IT기술의 발달로 정보보호의 중요성은 갈수록 커지고 있고, 각종 보이스피싱과 파밍 등 금융보안 이슈 역시 끊이지 않고 발생하고 있다. 이 때문에 CISO의 역할은 그 어느 때보다 중요해지고 있다. 이에 본지는 금융보안원에서 발간한 ‘CISO를 위한 핸드북’ 가운데 CISO라면 꼭 알아야 할 핵심업무 체크리스트를 소개하고자 한다. CISO의 핵심업무 체크리스트는 크게 ①정보보호정책 ②정보보호조직 ③인적보안 ④물리적·환경적 보안 ⑤운영관리 ⑥IT도입·개발·유지보수관리 ⑦업무연속성관리 ⑧보안사고대응으로 구분된다.

①정보보호 정책

△정보기술부문 계획 수립·운용

금융회사 및 전자금융업자는 안전한 전자금융거래를 위해 정보기술부문에 대한 현실적이고 실현 가능한 장·단기 계획을 매년 수립한 후 대표자의 승인을 받아 금융위원회 제출해야 한다. 정책과 계획에는 정보보호 관련 법규를 위반 시 그 제재에 관한 세부 기준 및 절차 마련이 포함돼야 한다.(전자금융거래법 제21조제4항, 전자금융감독규정 제19조제1항, 제8조제1항제5호, 정보통신기반보호법 제5조)

②정보보호 조직

△정보처리시스템 관련 전담 조직 확보

금융회사는 전자금융거래의 안전성과 신뢰성을 확보할 수 있도록 금융위원회가 정하는 기준을 준수해야 하며, 정보처리시스템 및 전자금융업무 관련 전담 조직을 확보해야 한다(전자금융거래법 제21조제4항, 전자금융감독규정 제8조제1항제1호).

△정보기술부문 및 정보보호 인력

전자금융거래의 종류별 전자적 전송이나 처리를 위한 인력, 시설, 전자적 장치 등의 정보기술부문 및 전자금융 업무에 관련 기준을 준수해야 한다. 또한 규정된 인력 및 예산에 관한 사항을 준수해야 하며, 미이행 시 사유 및 이용자 보호에 미치는 영향 등에 대해 홈페이지 등을 통해 사업연도 종료 후 1개월 이내 공시해야 한다(전자금융거래법 제21조제2항, 제11조의2제2항, 제11조의2제3항, 전자금융감독규정 제8조제2항~제4항).

△손해배상 책임

전자금융거래법 제9조에 따라 이용자에게 손해가 발생할 경우에는 그에 대한 금융회사의 배상 책임이 따른다. 따라서 금융기관은 사고에 따른 배상 책임을 이행하기 위해 금융위원회가 정하는 기준에 따라 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 해야 한다(전자금융거래법제9조제1항~제3항, 동법 시행령 제8조, 전자금융감독규정 제5조 정통망법 제32조).

△정보보호 예산 비율

금융회사의 정보보호 예산은 정보기술부문 예산의 7%를 확보하도록 노력해야 하고, 권고 수준 미충족 시에는 사업연도 종료 후 1개월 이내에 그 사유 및 이용자 보호에 미치는 영향 등을 설명한 자료를 공시해야 한다(전자금융거래법 제21조제2항, 전자금융감독규정 제8조제2항~제4항).

△정보보호위원회 설치·운영

금융회사는 금융권의 중요 정보보호에 관한 사항을 심의·의결하는 정보보호 위원회를 설치·운영해야 하고, 해당 사항은 최고경영자에게 보고해야 한다(전자금융거래법제21조제2항, 전자금융감독규정 제8조의2 제1항~제5항).

③인적 보안

△전산인력 연수 프로그램 운영

금융권의 인력 및 조직의 운용은 전산 인력의 자질향상 및 예비요원 양성을 위한 교육 프로그램을 운영해야 한다(전자금융거래법 제21조제2항, 전자금융감독규정 제8조제1항제3호, 전자서명법 제18조의3, 정보통신기반보호법 제9조).

