Home > 전체기사
뉴욕 금융기관 사이버보안 규정 vs. 한국 금융기관 정보보호 규정
  |  입력 : 2017-04-25 11:20
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
미국 뉴욕주 금융기관에 대한 사이버보안 규정에 대한 이해③

[보안뉴스= 유효선 우리은행 정보보호부 부장 대우] 뉴욕주가 금융기관들의 해킹을 방지하고, 고객정보를 보호하는 사이버보안 시스템 설치 및 운영을 의무화한 ‘뉴욕주 금융기관에 대한 사이버보안규정(NYCRP 500, 이하 뉴욕주 보안규정)’을 발표한 이후, 세계 금융기관들은 사이버보안을 강화하기 위한 움직임을 보이고 있다. 그렇다면, 국내 금융기관들의 사정은 어떨까? 이번에는 국내 금융기관이 준수해야 하는 대표적인 법률인 전자금융거래법, 전자금융감독규정을 뉴욕주 보안규정과 비교하고, 그 차이점을 살펴보고자 한다.

ⓒ iclickart


국내 금융기관이 준수해야 하는 정보보호 관련 법률로는 △전자금융거래법 △전자금융감독규정 △신용정보의 이용 및 보호에 관한 법률 △개인정보보호법 △정보통신망 이용촉진 및 정보보호 등에 관한 법률 등이 있으나 관련 법률을 모두 비교하기에는 범위가 너무 넓고, 또 NYCRP가 금융기관만을 대상으로 하는 특별법 성격이기 때문에 이와 유사한 전자금융거래법과 전자금융감독규정만을 비교 대상으로 했다. 단, Section 500.13 데이터 보유제한과 Section 500.15 암호화는 개인정보보호법에 정의가 되어 있어 2개 항목은 개인정보보호법과 비교했다.

▲ 국내 금융 정보보호 법률과 뉴욕주 사이버 보안규정과의 비교[자료: 유효선 우리은행 부장]


NYCRP은 Section 500.00 Introduction부터 Section 500.23 Severability까지 모두 23개 조항으로 이루어져 있는데, 정보보호 요구사항을 기술한 항목은 Section 500.03 Cybersecurity Policy부터 Section 500.17 Notices to Superintendent까지 15개 항목이다. 이를 전자금융거래법 및 전자금융감독규정(이하 국내법)의 정보보호 요구사항과 비교했다. 표에서 서로 ‘-’로 연결된 것은 유사 항목을 의미한다.

Section 03 Cybersecurity Policy와 Section 500.09 Risk Assessment를 제외하고는 대부분의 항목이 국내법에 정의가 되어 있다. 정보보호 정책은 정보보호 업무 수행을 위한 기본 문서이고, 위험평가는 전자금융기반시설 취약점 분석·평가 기준에 포함되어 있으므로 사실상 국내법이 뉴욕주 보안규정을 모두 포함하고 있다고 할 수 있다.

뉴욕주 보안규정이 위험평가를 기반으로 한 사이버보안 체계를 구축함에 있어 필요한 관리·기술분야의 기본적인 정보보호 요구사항(예 : 보안정책수립, 정보보호 최고책임자 지정, 모의침투 테스트 및 취약성평가, 감사추적, 접근권한 설정 등)을 선언적인 수준에서 정의했다면 국내법은 관리·기술분야는 물론 물리(건물 및 설비 등)분야 전반에 대하여 기본 및 상세 요구사항을 정의하고 있음을 알 수 있다. 주요 항목을 세부적으로 비교해 보면 다음과 같다.

정보보호 최고책임자(이하 CISO)의 지정
국내법에서는 총자산, 종업원 수 등 규모에 따라 자격을 갖춘 임원을 CISO로 지정해야 하며, 다른 정보기술업무를 겸직하지 못하도록 하고 있는데 반해 뉴욕주 보안규정에서는 CISO 지정 조건을 따로 명시하고 있지 않으며, 계열사 및 제3자 서비스 제공자 직원도 CISO로 지정할 수 있도록 하고 있다.

인력 및 조직, 예산
국내법에서는 5.5.7 규정이라 알려진, 정보기술부문 인력(IT 인력)은 총 임직원수의 100분의 5 이상, 정보보호인력은 정보기술부문 인력의 100분의 5 이상, 정보보호예산은 정보기술부문 예산의 100분의 7 이상 되도록 하고 있으나, 뉴욕주 사이버보안 규정에서는 인력 및 예산에 대하여 구체적인 기준을 제시하고 있지 않으며 사이버보안 전문요원을 확보하도록 하고 있다.

정기적인 취약점 분석·평가 실시
국내법에서는 총자산, 종업원 수 등 규모에 따라 전자금융기반시설에 대하여 연1회 이상(홈페이지는 6개월에 1회 이상) 취약점분석·평가를 실시하도록 하고 있으나, 뉴욕주 보안규정에서는 규모에 관계없이 연 1회 정보 시스템에 대한 모의침투 테스트를 실시하고, 2년마다 정보시스템에 대한 취약성 평가를 실시하도록 하고 있다.

사고 배상보험 가입
국내법에서는 전자금융사고 책임이행을 위한 보험(은행업법에 따른 금융기관은 보상한도 20억 원)을 가입도록 하고 있으나 뉴욕주 사이버보안 규정에서는 관련 조항이 없다.

거래 기록의 보존
국내법에서는 전자금융거래기록을 5년의 범위 안에서, 정보처리 시스템의 가동기록은 1년 이상 보존토록 하고 있으나, 정보보호 이벤트에 관해서는 따로 명시를 하고 있지 않다. 이에 반해 뉴욕주 보안규정에서는 금융거래 내역은 5년 이상, 사이버 보안 이벤트는 3년 이상 기록을 유지하도록 하고 있다.

