협은행과 신한은행, 일부 보험사 전산이 한꺼번에 먹통이 됐다.

은행들이 영업시간을 연장하고 발 빠른 피해 복구에 나섰지만 고객들의 불편은 막지 못했다.

더 큰 문제는 최근의 전산사고가 이처럼 여러 금융회사에 동시다발적·반복적으로 발생하는 경향이 있다는 점이다.

3·20사태 당시에 금융사 전산 시스템을 위협했던 것도 바로 지능형지속위협(APT) 공격이었다. 동시 다발적으로 전산자료를 파괴해 금융시스템을 일시에, 대량으로 마비시키는 공격법이다.

결국 금융당국은 점점 대형화·지능화하는 사이버공격으로 기존 대응체계가 힘을 쓰지 못하는 상황에서 보안 체계에 대한 대대적인 손질이 필요하다고 판단했다.

◇망 분리·백업센터 구축으로 선제적 대응

금융당국은 우선 악성코드 피해를 줄이는 대안으로 거론돼 온 ‘망 분리’를 의무화하기로 했다.

인터넷용 컴퓨터와 업무용 컴퓨터를 분리해야 한다는 뜻이다.

시중은행의 한 IT업무 담당자는 “업무의 효율성이나 비용 문제, 관리 문제 때문에 물리적 망 분리의 필요성을 느끼면서도 시행하지 못한 금융사들이 적지 않다”고 설명했다.

금융회사는 내년 말까지 전산센터에 대해 물리적 망 분리를 의무적으로 실시해 인터넷망을 원천 차단해야 한다. 물리적 망 분리는 업무용 컴퓨터와 인터넷용 컴퓨터를 아예 따로 쓰는 것이다.

본점과 영업점은 금융회사의 자산 규모와 임직원 수를 고려해 단계적으로 망 분리를 추진한다. 소프트웨어를 이용해 컴퓨터 한 대를 인터넷용과 업무용으로 쓸 수 있도록 하는 논리적 망 분리도 가능하다.

이를 위해 금감원은 총자산 2조·임직원 수 300명 이상인 금융회사 84곳을 대상으로 의견을 수렴해 추진 일정을 결정한다.

금융사마다 비슷했던 보안수준 규정도 총자산과 전자금융거래 이용고객 수 등을 고려해 차별화한다.

금융위는 위기가 발생했을 때 대응할 컨트롤타워와 백업 전용센터를 만드는 등 대응체계도 강화하기로 했다.

현재는 전산 시스템을 삭제하는 사이버공격을 당하면 중요한 금융정보가 손실된다.

앞으로는 기존의 재해복구센터(제2백업센터) 외에 사이버공격, 지진, 테러 등에 대비해 중요 금융정보를 저장·보관하는 금융권 공동 백업 전용센터(제3백업센터)를 지하 벙커 형태로 만든다.

실제로 미국과 이스라엘은 폐광 등을 활용해 정부와 민간이 벙커 형태로 백업센터를 운영하고 있다.

금융위 주관 하에 관련기관이 참여하는 ‘금융전산 보안 협의회’를 만들어 금융결제원과 코스콤, 금융보안연구원 등 유관기관의 역할을 조정하고 사건 발생 시 효율적으로 대응할 계획이다.

금융결제원 금융정보공유분석센터(ISAC) 안에 침해사고분석 전담조직을 설치하고, 전자금융거래를 제공하는 금융사는 금융 ISAC 모니터대상에 편입시켜 실시간 모니터링이 가능하도록 할 방침이다.

◇CISO 독립성 강화…은행 검사시 지주사 IT자회사 포함

금융당국은 최고정보보호책임자(CISO)의 위상과 독립성을 높이기로 했다.

우선 최고정보책임자(CIO)가 CISO를 겸직함에 따라 업무 경계가 모호해지고 보안보다 효율성이 우선시될 수 있기 때문에 자산 10조원 이상·임직원 1천500명 이상의 금융회사는 CISO 전임제도를 따라야 한다.

CISO 전임자는 권한에 비해 사고 발생 시 책임이 너무 무거워질 수 있으므로 3년 이내에서 최소한의 임기를 보장하기로 했다.

최고경영자(CEO)의 책임은 더 무거워진다.

금융위는 CEO의 정보기술부문 계획 확인·서명을 통해 전산사고 발생에 대한 CEO의 책임을 명확히 하고, CEO가 면책근거 등 보안인력 사기진작 방안을 마련하도록 할 계획이다.

정보유출 등 전산사고가 났을 때 금융회사가 홈페이지에 원인과 사고 내용을 공시하는 방안도 검토한다.

이번 종합대책에는 잦은 전산사고로 도마 위에 오른 농협을 겨냥한 조치도 포함됐다.

우선 금융위는 지주사와 IT자회사, 금융회사 간 전산관리 책임을 명확하게 하도록 감독을 강화하고 지주사의 주력 자회사 검사 시 지주사의 IT자회사도 연계검사를 할 방침이다.

지주사가 관리하는 통합 전산에 악성코드가 감염되면 전체 계열사로 확산할 수 있지만 IT검사는 주로 은행과 증권사 등 주력 계열사에 집중되기 때문이다.

금융위는 지주사와 자회사간 업무 위수탁 계약 시 전산사고에 따른 책임을 명확하게 규정하도록 하고 전산사고가 잦은 금융회사는 보완조치 이행계획을 집중적으로 관리할 방침이다.

연합뉴스