Home > 전체기사
뉴욕 금융기관 사이버보안 규정 vs. 한국 금융기관 정보보호 규정
  |  입력 : 2017-04-25 11:20
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
미국 뉴욕주 금융기관에 대한 사이버보안 규정에 대한 이해③

[보안뉴스= 유효선 우리은행 정보보호부 부장 대우] 뉴욕주가 금융기관들의 해킹을 방지하고, 고객정보를 보호하는 사이버보안 시스템 설치 및 운영을 의무화한 ‘뉴욕주 금융기관에 대한 사이버보안규정(NYCRP 500, 이하 뉴욕주 보안규정)’을 발표한 이후, 세계 금융기관들은 사이버보안을 강화하기 위한 움직임을 보이고 있다. 그렇다면, 국내 금융기관들의 사정은 어떨까? 이번에는 국내 금융기관이 준수해야 하는 대표적인 법률인 전자금융거래법, 전자금융감독규정을 뉴욕주 보안규정과 비교하고, 그 차이점을 살펴보고자 한다.

ⓒ iclickart


국내 금융기관이 준수해야 하는 정보보호 관련 법률로는 △전자금융거래법 △전자금융감독규정 △신용정보의 이용 및 보호에 관한 법률 △개인정보보호법 △정보통신망 이용촉진 및 정보보호 등에 관한 법률 등이 있으나 관련 법률을 모두 비교하기에는 범위가 너무 넓고, 또 NYCRP가 금융기관만을 대상으로 하는 특별법 성격이기 때문에 이와 유사한 전자금융거래법과 전자금융감독규정만을 비교 대상으로 했다. 단, Section 500.13 데이터 보유제한과 Section 500.15 암호화는 개인정보보호법에 정의가 되어 있어 2개 항목은 개인정보보호법과 비교했다.

▲ 국내 금융 정보보호 법률과 뉴욕주 사이버 보안규정과의 비교[자료: 유효선 우리은행 부장]


NYCRP은 Section 500.00 Introduction부터 Section 500.23 Severability까지 모두 23개 조항으로 이루어져 있는데, 정보보호 요구사항을 기술한 항목은 Section 500.03 Cybersecurity Policy부터 Section 500.17 Notices to Superintendent까지 15개 항목이다. 이를 전자금융거래법 및 전자금융감독규정(이하 국내법)의 정보보호 요구사항과 비교했다. 표에서 서로 ‘-’로 연결된 것은 유사 항목을 의미한다.

Section 03 Cybersecurity Policy와 Section 500.09 Risk Assessment를 제외하고는 대부분의 항목이 국내법에 정의가 되어 있다. 정보보호 정책은 정보보호 업무 수행을 위한 기본 문서이고, 위험평가는 전자금융기반시설 취약점 분석·평가 기준에 포함되어 있으므로 사실상 국내법이 뉴욕주 보안규정을 모두 포함하고 있다고 할 수 있다.

뉴욕주 보안규정이 위험평가를 기반으로 한 사이버보안 체계를 구축함에 있어 필요한 관리·기술분야의 기본적인 정보보호 요구사항(예 : 보안정책수립, 정보보호 최고책임자 지정, 모의침투 테스트 및 취약성평가, 감사추적, 접근권한 설정 등)을 선언적인 수준에서 정의했다면 국내법은 관리·기술분야는 물론 물리(건물 및 설비 등)분야 전반에 대하여 기본 및 상세 요구사항을 정의하고 있음을 알 수 있다. 주요 항목을 세부적으로 비교해 보면 다음과 같다.

정보보호 최고책임자(이하 CISO)의 지정
국내법에서는 총자산, 종업원 수 등 규모에 따라 자격을 갖춘 임원을 CISO로 지정해야 하며, 다른 정보기술업무를 겸직하지 못하도록 하고 있는데 반해 뉴욕주 보안규정에서는 CISO 지정 조건을 따로 명시하고 있지 않으며, 계열사 및 제3자 서비스 제공자 직원도 CISO로 지정할 수 있도록 하고 있다.

인력 및 조직, 예산
국내법에서는 5.5.7 규정이라 알려진, 정보기술부문 인력(IT 인력)은 총 임직원수의 100분의 5 이상, 정보보호인력은 정보기술부문 인력의 100분의 5 이상, 정보보호예산은 정보기술부문 예산의 100분의 7 이상 되도록 하고 있으나, 뉴욕주 사이버보안 규정에서는 인력 및 예산에 대하여 구체적인 기준을 제시하고 있지 않으며 사이버보안 전문요원을 확보하도록 하고 있다.

