금융회사 정보기술부문의 보호업무 모범규준 내부통제 2013. 3~5 감사저널에 게재

[김려성]

금융회사 정보기술부문의 보호업무 모범규준 내부통제

2013. 3~5 감사저널에 게재

김 려 성 (소프트 꼬레아 저자)

2. 정보기술 부문 내부통제

정보기술부문 내부통제 모범규준에 따라 금융회사 등은 내부규정의 개정과 직제 및 제도의 변경이 필요하다. 금융위원회와 금융감독원에서 제정한‘금융회사 정보기술부문의 보호업무 모범규준’의 평가항목과 점검사항을 준수하여야 한다. 즉 은행, 증권, 보험, 카드업계 등 금융회사에 종사하고 있는 경영진, 감사, 준법감시인, 정보처리 책임자 및 정보보호 책임자는 내부통제방법론을 숙지하고 집행하여야 한다. 그 뿐 아니라 이 내부통제 방법과 통제수단은 감사원의 피감기관인 정부기관, 정부투자기관, 지방자치단체, 지방공사 및 지방공단, 특별법인 등의 정보기술부문 보호업무에도 도움이 될 것이다.

정보기술부문 계획수립 및 운용

금융회사 등은 매년 정보기술부문 계획을 수립하여 전산운영위원회 등 독립적 조직의 검토와 심의를 거쳐 해당 기관장의 승인을 받은 후 운용하여야 한다. 정보기술부문계획에 포함할 사항은 다음과 같다. 추진목표 및 전략(전자금융업무 추진목표 및 전략과 연계), 직전년도 정보기술부문 계획 추진 실적, 정보기술부문 책임 및 관리 체계, 전자금융거래 및 정보기술부문 현황, 취약점 분석․평가 결과 및 이행계획 조치 결과, 당해 연도 정보기술부문 계획, 소요 자원 및 인력․예산, 그 밖에 금융회사 등의 사장이 필요하다고 인정한 사항, 상기 모든 사항에는 관련된 정보보호에 관한 사항을 포함한다.

임원성과 평가반영

정보기술부문계획에 대한 이행 실적을 관련 임원의 성과평가에 반영하여야 한다. 경영부문 및 정보기술부문의 환경과 상황을 고려하여 적절한 정성지표와 정량지표를 개발하여 평가 시행한다.

- 성과 지표(예시)

- 정성지표: 계획의 적정성, 법규준수도, 보안만족도 등

- 정량지표: 계획 이행율, 보안사고․ 민원 발생율, 사고피해규모 등

정보기술부문 내부통제

전자금융거래 및 정보기술부문과 관련된 사업 중 조직에 미치는 영향이 크거나 내부직무전결기준에 따라 부서장 전결 금액 이상의 사업에 대해서는 사전에 충분히 타당성 검토를 실시하여야 한다. 정보처리시스템 구축 및 전자금융거래와 관련하여 정보처리시스템의 안전성과 신뢰성을 확보하기 위하여 정보처리시스템을 개발할 때에는 분석·설계 단계부터 보안대책을 강구하여야 한다.

계약체결 시 준수사항

정보처리시스템 구축 및 전자금융거래와 관련된 계약 체결 시에 다음의 사항을 준수하여야 한다. 적합한 업체의 공정한 선정을 위하여 객관적인 세부평가기준 등 업체 선정 기준 및 절차를 마련하여 운용할 것, 정보처리시스템의 안전성과 신뢰성을 확보하기 위하여 업체 선정 기준 및 절차의 내용에 보안대책 관련 사항을 포함할 것, 내부감사규정에 따라 감사가 정한 금액 이상의 계약에 대하여는 자체 감사를 실시하거나 검사부서의 승인을 받아야 한다.

