[보안뉴스]금융보안원, 금융권 사외이사 대상 ‘금융보안’ 안내 프로그램 실시

내용 요약

금융보안원(FSI)이 금융회사 사외이사를 대상으로 맞춤형 금융보안 안내 프로그램을 시행합니다. 이는 전자금융감독규정 및 금융사 지배구조법 개정과 같은 법제도 변화와 급변하는 디지털 금융 혁신에 대비하기 위함입니다. 본 프로그램은 이사회가 보안을 경영의 핵심 요소로 인식하고, 금융회사의 건전한 내부통제 정책 수립에 기여하는 역할을 강조합니다.

핵심 포인트

• 이사회 역할을 통한 보안의 경영 핵심 요소 인식 강조.
• 금융회사의 건전한 내부통제 정책 수립 기여 기대. ️
• 전자금융감독규정 및 금융사 지배구조법 개정 등 법제도 변화에 대한 대비. ⚖️
• 디지털 금융 혁신 가속화에 대한 선제적 대응 지원.

기술 세부 내용

1️⃣ 보안 거버넌스 (Security Governance)

• 내용: 보안 거버넌스는 조직의 전반적인 경영 목표와 전략에 정보 보안을 통합하고, 보안 관련 위험을 관리하며, 법규 및 규제 준수를 보장하기 위한 일련의 프로세스와 구조를 의미합니다. 이는 이사회, 최고 경영진, 그리고 각 부서의 역할과 책임을 명확히 하고, 보안 관련 의사결정 체계를 구축하는 것을 포함합니다. 보안을 단순히 IT 부서의 문제가 아닌, 전사적이고 전략적인 경영의 핵심 요소로 인식하고 관리하는 것이 중요합니다.
• 본문과의 연관성: 본문에서 "보안을 경영의 핵심 요소로 인식할 수 있도록 이사회 역할 강조"라고 명시된 부분이 바로 보안 거버넌스의 중요성을 강조하는 핵심 메시지입니다. 이사회가 보안에 대한 인식을 높이고 적극적으로 참여함으로써, 보안 투자가 효율적으로 이루어지고, 보안 전략이 비즈니스 목표와 일치하며, 궁극적으로 기업의 경쟁력 강화에 기여할 수 있습니다. 이는 최고 수준에서 보안 리스크를 관리하고, 규제 준수 및 비즈니스 연속성을 보장하는 데 필수적인 기반이 됩니다. ‍

2️⃣ 내부통제 (Internal Control)

• 내용: 내부통제는 조직의 목표 달성을 위해 운영의 효율성 및 효과성, 재무 보고의 신뢰성, 관련 법규 및 정책 준수 등을 합리적으로 보장하기 위해 구축된 일련의 프로세스입니다. 이는 조직 내 모든 구성원이 수행하는 활동을 포함하며, 예방적 통제와 발견적 통제로 나뉠 수 있습니다. 정보 보안 측면에서 내부통제는 시스템 접근 통제, 데이터 무결성 보장, 변경 관리, 정보 시스템 운영 및 보안 사고 대응 등 IT 환경 전반에 걸친 통제 활동을 포괄합니다.
• 본문과의 연관성: 본문에서 "금융사의 건전한 내부통제 정책 수립에 기여할 것으로 기대해"라고 언급된 것은 보안이 강력한 내부통제 시스템의 필수적인 구성 요소임을 나타냅니다. 금융사의 내부통제는 금융 안정성 유지와 고객 정보 보호에 직접적인 영향을 미치므로, IT 시스템과 데이터에 대한 보안 통제가 특히 중요합니다. 예를 들어, 인가되지 않은 접근을 방지하고, 데이터 위변조를 막으며, 모든 시스템 활동을 기록하고 모니터링하는 등의 기술적 통제는 내부통제의 핵심적인 부분입니다.

3️⃣ 전자금융감독규정 (Electronic Financial Transaction Supervision Regulations) 관련 보안 요구사항