개인정보 파기 및 암호화
개인정보의 파기와 관련하여 국내법(개인정보보호법)에서는 보유기간의 경과 또는 개인정보의 처리 목적 달성시 지체 없이 파기하도록 하고 있으며, 파기하지 아니하고 보존해야 하는 경우에는 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리해서 저장·관리하고, 파기시에는 복구 또는 재생이 불가능 하도록 하고 있다. 하지만 뉴욕주 사이버보안 규정에서는 ‘안전하게 파기해야 한다’라고만 규정하고 있다.

암호화와 관련해 뉴욕주 사이버보안 규정에서는 암호화 대상에 대한 구체적인 정의없이 ‘보유 또는 전송하는 비공개 정보는 암호화해야 한다’라고만 규정하고 있으나, 국내법에서는 그 대상을 고유식별정보(주민등록번호, 여권번호 등)로 명확히 하고 있다.

침해사고 대응
국내법에서는 연 1회 이상 침해사고 대응 및 복구훈련 계획을 수립·시행하고, 그 계획 및 결과를 침해사고대응기관(금융보안원 등 금융위원장 지정기관)에게 제출하도록 하고 있으나, 뉴욕주 사이버보안 규정에서는 서면으로 작성된 사고대응 계획을 수립해야 한다고만 규정하고 있다.

침해사고의 신고
국내법에서는 침해사고 발생시 지체없이 금융위원회에 통보토록 하고 있으며, 뉴욕주 보안규정에서는 72시간 이내에 감독기관에 신고토록 하고 있다. ‘지체 없이’가 의미하는 시간이 얼마라고 정의된 바는 없으나, 개인정보보호법에서는 지체 없이를 5일 이내로 했다가, 2014년 11월 법개정이 되면서 24시간 이내로 명확히 한 바 있다. 이를 기준으로 하면 24시간 이내로 해석할 수 있을 것으로 보인다.

그 밖에 국내법에서는 △ 단말기보호 및 중요단말지정, 보조기억매체 통제 등 △ 단말기 보호대책과 계정과 비밀번호 개인별부여, 자료 및 전산장비 반·출입통제 등 △ 전산자료 보호대책, 정보처리시스템 책임자 지정, 보정(patch), 정기 백업 및 원격지 소산 등 정의 △ 정보처리시스템 보호대책, 정보보호 시스템 설치 및 운영, 인터넷과 업무망 분리 등 △ 해킹 등 방지대책 △ 악성코드 감염방지 대책, 홈페이지 보안 등 △ 공개용 웹서버 관리대책 △ IP주소 관리대책 등을 세분화해 구체적으로 명시하고 있다.

하지만 뉴욕주 사이버보안 규정은 이러한 내역들에 대하여 따로 명시하고 있지는 않다. 아마도 국내법은 오랜 기간 동안 시행(전자금융거래법은 2006년 4월, 전자금융감독규정 2001년 4월 시행)되면서 다양한 전자금융 사건·사고 발생에 따른 요구사항들이 반영됐기 때문이고, 뉴욕주 사이버 보안규정이 기본적인 방향만 제시하고 있는 것은 자율규제와 사후책임을 우선시 하는 미국 문화의 특성 때문으로 보인다.

뉴욕주 사이버보안 규정을 준수하기 위해 금융기관들이 해야 할 일은 첫 번째, CISO 지정 및 조직을 구성하고 보안정책을 수립하는 것이며, 두 번째는 보안통제를 위해 보안솔루션 구축 및 프로세스(절차)를 만들고 임직원들이 이를 이해하고 준수할 수 있도록 교육을 실시하는 것이다. 세 번째는 항목별 유예기간을 참고해 사이버 보안 프로그램에 대한 이사회 보고, 모의침투 테스트 및 취약성 평가 실시, 위험평가 수행, 다중요소 인증 적용, 보안인식 제고 교육 실시 등에 대한 보안활동을 수행하고 증적자료를 확보하는 것이다. 마지막으로 사이버 보안 준수 확인서를 작성해 2018년 2월 15일까지 뉴욕주 금융 서비스국에 제출하는 것이다.

3차례에 걸쳐 뉴욕주 금융기관에 대한 사이버 보안규정(NEW YORK STATE DEPARTMENT OF FINANCIAL SERVICES 23 NYCRR 500, 이하 NYCRR 500)의 주요 내용과 국내 관련 법규와의 차이점에 대해 살펴보았다.

금융기관의 새로운 경쟁자는 아마존·애플과 같은 ICT 기업이라는 얘기가 있다. 그만큼 금융 분야에서 IT 기술이 차자하는 비중이 크다는 의미다. 실제로 금융거래에 있어 비대면 거래 비율이 높아지면서 정보보호의 중요성이 점점 더 커지고 있으며, 비단 뉴욕주뿐만 아니라 대부분의 나라들이 전자금융 또는 금융거래와 관련한 법규제를 강화하는 추세다. 따라서 해외에 진출하고자 하는 금융기관들은 사전에 진출국에 대한 정보보호 관련 법규제를 파악하고 효율적인 대응책을 마련해야 할 것으로 본다.
[글_ 유효선 우리은행 정보보호부 부장 대우(yhsdaum@daum.net)]

필자 소개_우리은행 유효선 부장 대우는 중앙대학교 일반대학원 융합보안학과 석사 출신으로 SK인포섹 보안기술연구소장을 역임했으며, 삼성전자 S/W개발실, 삼성SDS 정보기술연구소 등에서 업무를 수행했다. 현재는 우리은행 정보보호부에서 근무하고 있다.

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 5
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)