정보처리시스템 감리

정보처리시스템의 안전성 및 효율성 확보를 위하여 전자금융업무 및 그 기반이 되는 정보기술부문과 관련된 외부주문 등의 감리 기준을 포함한 정보처리시스템 감리지침을 작성․운용하여야 한다. 외부주문 등에 대한 감리를 수행 할 수 있도록 전문 인력과 조직을 갖추어야 한다. 외부주문 등에 대한 감리를 종료한 때에는 감리보고서를 최고경영자에게 보고하고 개선이행계획에 따라 개선조치 등을 이행하여야 한다. 감리보고서에는 다음과 같은 사항을 포함하여야 한다. 감리 개요는 목적, 대상, 기간, 감리조직 및 감리인, 외부주문 등에 대한 감리 적용 기준, 감리 결과, 지적사항 등에 대한 사후 개선이행계획 등이다.

직무분리

다음의 업무를 수행하는 인력에 대하여 직무를 분리․운용하여야 한다. 내부인력과 전자금융 보조업자 및 유지보수업자 등을 포함한 외부인력, IT개발․운영 등 정보기술부문 인력과 정보보호인력, 프로그래머와 오퍼레이터, 응용프로그래머와 시스템프로그래머, 시스템보안관리자와 시스템프로그래머, 전산자료관리자(librarian)와 그 밖의 업무 담당자, 업무운영자와 내부감사자, 그 밖에 내부통제와 관련하여 직무의 분리가 요구되는 경우이다. 전산원장, 주요정보 등이 저장된 정보처리시스템에 대한 중요작업 수행 시 소관 업무 책임자가 이중 확인하여야 한다.

프로그램 및 일괄작업 통제

프로그램 등록․변경․폐기 절차를 수립․운용하여야 한다. 프로그램 등록․변경․폐기절차에 포함할 사항은 다음과 같다. 운영시스템 적용은 처리하는 정보의 기밀성·무결성·가용성을 고려하여 충분한 테스트 및 관련 책임자 승인 후 실시할 것과 전자 금융거래에 사용되는 전산프로그램은 실제 업무를 처리하는 정보처리시스템에 설치하기 전에 자체 보안성 검증을 실시할 것 등이다. 안전하고 체계적인 일괄(Batch)작업의 수행을 위하여 소관 업무 책임자가 일괄작업 수행자의 주요업무 관련 행위를 모니터링하여야 한다.

파밍수법으로 고객정보 탈취당해

2013년 2월 전문 해커들이 파밍 수법으로 은행 고객 컴퓨터에 담긴 공인인증서 460여개를 빼내간 사실이 확인됐다. 파밍(Pharming)이란 가짜 사이트를 미리 개설하고 사용자 컴퓨터를 악성코드에 감염시켜 진짜 사이트 주소를 넣어도 가짜 사이트에 접속하도록 해 개인정보를 빼내는 피싱수법이다. 탈취된 가짜 사이트에 사용자들은 아무런 의심 없이 개인ID, 패스워드, 거래정보를 등록함으로써 개인정보를 쉽게 노출시키게 된다. 금융결제원은 이 사실을 확인, 유출된 공인인증서를 일괄 폐기했다. 금융결제원이 공인인증서를 폐기한 것은 시간을 지체하다 자칫 대형 금융사고가 터질 것을 예방한 조치다. 금융감독원은 공인인증서가 유출된 사실을 확인하고, 은행권에 공인인증서가 유출된 고객을 대상으로 인증서 폐기사실을 고지하고, 고객의 비밀번호 변경, 보안카드 교체 등을 지도하였다.

내부사용자 비밀번호 관리

내부사용자비밀번호관리 내부사용자의 비밀번호 유출을 방지하기 위하여 다음의 사항을 정보처리시스템에 반영하여야 한다. 단말기 비밀번호 부여 기준에 따라 비밀번호를 부여하고 분기별 1회 이상 정기적으로 변경하여야 한다.

- 단말기 비밀번호 부여 기준은 다음과 같다.

- 비밀번호는 생년월일, 주민등록번호, 전화번호 등을 포함하지 않은 숫자와 영문자 및 특수문자 등을 혼합하여 8자리 이상으로 부여한다.

- 비밀번호 보관 시 암호화, 시스템마다 관리자 비밀번호를 다르게 부여한다.