△정보보호 교육계획 수립·시행

금융회사는 임직원의 정보보호 역량 강화를 위해 필요한 교육 프로그램을 개발하고, 교육 계획의 수립과 평가를 실시해야 한다(전자금융거래법 제21조제2항, 전자금융감독규정 제19조의2 제1항~3항, 전자서명법 제18조의3, 정보통신기반보호법 제9조).

④물리적·환경적 관리

△외부 위해(危害) 방지대책 수립·운용

금융회사는 전산실에 대한 화재·수해 등의 재해 및 외부 위해 방지 대책을 수립·운용해야 한다(전자금융거래법 제21조제2항, 전자금융감독규정 제11조제1호, 전자서명법 제18조의3).

⑤운영관리

△보조기억매체 통제

금융회사는 단말기 보호를 위해 사용자의 단말기에서 업무와 무관한 정보가 저장된 보조 기억매체로의 접근 통제해야 한다(전자금융거래법 제21조제2항, 전자금융감독규정 제12조제5호).

△중요 단말기 보호

금융회사는 지정된 단말기 또는 정보처리시스템 관리용 단말기에 대한 보호대책 수립·운용해야 한다(전자금융거래법 제21조제2항, 전자금융감독규정 제12조제3호, 정통망법 관련 기준 제4조).

△안전지출 및 긴급파기 계획 수립·운용

금융회사는 비상시를 대비해 보조기억매체 등 전산자료 안전지출 및 긴급파기에 대한 보호대책을 수립·운용해야 한다(전자금융거래법 제21조제2항, 전자금융감독규정 제13조제1항 제6호, 국가정보원법 제3조제2항 보안업무규정 제26조, 국가공간정보법 제28조제1항, 동법 시행령 제24조).

△보조기억매체 관리

금융회사는 보조기억매체의 보유현황 및 관리실태에 대한 정기적 점검과 책임자를 확인해야 한다(전자금융거래법 제21조제2항, 전자금융감독규정 제13조제1항 제7호).

△테스트시 실제 이용자 정보사용 금지

금융회사는 전산자료의 유출, 파괴 등의 방지를 위한 이용자 정보의 조회·출력 통제, 정보 시스템 및 SW 테스트 시 이용자 정보사용을 금지해야 한다.(전자금융거래법 제21조제2항, 전자금융감독규정 제13조제1항 제10호, 정보통신기반법 제9조제1항, 제5항)

△시스템 통합, 전환 및 재개발 시 통제 절차 마련 준수

금융회사는 시스템 통합, 전환 및 재개발 시 정보처리시스템의 정상적인 운영을 위한 통제방안을 마련해야 한다.(전자금융거래법 제21조제2항, 전자금융감독규정 제14조제5호, 전자서명법 제18조의3)

△취약점 분석·평가 수립·시행

금융회사는 전자금융기반시설에 대해 매년 1회 취약점 분석·평가와 보고 (금융위원회)해야 한다(전자금융거래법 제21조의3제1항, 동법 시행령 제11조의4, 제11조의5 제2항, 제4항, 전자금융감독규정 제37조의2 제1항, 제3항, 제4항, 동규정시행규칙 제7조의2, 정보통신기반보호법 제9조).

△취약점 분석·평가 기준 준수

금융회사는 전자금융기반시설의 취약점 분석·평가 결과에 따른 필요한 보완조치의 이행계획을 수립·시행해야 한다. 또한, 금융위원회 소속 공무원을 통한 취약점 분석·평가 결과 및 보완조치의 이행실태를 점검해야 한다(전자금융거래법 제21조의3제2항, 제3항, 전자금융감독규정 제37조의2 제5항, 정보통신기반보호법 제9조).

△자체평가반 구성 요건

전자금융기반시설의 취약점 분석·평가 시에는 자체전담반을 구성해 실시하거나 전문성을 갖춘 외부 기관에 의뢰해야 한다(전자금융거래법 제21조제2항, 동법 시행령 제11조의5제1항, 전자금융감독규정 제37조의2제2항, 제37조의3제1항, 정보통신기반보호법 제9조).

