본문 바로가기

보안칼럼

이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.

국내 금융기관과 인터넷 뱅킹이용자를 향한 사이버공격이 계속되고 있습니다.



인터넷뱅킹 이용자의 예금을 인출하기 위해 공인인증서와 계좌정보를 탈취하려는 공격은 매일 일어나고 있으며 기발한 속임수와 공격 기법이 다양하게 발견되고 있습니다.


금융기관들 역시 끊임없이 ATP공격에 시달립니다. 대형 시중은행이 정교한 해킹에 의해 전산거래기능이 통째로 마비되고, 거래 근거를 완전히 잃어버린 경우도 있었습니다.



정부 발표에 의하면 우리나라의 전자금융거래 이용 비중이 87.7%, 거래액은 일 평균 33조원에 달한다고 합니다.


전자금융거래는 복잡한 수학식에 의존하여 논리적인 거래증명만을 남길 뿐, 유형의 물리적인 거래증거를 남기지 않고 돈을 이동시키기 때문에 데이터가 삭제되거나, 거래시스템의 보안이 무너지면 회복이 불가능한 피해를 입게 됩니다.


또 전자금융거래의 중단은 실 경제에도 엄청난 영향을 끼칠 수 있기 때문에 전자금융은 모든 수단을 동원해 철벽 같은 보안을 유지해야 하는 분야일 것입니다.


지난 7월 11일, 정부는 전자금융거래의 발달만큼이나 증가하는 침해 위협에 대응하기 위해 ‘전자금융 안전성 제고를 위한 금융전산 보안 강화 종합대책’을 발표했습니다.


발표된 대책은 크게 금융전산 위기대응체계 강화 / 금융회사의 전자금융기반시설 보안 강화 / 금융회사의 보안조직, 인력역량 강화 / 금융이용자 보호 및 감독 강화 / 금융회사의 자율적 보안노력 지원 등의 카테고리로 구분되어있으며 아래의 상세 계획을 포함하고 있습니다.



- 금융권 보안전담조직 체계화
- 금융권 공동 제3백업센터 구축
- 재해복구 대책 정비 및 훈련
- 물리적 망분리 의무화를 통한 내부망 보호, 특히 백신 업데이트를 위한 패치관리시스템(PMS)이 외부에 연결되어 보안시스템이 악성코드 유포 경유지로 활용되는 문제까지 지적.
- ‘금융보안 관리체계 인증제도’도입 추진
- CIO-CISO의 겸직 금지 및 직무 독립성 보장
- 전산보안인력 사기진작 방안
- 금융보안 전문인력 양성 및 교육 강화, 임직원 보안교육 강화, 내부보안 통제 강화
- 금융 이용자 보호를 위한 이상금융거래 탐지시스템 구축 확대, 금융회사 사칭 불법사이트 접속 차단.
- 금융지주회사 및 IT자회사 감독을 강화하고 전산사고 빈번한 금융회사는 집중관리 되며 업무정지 등 제재기준도 마련.
- 중소형 금융회사 보안 및 새로운 IT기술을 활용한 전자금융거래의 자체 진단을 가능하도록 하는 보안가이드라인 지원.


정부는 위와 같은 종합대책과 함께 2013년 하반기부터 2014년까지 추진될 계획의 구체적인 추진일정 및 규제 마련 계획까지 함께 배포해 금융전산보안 강화의 의지를 나타냈습니다..


정부와 업계의 노력으로 다소 정체되었던 금융보안분야에 활기찬 변화가 생기기를 기대합니다.