- 비밀번호 입력 시 5회 이내의 범위에서 미리 정한 횟수 이상의 입력오류가 연속하여 발생한 경우 즉시 해당 비밀번호를 이용하는 접속을 차단하고 본인 확인절차를 거쳐 비밀번호를 재부여 또는 초기화 한다.

이용자 비밀번호 관리

이용자 비밀번호의 유출을 방지하기 위하여 연속하여 5회 이내의 범위에서 미리 정한 횟수 이상의 비밀번호 입력 오류가 발생한 경우 즉시 해당 비밀번호를 이용하는 거래를 중지시키고 본인 확인절차를 거친 후 비밀번호 재부여 및 거래 재개할 수 있도록 정보처리시스템에 반영하여야 한다. 이체 비밀번호 등 동일한 비밀번호가 다양한 형태의 전자금융거래에 공통으로 이용되는 경우, 입력오류 횟수는 이용되는 모든 전자금융거래에 대하여 통산하여 적용한다.

비상대책 등 수립

국가위기관리기본지침에 근거하여 금융위원회가 지정한 금융기관은 금융위원회의「금융전산분야 위기 대응 실무매뉴얼」에 따라「위기대응행동매뉴얼」을 수립․시행하여야 하고, 이를 수립 또는 중요사항을 변경한 경우 그 수립 또는 변경일로부터 1개월 이내에 금융위원회에 해당 행동매뉴얼을 제출하여야 한다. 금융위원회가 별도로 지정하지 아니한 자연 재해, 인적 재해, 기술적 재해, 전자적 침해 등으로 인한 전산시스템의 마비 방지와 신속한 복구를 위한 비상대책을 수립하여야 한다. 행동매뉴얼과 비상대책은 문서화되어 있어야 하고 이를 최초로 수립하거나 중요 사항을 변경하고자 할 때에는 최고경영자의 승인 후 시행하여야 한다.

업무 지속성 확보

장애, 재해, 파업, 테러 등 긴급한 상황이 발생하더라도 업무가 중단되지 않도록 예방하고, 중단되는 경우 이를 신속하게 복구할 수 있도록 행동매뉴얼 또는 비상대책에 업무지속성확보대책(BCP : Business Continuity Plan)을 포함시켜야 한다. 업무지속성확보대책에 포함할 사항은 다음과 같다.

①상황별 대응절차

②재해복구계획(백업 또는 재해복구센터 활용)

③비상대응조직의 구성 및 운용

④입력대행, 수작업 등의 조건 및 절차

⑤모의훈련의 실시

⑥유관기관 및 관련업체와의 비상연락체제 구축

⑦보고 및 대외통보의 범위와 절차 등이다.

비상지원 인력확보

비상사태에 대비하여 비상지원인력 확보를 포함한 안전대책을 업무지속성확보대책에 반영하여야 한다. 안전대책에 포함할 사항은 다음과 같다.

①파업 시 핵심전산업무 종사자의 근무지 이탈에 따른 전산시스템의 마비를 방지하기 위하여 핵심전산업무에 대한 비상지원인력을 확보․운영할 것

②비상사태 발생 시 금융전산망 마비 방지 및 신속한 원상복구 등을 위하여 정보처리시스템 운영에 대한 비상지원인력 또는 외부 전문업체 활용 등 다각적인 방안을 수립․운영할 것

③비상지원인력이 사용법을 충분히 이해하고 업무운용이 가능한 수준으로 전산시스템 운영지침서, 사용자매뉴얼 등을 쉽고 자세하게 작성하고 최신상태로 유지할 것

④비상지원 인력에 대하여 전산 핵심 업무 담당자 부재 시 동 업무 수행이 가능할 수 있는 수준으로 교육․훈련을 강화할 것 등이다.