△암호프로그램 담당자 지정

금융회사는 암호 프로그램의 유포 및 부당 이용을 방지하기 위한 담당자를 지정해야 한다(전자금융거래법 21조제2항, 전자금융감독규정 제31조제1항, 정보통신기반보호법 제5조).

△보안점검의 날 지정

금융회사는 금융기고보안점검의 날을 지정하여, 임직원이 금융감독원장이 정하는 정보보안 점검항목을 준수했는지 여부를 매월 점검하고, 그 점검 결과 및 보완 계획을 최고경영자에게 보고해야 한다.(전자금융거래법 전자금융감독규정 제37조의5)

⑥IT 도입·개발·유지보수관리

△타당성 검토

금융기관은 정보처리시스템 및 전자금융거래와 관련된 사업 추진 시 사전 타당성 검토를 실시해야 한다(전자금융거래법 제21조제2항, 전자금융감독규정 제20조제1호).

△효과분석 수행

금융회사에서 정보처리시스템 및 전자금융거래와 관련된 사업을 추진할 때에는 비용 대비 효과 분석을 실시해야 한다(전자금융거래법 제21조제2항, 전자금융감독규정 제20조제2호).

△분석·설계단계 보안대책 강구

금융회사에서 정보처리시스템 및 전자금융거래와 관련된 사업을 추진할 시에는 분석·설계 단계부터 보안대책을 강구해야 한다(전자금융거래법 제21조제2항, 전자금융감독규정 제20조제4호).

△업체 선정 기준 및 절차 마련 운용

금융회사에서 정보처리시스템 구축 및 전자금융거래와 관련된 계약을 체결할 때에는 금융위원회 기준을 준수해야 한다(전자금융거래법 제21조제2항, 전자금융감독규정 제21조제1호, 제3호).

△직무분리 운영

입력·승인·확인 등 모든 거래과정이 동일 직원에 의해 처리되지 않도록 분리하고, 프로그램 개발자와 시스템 운영자 분리, 데이터베이스 관리자와 시스템 및 운용 프로그래머 분리, 시스템 프로그래머의 작업에 대한 자체 감사자의 통제, 오퍼레이터에 대한 자체 감사자 또는 시스템 프로그래머를 통제해야 한다(전자금융거래법 제21조제2항, 전자금융감독규정 제26조).

⑦업무연속성 관리

△상황별 대응절차 수립

장애·재해·파업·테러 등 긴급 상황 발생 시를 대비해 금융회사는 업무지속성 확보방안을 수립해야 한다(전자금융거래법 제21조제2항 동법, 전자금융감독규정 제23조 제1항 제1호).

△재해복구센터 활용 재해복구 계획 수립

장애·재해·파업·테러 등 긴급한 상황 발생 시에는 업무 중단을 방지하기 위해 재해복구계획을 포함한 업무 지속성 확보 방안을 수립해야 한다(전자금융거래법 제21조제2항, 전자금융감독규정 제23조제1항 제2호, 전자서명법 제18조의 3 등).

△비상대응 조직 구성 및 운용 방안 수립

장애·재해·파업·테러 등 긴급한 상황 시에는 비상대응 조직의 구성 및 운용 사항을 포함한 업무지속성 확보 방안을 수립해야 한다(전자금융거래법 제21조제2항, 전자금융감독규정 제23조제1항 제3호).

△위기대응행동 매뉴얼 또는 비상대책 수립 및 보고

국가위기관리기본지침에 따라 위기대응행동매뉴얼 수립 및 보고(금융위원회)하고, 모든 금융회사는 자연 재해, 인적 재해, 기술적 재해, 전자적 침해 등으로 인한 전산시스템의 마비 방지와 신속한 복구를 위한 비상대책을 수립해야 한다(전자금융 거래법 제21조제2항, 전자금융감독규정 제23조제4항, 제5항에 따라 전자서명법 제18조의3 동법 고시 13).