정기적인 취약점 분석·평가 실시
국내법에서는 총자산, 종업원 수 등 규모에 따라 전자금융기반시설에 대하여 연1회 이상(홈페이지는 6개월에 1회 이상) 취약점분석·평가를 실시하도록 하고 있으나, 뉴욕주 보안규정에서는 규모에 관계없이 연 1회 정보 시스템에 대한 모의침투 테스트를 실시하고, 2년마다 정보시스템에 대한 취약성 평가를 실시하도록 하고 있다.

사고 배상보험 가입
국내법에서는 전자금융사고 책임이행을 위한 보험(은행업법에 따른 금융기관은 보상한도 20억 원)을 가입도록 하고 있으나 뉴욕주 사이버보안 규정에서는 관련 조항이 없다.

거래 기록의 보존
국내법에서는 전자금융거래기록을 5년의 범위 안에서, 정보처리 시스템의 가동기록은 1년 이상 보존토록 하고 있으나, 정보보호 이벤트에 관해서는 따로 명시를 하고 있지 않다. 이에 반해 뉴욕주 보안규정에서는 금융거래 내역은 5년 이상, 사이버 보안 이벤트는 3년 이상 기록을 유지하도록 하고 있다.

개인정보 파기 및 암호화
개인정보의 파기와 관련하여 국내법(개인정보보호법)에서는 보유기간의 경과 또는 개인정보의 처리 목적 달성시 지체 없이 파기하도록 하고 있으며, 파기하지 아니하고 보존해야 하는 경우에는 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리해서 저장·관리하고, 파기시에는 복구 또는 재생이 불가능 하도록 하고 있다. 하지만 뉴욕주 사이버보안 규정에서는 ‘안전하게 파기해야 한다’라고만 규정하고 있다.

암호화와 관련해 뉴욕주 사이버보안 규정에서는 암호화 대상에 대한 구체적인 정의없이 ‘보유 또는 전송하는 비공개 정보는 암호화해야 한다’라고만 규정하고 있으나, 국내법에서는 그 대상을 고유식별정보(주민등록번호, 여권번호 등)로 명확히 하고 있다.

침해사고 대응
국내법에서는 연 1회 이상 침해사고 대응 및 복구훈련 계획을 수립·시행하고, 그 계획 및 결과를 침해사고대응기관(금융보안원 등 금융위원장 지정기관)에게 제출하도록 하고 있으나, 뉴욕주 사이버보안 규정에서는 서면으로 작성된 사고대응 계획을 수립해야 한다고만 규정하고 있다.

침해사고의 신고
국내법에서는 침해사고 발생시 지체없이 금융위원회에 통보토록 하고 있으며, 뉴욕주 보안규정에서는 72시간 이내에 감독기관에 신고토록 하고 있다. ‘지체 없이’가 의미하는 시간이 얼마라고 정의된 바는 없으나, 개인정보보호법에서는 지체 없이를 5일 이내로 했다가, 2014년 11월 법개정이 되면서 24시간 이내로 명확히 한 바 있다. 이를 기준으로 하면 24시간 이내로 해석할 수 있을 것으로 보인다.

그 밖에 국내법에서는 △ 단말기보호 및 중요단말지정, 보조기억매체 통제 등 △ 단말기 보호대책과 계정과 비밀번호 개인별부여, 자료 및 전산장비 반·출입통제 등 △ 전산자료 보호대책, 정보처리시스템 책임자 지정, 보정(patch), 정기 백업 및 원격지 소산 등 정의 △ 정보처리시스템 보호대책, 정보보호 시스템 설치 및 운영, 인터넷과 업무망 분리 등 △ 해킹 등 방지대책 △ 악성코드 감염방지 대책, 홈페이지 보안 등 △ 공개용 웹서버 관리대책 △ IP주소 관리대책 등을 세분화해 구체적으로 명시하고 있다.

하지만 뉴욕주 사이버보안 규정은 이러한 내역들에 대하여 따로 명시하고 있지는 않다. 아마도 국내법은 오랜 기간 동안 시행(전자금융거래법은 2006년 4월, 전자금융감독규정 2001년 4월 시행)되면서 다양한 전자금융 사건·사고 발생에 따른 요구사항들이 반영됐기 때문이고, 뉴욕주 사이버 보안규정이 기본적인 방향만 제시하고 있는 것은 자율규제와 사후책임을 우선시 하는 미국 문화의 특성 때문으로 보인다.