재해복구센터 구축운용

금융위원회가 지정한 금융기관은 시스템 오류, 자연재해 등 전산센터 마비에 대비하여 핵심 업무에 대한 업무지속성을 확보할 수 있도록 재해복구센터를 구축․운용하여야 한다. ①재해복구센터는 적정 규모 및 인력을 구비하고 주전산 센터와 일정거리 이상 떨어진 안전한 장소에 구축․운용하여야 하며, 복구목표시간은 3시간(단, 보험회사는 24시간) 이내로 하여야 한다. ②업무지속성확보대책에 대해서 절차의 실효성, 비상지원인력의 적합성, 재해복구시스템 성능․용량의 적정성 등을 매년 1회 이상 검토하여 최신상태로 유지하고 관리하여야 한다. ③업무지속성 확보대책에 따라 매년 1회 이상 재해복구센터로 실제 전환하는 재해복구전환훈련을 실시하여야 한다.

금융기관 핵심업무

금융기관 핵심업무는 다음과 같다.

①은행: 여신, 수신, 외환, 인터넷 뱅킹, 어음․수표 교환, CD/ATM, 차액결제, 센터컷(Center Cut), 시스템 작업 등,

②증권: 주문체결, 계좌잔고, 출납매매, 선물옵션, 유가증권, 은행이체, 주문전달, 투자정보, HTS, 시스템 작업 등

③보험: 지급, 보전, 신계약, 재무, 대출, 자산운용, 콜센터, 사이버 창구, 시스템 작업 등 ④카드: 회원관리, 청구․회수, 채권, 가맹점관리, 승인, 신용판매, 국제, 센터컷, 현금서비스, 대외접속, 시스템 작업 등이다.

금융위원회가 지정한 금융기관

①「은행법」에 의해 인가를 받아 설립된 금융기관(단,「은행법」제58조에 의해 인가를 받은 외국금융기관의 국내지점은 제외한다)

②「한국산업은행법」에 의한 한국산업은행, 「중소기업은행법」에 의한 중소기업은행, 「농업협동조합법」에 의한 농업협동조합중앙회의 신용사업부문, 「수산업협동조합법」에 의한 수산업협동조합중앙회의 신용사업부문

③「자본시장과 금융투자업에 관한 법률」에 의한 투자매매업자․투자중개업자(단,「자본시장과 금융투자업에 관한 법률」 제12조에 의해 인가를 받은 외국 투자매매업자․투자중개업자의 지점 등은 제외한다)

④「자본시장과 금융투자업에 관한 법률」에 의한 증권금융회사 및 한국예탁결제원

⑤「자본시장과 금융투자업에 관한 법률」에 의한 한국거래소

⑥「여신전문금융업법」에 의한 신용카드업자(단, 법인신용카드 회원에 한하여 신용카드업을 영위하는 자는 제외한다)

⑦「보험업법」에 의한 보험요율산출기관

⑧「상호저축은행법」에 의한 상호저축은행중앙회

⑨「신용협동조합법」에 의한 신용협동조합중앙회

⑩「보험업법」에 의한 보험회사

비상대응훈련 실시

행동매뉴얼 또는 비상대책에 따라 연 1회 해킹, 서비스거부(DoS : Denial of Service)공격 등 전자적 침해사고에 대비한 비상대응훈련을 실시하고 이 규준에서 정한 서식에 따라 훈련결과보고서를 작성하여 훈련 종료 후 15일 이내에 금융위원회에 보고하여야 한다. 훈련결과보고서에 포함될 사항은 다음과 같다. ①훈련 개요: 훈련목적, 훈련참여자(부서, 기관 등), 훈련기간, 훈련대상(업무, 시설 등) ②훈련 시나리오 및 훈련 절차와 방법 ③훈련 결과 ④미비점 및 보완사항 등에 대한 사후 개선 이행 계획이다.

금융회사 등이 합동으로 훈련을 실시한 경우에는 합동 훈련을 주관한 기관 또는 훈련 참가 금융회사 등이 지정한 기관에서 합동훈련결과보고서를 제출한 것으로 갈음한다. 금융위원회는 금융분야 비상대응능력 강화를 위하여 금융회사 등을 선별하여 금융분야 합동비상대응훈련을 실시할 수 있다. 금융위원회는 합동비상대응훈련을 실시할 때, 침해사고대응전문기관 등 관계기관에게 지원을 요청할 수 있다.

합동비상 대응훈련 지원기관

합동비상 대응훈련 지원기관은 다음과 같다.

