[YOU] 사이버 보안과 자율보안체계 구축

사이버보안

• IT 시스템 및 데이터를 잠재적 디지털 위협으로부터 보호하는 행위

자율보안체계란

• 시장 참가자들이 원칙적 규제의 틀 안에서 스스로 세부 규율을 정하고, 이를 이행하기 위해 자율적으로 점검하는 자율규제 하의 보안체계

자율보안 체계 구축 추진 배경

• 핀테크 산업 활성화를 위해 IT 보안규제의 패러다임을 사전규제에서 사후규제로 전환함에 따라 금융회사 스스로 정보보안 및 내부통제를 강화하고, 민간 중심의 자율적 보안체계를 확립할 수 있는 기반을 조성해야 했음
  • 타율적 규제에서 자율적 규제.
• 블랙스완: 아무도 예상하지 못한 사태가 실제로는 발생할 수 있다
  • 금융의 디지털화 급속 진행으로 인한 새로운 금융보안 위험에는 어떤 것이 있는지 예측하기가 어려워지고 있다.
• 현 금융보안 규제체계는 경직적 규정 중심으로 세세하게 열거되어 있는 사전 통제의 성격이 강하여 유연한 보안 대응을 어렵게 한다는 지적
  • 보안의 목표가 금융보안이 아닌, 열거된 규정의 준수로 왜곡돼 인식되고 있는 것은 아닌가
  • 규정에 없다는 이유로 적절한 조치를 취하지 않거나, 더 효과적인 수단이 있음에도 규정상의 소극적 의무만을 고집하는 것 등

이 지적은 굉장히 신랄하다. 정해진 가이드라인만 충족해서 대충 떼우려는 대학생들의 과제를 하는 모습과 오버랩되기도 한다. ㅋㅋ 이런 행태가 기업에서도 이루어질 수 있다. 인간이라면 한번 방심한 순간 나태를 쫓게 된다.

자율보안체계 확립을 위한 기관★ 역할

• 보안관리 주체★ 역할을 재정립하면, 규제 공백 발생 우려를 해소할 수 있고, 금융권 자율보안체계 조기 안착을 도모할 수 있다.
• 규칙 중심에서 원칙 중심으로 전환하여 목적을 제시하고 나머지 상세 부분은 자율에 맡김

  규칙 중심에서 원칙과 목표 중심으로 전환되었다는 사실에 박수. 어느 업종이든지 겉보기 식으로만 진행되고 있는 것들이 있다.

• 금융위, 금감원
  • 전자금융거래법규 등을 원칙중심으로 정비하고, 상시감시, 검사 강화 등 금융권 자율보안 기반을 마련
• 금보원
  • 금융회사 자체 보안성 검토 시 기술지원, 보안 가이드 마련 등 자율보안을 지원하는 금융보안 전문기관으로서의 역할
  • FDS 정보공유, 보안 정책 및 기술 지원, 교육지원 등
• 금융협회
  • 금융업권별로 보안 관련 협의체 활성화 및 가이드 마련으로 자율보안체계 기반 조성 지원
• 금융회사
  • 자체 보안 점검과 관리체계를 구축, 보안 역량을 강화
  • IT보안투자 확대, 자체점검, 내부통제 강화 등

금융회사 입장에서는 번거로울 수 있는 추가 업무가 생긴 것. 이를 담당할 인력과 그들의 역량이 굉장히 중요해질 거 같다.

자체 점검과 책임강화와 관련한 세부 추진방안

• 금융회사의 자율점검 강화
  • IT보안상 취약점은 해당 금융회사가 가장 잘 파악 가능
  • 전문인력이 부족한 중소형 금융회사는 자체 감사와 점검이 어려움
  • 점검주기에 비해 점검항목이 많아 형식적으로 이행할 가능성도 있음
  • 개선방안
    • 감사 역량이 부족한 회사를 위해 내부감사 가이드라인 및 교육프로그램 마련
    • 지나치게 세세한 항목보다 필수항목 위주로 개편하여 실효성 제고
  • 자체 보안 수준이 향상될 것
• 책임보험 가입수준 합리화
  • 전자금융사기에 의한 사고가 지속 증가함
  • 전자금융사고 책임이행 보험가입(보상한도) 규모가 낮음
  • 능동적인 책임이행 도모할 것
• FDS 정보공유체계 구축
  • 금감원의 이상금융거래에 대한 공동 대응을 위해 FDS 추진협의체를 구성운영 중
  • 전 금융권으로 협의체를 확대 구성할 필요가 있음
  • 금융 정보공유분석센터(ISAC)를 운영하는 금보원에 FDS 정보공유시스템 구축
    • FDS 고도화가 필요한 카드사와 PG사 등으로 협의체 확대하여 효과 극대화
  • 이상금융거래 대응수준이 대폭 향상될 것

IT보안역량 향상과 관련한 세부 추진방안

• 민관 협력채널 다각화와 활성화
  • 금융회사의 자율성이 보장된 현 상황에서는 금융보안 우수, 사고 사례 등의 양질 축적을 위한 정보공유와 협업이 무엇보다 중요함
  • 금융권 전반의 보안수준 및 침해대응 능력이 향상될 것
• 금융보안 관련 가이드지침 신속 정비
  • 민간 자율의 가이드 적기 제정을 유도함
  • 자율규제 풍토 조성 및 개★ 금융회사의 자율성이 보장될 것

민간 자율의 보안성 검토 체계 구축과 관련한 세부 추진방안

• 금융회사 자체의 보안성 검토 지원체계 구축
  • 자체 보안성 검토의 실효성 확보를 지원해야 함
  • 객관적인 전문가 필요 시 전문기관에 의뢰할 수 있는 프로세스 구축
• 핀테크 기술의 보안수준 진단 체계 구축
  • 핀테크 기술에 대한 객관적 보안성 검증 체계 미비
  • 전문기관에 보안수준 진단 의뢰 환경 마련

감시체계 강화와 관련한 세부 추진방안

• 금융보안리스크에 대한 상시감시 강화
  • 금융회사는 규정상 여러 보고서를 정기, 수시로 금융위와 금감원에 제출하고 있지만, 보고서 품질은 미흡함
    (업무보고서, IT부문계획서, 취약적 분석평가 결과보고서, 사고보고서, 자체 보안성 심의 결과보고서 등)
  • 보고서의 표준 양식 제정
  • 다양한 상시감시 수단을 통한 사후점검 및 검사 강화 기반 구축

미 이행시 불이익

• 자율보안체계를 구축하지 않거나 보안사고가 발생할 경우, 사후 책임이 강화됨

Ref)
2015년 금융위에서 출간한 자율보안체게 구축 현황 보고서