• 내용: 전자금융감독규정은 대한민국에서 전자금융거래의 안전성과 신뢰성을 확보하기 위해 금융기관 및 전자금융업자가 준수해야 할 사항들을 규정한 법규입니다. 이는 금융 거래의 디지털화가 가속화됨에 따라 발생할 수 있는 보안 위협으로부터 소비자를 보호하고 금융 시스템의 안정성을 유지하는 것을 목표로 합니다. 규정은 단순히 '보안'을 강조하는 것을 넘어, 구체적인 기술적, 관리적 보안 조치들을 요구합니다.
• 본문과의 연관성: 본문에서 "전자금융감독규정...개정 등 법제도 변화에 대비"해야 한다고 강조하는 것은, 이 규정이 금융사의 보안 기술 및 프로세스에 미치는 영향이 매우 크다는 것을 의미합니다. 이 규정은 금융기관에게 다음과 같은 보안 관련 기술 및 조치를 요구합니다:
  • 암호화 (Encryption): 전자금융거래 시 개인정보 및 금융정보의 안전한 전송 및 저장을 위한 필수적인 기술입니다. 데이터 전송 구간 암호화(SSL/TLS), 저장 데이터 암호화(Database Encryption, Disk Encryption) 등이 해당됩니다.
  • 접근 통제 (Access Control): 인가된 사용자만이 필요한 정보 및 시스템에 접근하도록 통제하는 기술로, 강력한 인증(Multi-Factor Authentication, MFA), 역할 기반 접근 통제(Role-Based Access Control, RBAC) 등이 요구됩니다.
  • 보안 시스템 도입 및 운영: 침입 방지 시스템(Intrusion Prevention System, IPS), 방화벽(Firewall), 분산 서비스 거부 공격(DDoS) 방어 시스템, 보안 관제 시스템(Security Information and Event Management, SIEM) 등 다양한 보안 기술 솔루션의 구축 및 지속적인 운영이 요구됩니다. ️
  • 취약점 분석 및 모의 해킹: 시스템 및 애플리케이션의 보안 취약점을 식별하고 개선하기 위한 정기적인 취약점 분석(Vulnerability Assessment) 및 모의 해킹(Penetration Testing) 수행이 의무화됩니다. ️‍♀️
  • 정보 보호 시스템: 개인정보 유출 방지 시스템(Data Loss Prevention, DLP), 문서 보안(DRM) 등 민감 정보의 유출을 방지하는 기술 도입이 요구됩니다.

4️⃣ 디지털 금융 혁신 (Digital Financial Innovation)과 보안의 중요성

• 내용: 디지털 금융 혁신은 클라우드 컴퓨팅, 빅데이터, 인공지능(AI), 블록체인, 모바일 기술 등을 활용하여 금융 서비스의 제공 방식과 경험을 혁신하는 것을 의미합니다. 오픈 뱅킹(Open Banking), 핀테크(FinTech), 디지털 자산 등 새로운 서비스들이 등장하면서 금융 산업은 전에 없던 속도로 변화하고 있습니다. 이러한 혁신은 사용자 편의성을 높이고 새로운 비즈니스 기회를 창출하지만, 동시에 새로운 유형의 사이버 위협과 복잡한 보안 도전 과제를 야기합니다.
• 본문과의 연관성: 본문에서 "디지털 금융 혁신 가속화에 대비할 수 있도록 돕는다"고 언급하는 것은, 이러한 혁신이 가져오는 새로운 보안 요구사항과 위험에 선제적으로 대응해야 함을 강조합니다. 디지털 금융 혁신은 다음과 같은 보안 관련 기술 및 접근 방식의 중요성을 증대시킵니다:
  • 클라우드 보안 (Cloud Security): 금융 서비스가 클라우드 환경으로 전환됨에 따라, 클라우드 접근 보안 브로커(Cloud Access Security Broker, CASB), 클라우드 보안 형상 관리(Cloud Security Posture Management, CSPM), 클라우드 워크로드 보호 플랫폼(Cloud Workload Protection Platform, CWPP) 등 클라우드 환경에 특화된 보안 기술이 필수적입니다. ☁️
  • API 보안 (API Security): 오픈 뱅킹과 같은 서비스는 API를 통해 데이터를 교환하므로, API의 인증, 인가, 암호화, 모니터링 및 취약점 관리 등 API 전반에 걸친 강력한 보안이 요구됩니다.
  • 인공지능(AI) 및 머신러닝(ML) 기반 보안: 방대한 금융거래 데이터를 분석하여 이상 징후를 탐지하고, 위협 예측 및 자동화된 대응을 위해 AI/ML 기반의 보안 솔루션(예: User and Entity Behavior Analytics, UEBA)이 활용됩니다.
  • 제로 트러스트 아키텍처 (Zero Trust Architecture): "절대 신뢰하지 않고 항상 검증하라"는 원칙에 기반하여, 모든 사용자 및 기기, 애플리케이션에 대해 지속적으로 인증 및 권한을 검증하는 보안 모델이 중요해지고 있습니다. 이는 복잡한 디지털 환경에서 내부 및 외부 위협에 모두 대응하기 위함입니다.
  • DevSecOps: 개발(Development), 보안(Security), 운영(Operations)을 통합하여 소프트웨어 개발 생명주기 전반에 걸쳐 보안을 내재화하는 접근 방식이, 빠르게 변화하는 디지털 금융 서비스 개발에 필수적입니다. ‍➡️️

 

출처: http://www.boannews.com/media/view.asp?idx=138455&kind=&sub_kind=