[시큐리티 Q&A] 금융권 정보보호관리체계 인증제도

Q. 현재 정부에서 추진 중인 금융권 정보보호관리체계 인증과 ISMS, ISO27001 인증과의 차이점은 무엇인가? 그리고 이 제도가 금융권에는 의무적으로 시행되는 것인지도 궁금하다.

A-1. 정보보호관리체계(ISMS; Information Security Management System)의 국내/국제 표준 규격인 ISMS와 ISO27001은 어느 특정 산업분야가 아닌 모든 산업분야에 공통으로 적용할 수 있는 요건(Requirement)들로 구성되어 있다.

즉, 모든 산업분야의 공통적 요건은 포함했지만 특정 산업분야만의 특화된 중요한 보안요건들은 해당 표준규격에 포함되지 않았다. 그러나 향후 금융보안 강화를 위해서는 금융권 정보보안 및 전자금융거래 업무의 특성(인터넷뱅킹 등)을 반영한 보안인증이 필요하다.

따라서 금융보안 인증제도는 ISMS, ISO27001과는 다르게 금융권의 보안 및 업무 특성 등을 반영할 것으로 기대하고 있다.

ISO의 경우, 금융서비스를 제공하는 조직 내 정보보호에 대한 착수, 구현, 유지관리 및 개선을 위해 ISO27002에 정의된 보안통제 외의 추가적 또는 보완적인 정보보호 가이드 및 정보를 제공하는 금융서비스 분야 가이드라인(ISO/IEC TR 27015, Information technology-Security techniques-Information security management guidelines for financial services)을 제공한다.

금융위원회는 지난해 7월 ‘금융전산 보안강화 종합대책’을 통해 총자산, 임직원수, 전자금융거래 이용 고객수 등을 종합적으로 고려해 일정규모 이상의 금융회사에 대해서는 인증을 의무화하겠다고 밝힌 만큼, 이를 토대로 제한적 인증 의무화가 될 것으로 예상할 수 있으나 향후 당국의 정책 결정을 주시해야 한다.

(금융보안연구원)

A-2. 전자금융거래법 상의 금융정보보호관리체계인증제의 내용은 아직까지 구체화된 바 없다. 하지만 분명한 것은 ISO27001을 기본으로 해 보완한 ISMS인증은 정보통신 서비스 제공자에 해당하는 것으로서 금융회사의 특성에 맞지 않는 부분이 있고 금융관련 법률을 적용받는 금융권과는 정통망법과 중복되는 부분도 많이 있다.

금융보안 인증제도는 금융보안 강화를 위해서 금융기관 특성에 맞는 보안 인증의 필요성이 높아졌기 때문에 마련되는 것이라고 보면 된다. 즉, 금융보안 인증제도는 기존의 ISMS인증 제도를 기반으로 금융회사의 특성에 맞게 구체화되는 것이다.

(허진성 한국산업기술보호협회 관제운영팀 연구원/iqsecurity@kaits.or.kr)

[김태형 기자(boan@boannews.com)]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)