⑧보안사고대응

△시스템·통신회선 등 장애시 보고

정보처리시스템 또는 통신회선 등의 장애로 인한 중대사고 발생 시에는 지체 없이 보고(금융감독원장)하고, 전담 인력에 대한 비상연락 담당자 지정 및 담당자가 변경될 경우에도 즉시 보고해야 한다(전자금융감독규정 제73조제1항, 제1호, 동규정시행규칙 제12조 제1항~제4호 전자서명법 제22조의3 동법 고시 제24조, 제28조의2 정보통신기반보호법 제9조, 제13조).

△금융사고시 보고

프로그램의 조작과 관련된 금융사고 발생 시 지체 없이 보고(금융감독원장)하고, 전담 인력에 대한 비상연락 담당자 지정 및 변경 시에도 즉시 보고해야 한다(전자금융감독규정 제73조제1항 제2호 동규정시행규칙 제12조제1항~제4호, 전자서명법 제22조의3 동법 고시 제24조, 제28조의2 정보통신기반보호법 제9조, 제13조, 정통망법 제48조의3).

△이용자 피해시 보고

정보처리시스템 사고 발생 또는 이로 인해 이용자에게 금전적 피해 발생 시에는 금융감독원장에게 보고하고, 전담 인력에 대한 비상연락 담당자 지정 및 변경 시에도 즉시 보고해야 한다(전자금융감독규정 제73조제1항 제3호, 동규정시행규칙 제12조 제1항~제4호, 전자서명법 제22조의3 동법 고시 제24조, 제28조의2 정보통신기반보호법 제9조, 제13조, 정통망법 제48조의3).

△접근매체 사고 등 보고

접근매체 이용과 관련한 사고 발생 시에도 즉시 보고(금융감독원장)하고, 사고보고 등 전담 인력에 대한 비상연락 담당자 지정 및 변경 시에도 즉시 보고해야 한다(전자금융감독규정 제73조제1항 제4호, 동규정시행규칙 제12조 제1항~제4호, 전자서명법 제22조의3 동법 고시 제24조, 제28조의2, 정보통신기반보호법 제9조, 제13조, 정통망법 제48조의3).

△전자적 침해행위 대응대책 마련

해킹 등 전자적 침해행위로 인한 피해 발생을 대비해 즉각적 대처를 위한 적절한 대책마련을 해야 한다(전자금융거래법 제21조제2항, 전자금융감독규정 제15조제4항, 정보통신기반보호법 제16조 동법 시행령 제24조).

△침해사고 통지

전자적 침해행위로 인해 전자금융기반시설이 교란·마비되는 등의 사고 시에는 지체 없이 신고(금융위원회)하고, 침해사고 발생 시 원인 분석 및 피해 확산 방지 조치를 수행해야 한다(전자금융거래법 제21조의5제1항, 제2항, 전자서명법 제22조의3, 동법 고시 제24조, 제28조의2, 정보통신기반보호법 제9조, 제11조, 제13조, 제15조, 제16조, 정통망법제48조의2, 제48조의3)

△침해사고 대응 및 복구훈련 계획 수립·시행

침해사고에 대한 대응능력 확보를 위해 연 1회 이상 사고 대응 및 복구훈련 계획을 수립·시행하고, 침해사고 대응 및 복구훈련 결과를 침해사고 대응기관의 장에게 제출해야 한다(전자금융감독규정 제37조의4제1항, 제5항, 전자서명법 제22조의3 동법 고시 제24조, 제28조의2 정보통신기반보호법 제9조, 제11조, 제13조, 제14조, 제15조, 제16조, 정통망법 제48조의2, 제48조의3)

[자료 : 금융보안원, CISO를 위한 핸드북]

[월간 시큐리티월드 통권 221호 (sw@infothe.com)]

<저작권자 : (www.securityworldmag.co.kr) 무단전재-재배포금지>