금융회사 정보보호를 위한 전자금융거래법 주요 컴플라이언스 실무 이해

안녕하세요 직장인 블로거 입니다. 저는 금융회사에서 정보보호 관련 업무를 하다 보직이동으로 IT감사 업무를 하고 있습니다. 

 

정보보호관련 교육은 전자금융거래법 상 필수 이수 교육으로 매년 꾸준히 듣고 있는데 오늘은 이중 주요 전자금융거래법 컴플라이언스에 대해 실무적인 이해를 돕기 위한 설명을 간단히 하려 합니다. 

 

 

 

 

 

전자금융거래법 주요 컴플라이언스는 아래와 같습니다.

 

1.고객정보 유출 방지 의무

- 금융정보 저장 및 전송 시 암호화 및 홈페이지 등 공개용 서버 관리, 전산자료 보호대책, 해킹 방지 대책 등

 

2.보안시스템을 통한 접근 통제 의무

- 외부에서의 접근 통제, 전/현직 직원의 내부 서버에 대한 접근 통제 강화, 홈페이지 등 공개용 서버 관리 대책 등

 

3.금융IT침해사고 예방 대응 체계 강화 의무

- IT아웃소싱 업체에 대한 전문성, 보안 수준 등 관리검토, 이용자 비밀번호 관리 등

 

 

이 중 3번에 '이용자 비밀번호 관리'는 최근 이슈가 되고 있는 대형 금융사의 직원에 의한 고객 비밀번호 무단 변경에 의해 제가 많이 관심을 가지고 있는 부분 입니다. 

 

관련 뉴스

http://www.dailian.co.kr/news/view/868834?sc=Naver

우리銀 '비밀번호 무단 도용' 2018년 7월 첫 시도 확인

위와 같은 사태가 발생할 수 있었던 주요 원인은 고객이 비밀번호를 등록할 때 본인 인증 절차가 별도로 필요없다는 기술적 허점을 이용하여 발생한 사태 입니다.

 

뉴스를 보면 알겠지만 비밀번호 변경을 무단으로 한 이유는 설문 실적을 위해 고객이 설문한 것처럼 등록하려했다고 보도가 됬는데 이유가 어찌되었든 비밀번호가 무단으로 변경될 수 있는 기술적 관리가 부실했다는 점이죠.

 

 

위 3가지 전자금융거래법 주요 컴플라이언스를 위해 금융회사에서 실무적으로 어떤 노력이 진행되는지 설명하겠습니다.

 

 

1. 금융정보 저장 및 전송 시 암호화 및 홈페이지 등 공개용 서버 관리, 전산자료 보호대책, 해킹 방지 대책 등

 

금융정보를 저장한다는 의미는 대면, 비대면 등 금융 상품과 관련한 계약의 진행과 전자금융 서비스를 이용한 정보 등 전체적으로 금융업과 관련된 정보를 의미합니다. 이런 정보들은 비중요 정보, 중요 정보, 개인정보 등으로 나누어 지는데 특히 개인정보같은 경우 암호화 알고리즘을 적용한 통제안이 요구됩니다. 

 

 

홈페이지와 같이 내부 서버가 아닌 대외 고객이 접속해야 하는 서버를 DMZ영역에 두어 관리, 운영하는 서비스는 특히 해당 Zone에서 발생하는 여러 데이터를 내부보다 강화되어 관리해야 합니다.

 

예를 들어 사용자 비밀번호가 해당 서버를 통해 내부 서버로 인입되는 경우 전송 구간에 https와 같은 암호 영역을 적용해야 하며 DMZ와 같은 공개용 서버 Zone에 접근할 수 있는 사용자의 권한을 좀더 강화해서 통제해야 합니다.

 

또한 전산자료가 외부로 유출되지 않도록 문서 암호화, 파일 전송 승인 시스템, 망분리, 워터마킹 등 승인없이 자료의 유출이 이루어 지지 않도록 물리적, 관리적, 기술적 보호대책을 강구해서 운영해야 합니다.

 

 

 

 

해킹 방지 대책으로는 사용 OS의 주기적인 업데이트와 APT공격에 대한 지속적인 정보 수집, 내부 직원에 의한 악의적 해킹 프로그램 실행등이 이루어 지지 않도록 USB등의 외장매체 사용 통제가 이루어 집니다. 

 

 

2. 외부에서의 접근 통제, 전/현직 직원의 내부 서버에 대한 접근 통제 강화, 홈페이지 등 공개용 서버 관리 대책 등

 

위 1번 같은 맥락입니다만 정보 유출과 관련해서 외부에서 접근이 불가하도록 방화벽,IDS등 접근이 불가하도록 통제해야 하고 불가피할 경우 SSL VPN과 같은 통신장비를 사용하되 권한 통제가 가능해야 합니다.

 

또한 전/현직 직원에 의한 무단 자료 유출이 발생할 수 있으므로 프린터 체이서와 같은 출력 시 승인 체계 및 로그 내역 보관등을 할 수 있는 시스템이 구비되어 사후 추적까지 용이해야 하며 2 Factor 인증 시스템(접근통제시스템)을 통해 접근 시 상시 승인을 받아 접근할 수 있도록 인프라가 갖추어져 있어야 합니다.

 

 

특히, 홈페이지와 같은 DMZ구간은 외부에서 서버 접근이 불가하도록 강화된 방화벽 정책을 가져야 하며 DMZ내 데이터 보관 시 비밀번호 일방향 암호화, HTTPS와 같은 통신 보안 정책도 적용할 수 있습니다.

 

 

3. IT아웃소싱 업체에 대한 전문성, 보안 수준 등 관리검토, 이용자 비밀번호 관리 등

 

특히나 금융기관에서는 고객 정보와 관련한 민감한 정보가 많고, IT 아웃소싱에 의한 개발 프로젝트, 외주용역의 의존이 많으므로 이러한 인력에 대한 통제 및 시스템 전문기관과의 업무 체결 등 사전 및 사후에 관리해야 할 항목이 많습니다.

 

전자금융 감독규정에서는 외주인력에 대한 보안 점검 사항을 아래와 같이 정리하고 있습니다.

 

또한 외주인력이 업무 수행을 마치고 퇴실 시 금융회사는 아래와 같은 사항을 중점적으로 점검하여 혹시 모를 정보유출에 대한 사후 점검을 철저히 해야 합니다.

 

마지막으로 제가 위에 공유한 기사와 같이 이용자 비밀번호는 특히 강화해서 관리하여야 하며 일방향 암호화로 복호화가 불가능한 암호화 알고리즘을 적용하여 관리하는 것이 안전합니다.

 

이상으로 금융회사에서 전자금융거래법 및 전자금융감독규정과 관련한 실무적인 컴플라이언스에 대하야 제가 아는 지식 및 경헝에 대하여 설명하였습니다.