최근 연이은 해킹 위협 대응차원에서 금융사의 내부 업무망과 인터넷망의 분리가 의무화될 전망이다.
전산 사고는 실무자만 책임을 지는 관행을 없애고 최고 경영자도 중징계를 받을 을 수 있게 할 계획이다.
27일 금융권에 따르면 금융위원회는 이런 내용의 금융전산보안 강화 종합대책을 내주 발표할 예정이다.
이번 대책의 핵심은 내·외부망이 얽혀 있어 해킹으로 정보 유출이 쉬운 금융사의 약점을 근본적으로 해결하는 데 주안점을 뒀다.
고객 정보를 노린 전문 해커뿐만 아니라 북한, 국제해커집단 ‘어나니머스’까지 금융사를 주요 표적으로 삼고 있기 때문이다. ‘3·20’ 금융·방송 전산 마비 사고 이후에는 망분리가 악성코드나 해킹 등의 공격에서 내부 정보를 보호할 수 있는 최고의 해법으로 여겨지고 있다.
국민은행 등 일부 대형 금융사들이 망분리 솔루션을 구축하기는 했으나 대부분 금융사는 그렇지 못한 상황이다.
이에 따라 금융 당국은 금융사 전산망 분리 및 백업 체계 운영 관련 가이드라인을 만들 예정이다.
금융당국 관계자는 “해킹을 근본적으로 막고자 금융사가 조기에 망 분리를 할 수 있도록 유도하기로 했다”면서 “망 분리만 제대로 되면 전산 사고로 인한 고객 정보 유출을 상당 부분 예방할 수 있다”고 말했다.
정보통신(IT) 보안에 대한 최고경영자의 책임도 커진다.
과거 현대캐피탈과 삼성카드, 하나SK카드 등 고객정보 유출로 물의를 빚은 카드사와 전ㆍ현직 사장은 모두 경징계를 받았지만 앞으로는 사정이 달라질 전망이다. 최고 경영자도 금융보안과 관련해 보고를 받는 만큼 사고 때 실무 당사자들과 동등한 수준의 책임을 묻겠다는 게 금융당국의 의지다.
당시 정태영 현대캐피탈 사장은 ‘주의적 경고’, 최치훈 삼성카드 사장은 ‘주의’, 이강태 전 하나SK카드 사장은 ‘주의적 경고 상당’이라는 경징계를 받았다. 앞으로 대형 전산 사고가 일어나면 ‘문책 경고’, ‘직무 정지’까지 내려질 수 있을 것으로 보인다.
보안 인력 운영을 위한 '5·5·7' 규정은 현행대로 유지한다.
이 규정은 전체 직원의 5%를 IT인력으로 채용하고 IT인력의 5%는 보안인력, IT예산의 7%는 정보보호 예산으로 편성하도록 한 것으로 2011년 도입됐다.
/디지털미디어부