①「정부조직법」 제15조에 따른 “국가정보원(국가사이버안전센터)”

②「경찰법」 제2조에 따른 “경찰청(사이버테러대응센터)”

③「정보통신기반보호법」제16조에 따른 “정보공유․분석센터”

④ 그 밖의 비상대응훈련의 실효성 확보를 위하여 금융위원회가 필요하다고 인정하는 기관이다.

정보보호 교육계획 수립

임직원의 비상대응역량을 강화시킬 수 있도록 적합한 교육프로그램을 개발하고 필요한 정보보호교육계획을 매년 수립하여 시행하여야 한다. 금융회사 등이 임직원 최소이수 교육시간은 다음과 같다.

①임원: 3시간 이상 (단, 정보보호최고책임자는 6시간 이상)

②일반직원: 6시간 이상

③정보기술부문 업무 담당 직원: 9시간 이상

④정보보호 업무 담당 직원: 12시간 이상이다.

정보보호 교육의 내실화 및 실효성을 확보할 수 있도록 임직원의 정보보호 교육 이수 실적을 임직원의 연수 평가에 반영하여야 한다. 교육프로그램 개발과 정보보호 교육을 정보보호 전문교육기관에 위탁할 수 있다. 정보보호 전문 교육기관(예시)은

①금융연수원

②금융ISAC

③금융보안연구원

④그 밖의 금융위원회가 지정한 정보보호전문교육기관 등이 있다.

전자적침해행위금지 등

누구든지 전자적 침해행위를 하여서는 아니 되고, 전자적 침해행위로 인하여 전자금융기반시설이 교란․마비되는 등의 침해사고가 발생한 때에는 금융위원회에 이를 보고하여야 한다. 전자적 침해행위 유형은 다음과 같다.

①접근권한을 가지지 아니하는 자가 전자금융기반시설에 접근하거나 접근권한을 가진 자가 그 권한을 초과하여 저장된 데이터를 조작·파괴·은닉 또는 유출하는 행위

②전자금융기반시설의 데이터를 파괴하거나 전자금융기반시설의 운영을 방해할 목적으로 컴퓨터악성코드·논리폭탄 등으로 전자금융기반시설을 공격하는 행위

③일시에 대량의 신호를 보내거나 부정한 명령을 처리하도록 하는 등의 방법으로 전자금융기반시설의 작동에 오류를 발생하게 하는 행위 등이다.

침해사고 대응 등

침해사고에 대응하기 위하여 다음의 업무와 관련하여 금융위원회의 조치 또는 지시를 준수하여야 한다.

①침해사고에 관한 정보의 수집․전파

②침해사고 예보․경보

③침해사고에 대한 긴급조치 등이다.

피해 확산 방지 등

침해사고가 발생하면 그 원인을 분석하여 피해의 확산을 방지하기 위해 금융ISAC과 연계 등 필요한 조치를 취하여야 한다. 침해사고정보를 실시간으로 수집․탐지 및 분석․대응․전파 등을 할 수 있도록 금융ISAC과 연계 등 필요한 조치를 취하여야 한다. 금융ISAC은 금융회사등과 협의하여 연계에 필요한 세부방안을 마련․시행한다.

금융ISAC과 연계방안

①(연계대상) 인터넷 기반 전자금융업무를 제공하거나 인터넷 홈페이지를 운영하는 모든 금융회사 등

②(연계방법) 금융ISAC의 통합보안관제시스템에서 금융회사 등의 연계 대상 전자금융기반시설에 대한 침해사고정보를 실시간으로 수집․탐지 및 분석하여 필요한 대응조치를 공유․전파할 수 있도록 금융회사 등과 금융ISAC간 연계함

③(연계시기) 자산규모가 3조원이상인 금융회사는 2013년도 상반기까지 금융ISAC과 연계토록하고, 기타 금융ISAC 미연계 금융회사등도 단계적으로 연계 확대 추진함

- 자산규모가 3조원이상인 금융ISAC 미연계 금융회사는 정보기술(IT)부문 인력․예산 현황 공시 시 금융ISAC 연계 예정기한 등을 함께 공시하여야 한다.

