오픈뱅킹 전면실시에 따라 IT리스크 합동훈련을 실시하여 안전성 확보에 만전을 기하겠습니다.

[둥글이]

오픈뱅킹 전면실시에 따라 IT리스크 합동훈련을 실시하여 안전성 확보에 만전을 기하겠습니다.

■ 금융위원회와 금융결제원 등은 오픈뱅킹 전면실시(12.18.수)에 앞서 IT리스크 합동훈련을 실시하여 기관별 대응현황 및 체계를 정비

■ 금융위원회 금융혁신기획단장이 직접 훈련을 주재하여 리스크별 발생 가능한 금융사고에 대한 준비 상황을 점검

1

개 요

□ 금융위원회와 금융결제원은 12월 13일 오후 4시부터 금융결제원에서 오픈뱅킹 전면실시에 앞서 IT리스크 합동훈련을 실시하였습니다.

ㅇ 이번 훈련은 금융위, 금결원 외에 금감원, 금보원, 신정원, 기은 등 유관기관과 금융회사·핀테크 기업이 함께 참여하였습니다.

<오픈뱅킹 전면실시에 따른 IT리스크 합동훈련 개요>

□ 일시/장소 : 2019.12.13.(금) 16:00～17:30, 금융결제원(서울 역삼)

□ 훈련내용 : 오픈뱅킹 서비스 전면실시 이후 발생할 수 있는 IT리스크로 인한 자료유출, 전산장애 등의 금융사고에 대해 금융위원회가 각 기관별 대응 체계 점검

□ 참가기관 : 금융위원회, 금융결제원, 금융감독원, 금융보안원, 신용정보원, 기업은행, 비바리퍼블리카, 카카오페이 등

2

오픈뱅킹 보안강화를 위한 그간의 노력

□ 「금융결제 인프라 혁신 방안(‘19.2.25)」을 통해 오픈뱅킹 도입 방안을 수립한 이후, 그간 관계기관 점검회의* 등을 거쳐 오픈뱅킹 리스크 요인에 대한 보안성 확보 조치를 추진해 왔습니다.

* 은행권 실무협의회(’19.3~4월), 오픈뱅킹 활성화 세미나(’19.4.15) 및 설명회(‘19.6.20) 등

※ (참고) 오픈뱅킹 관련 주요 보안성 확보 조치

□ ①이용적합성 승인(금결원) 및 ②기능테스트(금결원), ③보안점검*(금보원)을 통과한 핀테크 업체에 한하여 참여를 허용

* ⅰ) 이용기관 보안점검 : 핀테크기업 등의 보안관리체계에 대한 점검(30개 항목),

   ⅱ) 핀테크서비스(앱/웹) 취약점 점검 : 중요정보보호, 거래정보 위·변조, 서버보안 등 취약점 점검(웹 12개, 앱 17개 항목)

□ 기존 운영시스템 증설(저장용량 : 4TB → 60TB), 24시간 이상거래탐지(FDS) 시스템을 통해 이상거래 탐지 등 중계시스템 안정성 확보

□ 이용기관 보증보험 가입을 통해 부정사용 등 금융사고시 운영기관(또는 금융회사)의 신속한 소비자 피해 보상체계 구축

□ 또한, 지난 10월부터 혁신금융서비스에 지정되거나 오픈뱅킹에 참여하는 핀테크 기업들에 대한 보안점검 예산지원을 추진하였습니다.

* 핀테크 보안지원 추경 예산(9.85억원)을 바탕으로 핀테크 기업의 상시 신청을 받아 금융보안 전문기관이 핀테크 기업의 혁신금융서비스 및 오픈뱅킹 보안점검을 추진

(‘19.10.21., 「핀테크 보안지원 사업 관련 추가경정 예산집행」 보도자료 참조)

3

금번 훈련의 주요 내용

□ (훈련목적) 정보유출, 서비스마비, 부정거래 등 오픈뱅킹 실시 관련다양한 위기상황 발생 가능성에 대비하고 사고를 예방하기 위해

ㅇ 그간 적용해온 오픈뱅킹 관련 보안성 확보 조치 이행여부, 사고예방 및 대응체계를 종합 점검하게 되었습니다.

□ (훈련내용) 오픈뱅킹 서비스 준비과정에서 사고발생 가능성이 가장높은 대표적 위험 사례를 도출하고,

ㅇ 디도스 공격, 악성코드 유포, 전산장애 등 각종 IT 리스크에 대비해 발생 가능한 사고 시나리오를 구성하고 훈련하였습니다.

ㅇ 관계기관, 전문가 등이 참여한 훈련 회의를 통하여 대응방안을 밀도있게 점검하는 형식으로 진행하였습니다.

< (사례) 해킹대응 사고예방 훈련 >

4

향후 계획

□ 이번 훈련을 통해서 오픈뱅킹 업무와 관련한 사고에 대비하여 전체 참여기관간 상황 전파 및 예방·대응·복구체계를 마련하는 등 대국민 금융서비스 편익과 안전성에 만전을 기할 예정입니다.

□ 또한, 내년부터는 더욱 안전하고 국민에게 신뢰받는 오픈뱅킹을 위해 보안관리를 보다 강화할 계획입니다.

ㅇ 특히, 기존 오픈플랫폼 이용기관과 전자금융업자에 대해서도 추가 보안점검을 실시하도록 하고, 보안점검 미이행 기관의 경우 오픈뱅킹 서비스 이용이 제한*될 수 있음을 알려드립니다.

* 다만, 보안점검기관의 점검지연 등 특별한 사정이 있는 경우, 서비스 중지 대신 점검기한 연장 등의 조치도 가능

【 참고 : 오픈뱅킹 보안관련 추가점검 실시 】

□ 기존 오픈플랫폼(금결원) 이용기관 :

  (현행) ‘20년까지 이용기관 보안점검 유예 → (강화) ‘20년 1/4분기까지 보안점검 필요

□ 「전자금융거래법」 상 전자금융업자 :

  (현행) 자체 보안점검 결과 제출 후 오픈뱅킹 참여가능 →
  (강화) ‘20년 2/4분기까지 자체점검결과에 대한 확인점검(보안점검기관), 이후 자체점검 폐지

□ 위와 같은 오픈뱅킹 보안관리 강화와 병행하여,

ㅇ ‘19년 핀테크 보안 추경 예산지원 사업기간을 내년 초까지 연장*하여 오픈뱅킹에 참여하는 핀테크 기업의 어려움도 해소해 나가겠습니다.

* 「국고보조금 통합관리지침」 제25조 제2항 보조사업비의 이월에 따른 조치