전자금융감독규정, 금융권의 신속한 재해복구 위한 조항 마련  




[보안뉴스 김경애] 최근 금융과 IT 간의 융합화로 인해 이용자의 편리성은 증대된 반면, 예기치 못한 화재, 정전, 홍수, 해킹 등과 같은 각종 자연적 또는 인위적 재해 발생으로 온라인 서비스가 장시간 중단되거나 복구가 불가능한 상황이 발생할 수 있다. 이 때문에 보안성·안전성 측면에서 재해복구 시스템 운영은 매우 중요하다.


재해복구(Disaster Recovery)는 재해로 인해 중단된 정보처리 시스템을 사전에 준비된 계획과 자원을 바탕으로  재개하는 것을 말한다. 재해복구 관련법을 살펴보면 △전자금융감독규정 제11조(전산실 등에 관한 사항) △전자금융감독규정 제23조(비상대책 등의 수립·운용), △전자금융감독규정 제36조(재해복구센터 보안성심의) 등이 있다. 이에 본지는 관련 조항을 중심으로 재해복구 시스템의 구축 및 운영 규정을 소개하고자 한다.

먼저 ‘전자금융감독규정 제11조(전산실 등에 관한 사항)’를 살펴보면 다음과 같다.

첫째, 재해 및 외부 위해(危害) 방지대책을 수립·운용해야 한다.

둘째, 상시 출입문은 한 곳으로 정하며 상시 출입은 업무와 직접 관련이 있는 사전 등록자에 한해 허용하고, 그 밖의 출입자에 대해서는 책임자의 승인을 받아 출입하도록 하며 출입자 관리기록부를 기록·보관해야 한다.

셋째, 상시 출입이 허용된 자 이외의 출입자의 출입사항에 대해서는 전산실의 규모 및 설치장소 등을 감안해 무인감시카메라 또는 출입자동기록 시스템 설치 등 적절한 조치를 취하여 사후 확인이 가능하도록 해야 한다.

넷째, 출입문은 이중 안전장치로 보호하며, 외벽이 유리인 경우 유리창문을 통해 접근할 수 없도록 조치를 취해야 한다.

다섯째, 천정·바닥·벽의 침수로 인한 정보처리시스템의 장애가 발생하지 않도록 외벽과 전산장비와의 거리를 충분히 유지하고 이중바닥 설치 등 방안을 강구해야 한다.

여섯째, 적정수준의 온도·습도를 유지하기 위해 온도·습도 자료 자동기록장치 및 경보장치 설치 등 적절한 조치를 취해야 한다.

일곱째, 케이블이 안전하게 유지되도록 전용 통로관 설치 등 적절한 보호조치를 강구해야 한다.

여덟째, 정전에 대비해 조명설비 및 휴대용손전등을 비치해야 한다.

아홉째, 집적정보통신시설(Internet Data Center : IDC) 등과 같이 다수의 기관이 공동으로 이용하는 장소에 정보처리 시스템을 설치하는 경우에는 미승인자가 접근하지 못하도록 적절한 접근통제 대책을 마련해야 한다.

열 번째, 전산센터 및 재해복구센터, 전산자료 보관실, 정보보호시스템 설치장소, 그 밖에 보안관리가 필요하다고 인정되는 정보처리시스템 설치장소 등 중요 시설 및 지역을 보호구역으로 설정 관리해야 한다.

열한 번째, 국내에 본점을 둔 금융기관의 전산실 및 재해복구센터는 국내에 설치해야 한다.

열두 번째, 무선통신망을 설치하지 않아야 한다.
이어 ‘전자금융감독규정 제23조(비상대책 등의 수립·운용)’에 따르면 첫째, 금융회사 또는 전자금융업자는 장애·재해·파업·테러 등 긴급한 상황이 발생하더라도 업무가 중단되지 않도록 △상황별 대응절차 △백업 또는 재해복구센터를 활용한 재해복구계획 △비상대응조직의 구성 및 운용 △입력대행, 수작업 등의 조건 및 절차 △모의훈련 실시 △유관기관 및 관련업체와의 비상연락체제 구축 △보고 및 대외통보의 범위와 절차 등 업무지속성 확보방안을 수립해야 한다. 



 ▲ 금융회사 재해복구센터 구축·운영가이드, 전자금융감독규정 제23조    (출처: 금융보안연구원)
둘째, 금융회사 등은 긴급한 상황에 업무가 중단되지 않도록 업무지속성 확보대책에는 정보처리 시스템의 마비를 방지하기 위한 비상지원인력 확보·운영 등 비상사태에 대비하기 위한 안전대책이 반영돼야 한다.

셋째, 금융회사 또는 전자금융업자는 제1항의 규정에 따른 업무지속성 확보대책의 실효성·적정성 등을 매년 1회 이상 점검해 최신상태로 유지하고 관리해야 한다.

넷째, 국가위기관리기본지침에 따라 금융위원회가 지정한 금융회사는 금융위원회의 금융전산분야 위기대응실무매뉴얼에 따라 위기대응행동매뉴얼(이하 행동매뉴얼)을 수립하고 이를 금융위원회에 알려야 한다. 

다섯째, 금융위원회가 별도로 지정하지 아니한 금융회사 또는 전자금융업자는 자연 재해, 인적 재해, 기술적 재해, 전자적 침해 등으로 인한 전산시스템의 마비 방지와 신속한 복구를 위한 비상대책을 수립해야 한다.

여섯째, 행동 매뉴얼 또는 다섯째에 따른 비상대책에는 제1항의 규정에 따른 업무지속성 확보대책이 반영돼야 한다.

일곱째, 금융회사 또는 전자금융업자는 중앙처리장치, 데이터저장장치 등 주요 전산장비에 대하여 이중화 또는 예비장치를 확보해야 한다.

여덟째, 금융회사는 시스템 오류, 자연재해 등으로 인한 전산센터 마비에 대비해 업무지속성을 확보할 수 있도록 적정 규모·인력을 구비한 재해복구센터를 주전산센터와 일정거리 이상 떨어진 안전한 장소에 구축·운용해야 하며, 복구목표시간은 3시간 이내(다만, 제10호의 금융회사는 24시간 이내로 한다)로 해야 한다.

아홉째, 여덟째에 따른 재해복구센터를 운영하는 금융회사는 매년 1회 이상 재해복구센터로 실제 전환하는 재해복구전환훈련을 실시해야 한다. 

이어 전자금융감독규정 제36조(재해복구센터 보안성심의)에 따라 금융회사 또는 전자금융업자는 전산실을 신규로 설치·이전하거나 재해복구센터를 구축하는 경우 금융감독원장에게 보안성 심의를 요청해야 한다.

이외에도 ‘금융회사 정보기술(IT)부문 보호업무 이행지침’ 중 위기대응체계 강화를 위해서는 재해복구센터 운영시 주 전산센터에서 발생한 위험에 영향을 받지 않는 지리적 거리에 재해복구센터가 위치해야 하며, 재해복구센터에 설치되는 시스템의 성능 및 운영 인력은 금융회사의 비상시 업무처리가 가능한 수준 이상으로 충분하게 확보해야 한다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>