주력 금융회사 검사 시 IT자회사도 연계 검사 실시

<대한금융신문=문혜정 기자> 금융감독원은 정보보안 기동점검반을 운영해 금융회사의 정보보호 이행 실태를 불시 점검하고 이를 위반한 금융사는 엄중 제재를 받게 된다.

금감원은 지난 13일 금융회사 CIO 및 CISO를 비롯해 300여명의 금융기관 관계자가 모인 자리에서 ‘2014년 금융IT 및 정보보호 감독·검사 업무설명회’를 개최했다. 이번 설명회는 금융에서 IT 및 정보보호가 차지하는 중요성을 감안해 처음으로 개최된 자리다.

앞으로 감독당국의 정보보안 검사는 수시로, 불시에 시행된다.

금감원은 금융회사의 정보보안이 상시적으로 이행될 수 있도록 ‘기동점검반’을 운영해 불시 점검을 실시할 예정이며 월별 보안 점검에 대한 분석결과를 토대로 기획·테마검사가 이뤄진다.

기존 IT검사 매뉴얼도 개정해 IT부문 검사 시에는 보안관련 법규의 모든 안전성 기준이 빠짐없이 검사 항목에 반영될 수 있도록 한다.

오는 6월에는 금융당국과 금융협회가 공동으로 ‘금융전산 보안 표준지침(Best Practice)’을 발표한다.

표준지침에는 보안관련 법규정과 업무별, 직급별 정보접근 범위 등이 구체적으로 반영되며 ‘보안점검의 날’을 지정해 각 금융회사 CISO의 책임 하에 금융사 자체적으로 매월 보안점검을 실시하도록 한다.

외주업체 통제 및 금융지주회사의 IT자회사에 대한 검사는 더욱 강화된다.

외주용역의 입찰, 계약, 수행, 완료 등 전 단계에 걸쳐 세부적인 절차와 기준이 마련되고 금융회사는 ‘외주용역 일일 체크리스트’를 마련해 핵심 보안 점검사항을 일일 점검하도록 한다.

외주 개발업무는 장소를 분리하고 개발시스템은 운영시스템과 분리하는 등 물리적 통제도 명확히 하도록 할 방침이다.

특히 금융지주회사의 주력 금융회사를 검사할 때는 IT자회사도 연계 검사를 실시할 계획이다.

금융회사의 개인정보 수집 및 이용을 최소화 하기 위한 노력도 계속된다.

주민번호 입력을 위한 별도의 전산시스템 개발 등 주민번호 노출 최소화를 위한 실무 가이드라인이 마련되고 2016년 1월부터는 수집한 주민번호를 내부망에도 암호화해 보관할 계획이다. 또 주민번호 불법활용 및 유출 시에는 일반 개인정보 유출보다 가중 제재할 방침이다.

불법으로 정보를 활용하는 모집인에 대해서는 계약 해지 및 재등록을 제한하는 모범규준을 개정하고 관련 이력이 통합 관리되는 전산시스템을 구축할 예정이다.

더불어 무차별적인 문자전송(SMS), 전화 등 비대면 방식의 영업행위를 통제하기 위해 전화 상담 시 ‘소속회사, 연락목적, 정보획득경로’ 안내도 의무화된다.

금감원 관계자는 “금융회사별 개인정보 보관 및 파기 등에 대한 관리실태를 점검하고 불필요한 정보를 보유하거나 정보유출 사고 발생 시 엄중 제재하겠다”며 “금융당국은 정보유출 피해자에 대한 적극적인 구제를 추진하고 정보유출 피해자의 금전적 손해에 대해서는 금감원 분쟁조정 절차 등을 적극 활용하도록 할 계획”이라고 말했다.