- 기타 할부금융사․신용카드사․보험사 등 자산규모가 3조원이하의 금융ISAC 미연계 금융회사도 2013년까지 단계적으로 연계를 확대할 방안을 강구하여야 한다.

- 다만, 개별 저축은행은 저축은행중앙회로 전산시스템이 통합될 예정이므로 저축은행중앙회 통합일정에 맞춰 금융ISAC과 연계하여야 한다.

④(세부방안) 금융ISAC은 금융회사등과 협의하여 연계에 필요한 세부방안을 마련․시행함

침해사고 정보 공유체계

금융위원회는 금융회사 등에서 발생한 침해사고에 대해 신속한 대응 및 피해 최소화를 위하여 침해사고대응전문기관과의 침해사고 정보 공유체계를 구축․운영할 수 있다. 침해사고 대응 전문기관은 다음과 같다.

①국가정보원의 국가사이버안전센터

②경찰청의 사이버테러대응센터

③그 밖에 금융위원회가 지정한 침해사고대응전문기관 <다음호에 계속>

참고자료

전자금융거래법 [시행 2012.9.2] [법률 제11461호, 2012.6.1, 타법개정] 금융위원회(전자금융팀)

전자금융감독규정 [시행 2011.10.10] [금융위원회고시 제2011-18호, 2011.10.10, 전부개정] 금융위원회(은행과)

금융회사 정보기술(IT)부문 보호업무 모범규준 2012. 10, 금융위원회, 금융감독원

IT 검사매뉴얼 2006. 금융감독원

김려성 공공기관의 정보시스템 감리 시행, 감사저널 2007.3. (사)한국감사협회

김려성 은행, 증권, 보험 등 금융회사의 IT부문 내부통제방법론 도입, 감사저널 2007.4. (사)한국감사협회

김려성 전산감사 용어론(電算監査 用語論), 감사저널 2007.5. (사)한국감사협회

김려성 IT 건강진단, 우리 회사의 IT는 얼마나 건강할까? 감사저널 2007.6. (사)한국감사협회

김려성 정보기술 다스리기(IT Governance), 감사저널 2007.8. (사)한국감사협회

김려성 정보보호[情報保護] 버그(Bug)가 살고 있는 컴퓨터, 감사저널 2007.9. (사)한국감사협회

김려성 정보보호[情報保護] 누가 우리(IT)를 괴롭히는가?, 감사저널 2007.11. (사)한국감사협회

김려성 감사실무의 정보화, 감사절차(監査節次)의 자동화, 감사저널 2008.2. (사)한국감사협회

김려성 정보보호[情報保護] 해커(Hacker)냐? 보안관이냐? 감사저널 2008.3. (사)한국감사협회

김려성 cyber범죄의 전자증거 제출, 컴퓨터 포렌식(Computer Forensic), 감사저널 2008.4. (사)한국감사협회

김려성 정보보호[情報保護] IT 가상 전쟁, 감사저널 2008.6. (사)한국감사협회

김려성 IT감사, 리스크 관리[Risk Management] 너는 누구냐?, 감사저널 2008.7. (사)한국감사협회

김려성 IT 감사-GRC(Governance Risk management Compliance) 指向 ‘e-감사’에센스(Essence), 감사저널 2008.11. (사)한국감사협회

김려성 IT내부통제와 IT감사, 제9기 내부감사연수에서 강의 2009.6.24.~26, (사)한국감사협회

김려성 감사실 정보화! 이것이 알고 싶다, 소프트꼬레아(Soft Corea) 2010.6.15. (주)진한엠엔비

김려성 정보보호[情報保護] 개인정보영향평가를 어떻게 실시하는 게 좋을까? 감사저널 2012.11/12. (사)한국감사협회

행정안전부, 한국인터넷진흥원 개인정보 암호화 조치 안내서 (V e r 1 .0) 2012. 10.

정보과학회지 2012.1 제30권 제1호 통권272호, 특집 제목: 보안 참조