뉴욕주 사이버보안 규정을 준수하기 위해 금융기관들이 해야 할 일은 첫 번째, CISO 지정 및 조직을 구성하고 보안정책을 수립하는 것이며, 두 번째는 보안통제를 위해 보안솔루션 구축 및 프로세스(절차)를 만들고 임직원들이 이를 이해하고 준수할 수 있도록 교육을 실시하는 것이다. 세 번째는 항목별 유예기간을 참고해 사이버 보안 프로그램에 대한 이사회 보고, 모의침투 테스트 및 취약성 평가 실시, 위험평가 수행, 다중요소 인증 적용, 보안인식 제고 교육 실시 등에 대한 보안활동을 수행하고 증적자료를 확보하는 것이다. 마지막으로 사이버 보안 준수 확인서를 작성해 2018년 2월 15일까지 뉴욕주 금융 서비스국에 제출하는 것이다.

3차례에 걸쳐 뉴욕주 금융기관에 대한 사이버 보안규정(NEW YORK STATE DEPARTMENT OF FINANCIAL SERVICES 23 NYCRR 500, 이하 NYCRR 500)의 주요 내용과 국내 관련 법규와의 차이점에 대해 살펴보았다.

금융기관의 새로운 경쟁자는 아마존·애플과 같은 ICT 기업이라는 얘기가 있다. 그만큼 금융 분야에서 IT 기술이 차자하는 비중이 크다는 의미다. 실제로 금융거래에 있어 비대면 거래 비율이 높아지면서 정보보호의 중요성이 점점 더 커지고 있으며, 비단 뉴욕주뿐만 아니라 대부분의 나라들이 전자금융 또는 금융거래와 관련한 법규제를 강화하는 추세다. 따라서 해외에 진출하고자 하는 금융기관들은 사전에 진출국에 대한 정보보호 관련 법규제를 파악하고 효율적인 대응책을 마련해야 할 것으로 본다.
[글_ 유효선 우리은행 정보보호부 부장 대우(yhsdaum@daum.net)]

필자 소개_우리은행 유효선 부장 대우는 중앙대학교 일반대학원 융합보안학과 석사 출신으로 SK인포섹 보안기술연구소장을 역임했으며, 삼성전자 S/W개발실, 삼성SDS 정보기술연구소 등에서 업무를 수행했다. 현재는 우리은행 정보보호부에서 근무하고 있다.

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 5
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 10월 정보보호정책관을 정보네트워크정책관으로 변경하는 과학기술정보통신부의 조직 개편 움직임이 논란이 된 바 있습니다. 과기정통부에서 정보보호 업무를 총괄하는 조직 위상에 대한 견해는?
과기정통부에서 분리해 별도의 정부부처가 전담해야
과기정통부 내 정보보호정책실(실장급)로 격상시켜야
지금처럼 정보보호정책관(국장급) 조직을 유지해야
네트워크 업무를 통합시키되, 정보보호네트워크정책관(국장급)으로 명명해야
과기정통부의 초안처럼 정보네트워크정책관(국장급)으로 해야
기타(댓글로)
      

이스온
원격감시 / 안전관리

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

AVIGILON
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

피엔에이
CCTV / IP 카메라 모듈

테크스피어
손혈관 / 차량하부 검색기

쿠도커뮤니케이션
스마트 관제 솔루션

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

링크플로우
이동형 CCTV 솔루션

한국씨텍
PTZ CCTV

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

트루엔
IP 카메라

씨오피코리아
CCTV 영상 전송장비

CCTV협동조합
CCTV

디비시스
CCTV토탈솔루션

도마카바코리아
시큐리티 게이트

다민정보산업
기업형 스토리지

테크어헤드
얼굴인식 소프트웨어

에스카
CCTV / 영상개선

브이유텍
플랫폼 기반 통합 NVR

윈스
지능형 차세대 방화벽

포티넷
네트워크 보안

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

수퍼락
출입통제 시스템

구네보코리아
보안게이트

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

파이브지티
얼굴인식 시스템

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

지와이네트웍스
CCTV 영상분석

두레옵트로닉스
카메라 렌즈

지에스티엔지니어링
게이트 / 스피드게이트

이후커뮤니케이션
전송장치/CCTV

창우
폴대

넷플로우
IP인터폰 / 방송시스템

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

DK솔루션
메트릭스 / 망전송시스템

싸이닉스
스피드 돔 카메라

다원테크
CCTV / POLE / 브라켓

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트