2020-09-20 13:50 (일)
최성일 금감원 단장 “금융보안 사고 예방 위해 IT리스크 중심 감독 검사 추진”
상태바
최성일 금감원 단장 “금융보안 사고 예방 위해 IT리스크 중심 감독 검사 추진”
  • 길민권 기자
  • 승인 2017.02.23 13:33
이 기사를 공유합니다

[SFIS 2017] “실효성있는 금융보안정책 추진과 자율적 소비자 보호 체계 마련 필요”
▲ 데일리시큐와 머니투데이가 공동주최하는 상반기 최대 금융보안 컨퍼런스 ‘스마트 금융&정보보호 페어 SFIS 2017’에서 최성일 금융감독원 IT금융정보보호단장이 '핀테크 혁신 지원을 위한 IT 자율보안 기능의 제고'를 주제로 기조연설을 진행하고 있다.
▲ 데일리시큐와 머니투데이가 공동주최하는 상반기 최대 금융보안 컨퍼런스 ‘스마트 금융&정보보호 페어 SFIS 2017’에서 최성일 금융감독원 IT금융정보보호단장이 '핀테크 혁신 지원을 위한 IT 자율보안 기능의 제고'를 주제로 기조연설을 진행하고 있다.

데일리시큐와 머니투데이가 공동주최하는 상반기 최대 금융보안 컨퍼런스 ‘스마트 금융&정보보호 페어 SFIS 2017’이 소공동 롯데호텔 크리스탈볼룸에서 22일 금융기관 CIO, CISO, 보안실무자 200여 명이 참석한 가운데 성황리에 개최됐다.

이날 최성일 금융감독원 IT금융정보보호단장은 ‘핀테크 혁신 지원을 위한 IT 자율보안 기능의 제고’를 주제로 기조연설을 진행했다.

최 단장은 “기술발전으로 인해 금융환경이 급변하고 있다. 금융권에 빅데이터, 클라우드, 블록체인, 오픈 플랫폼 등 새로운 IT 기술이 확산되면서 보안은 더욱 중요한 부분을 차지하고 있다”며 “이제 금융기관은 금융소비자 보호와 편의 제고를 위해 민간 중심의 자율적 IT보안 체계 기반을 조성해 나가야 한다. 이를 위해 자체 점검 및 책임강화, IT보안 역량 향상, 민간 자율의 보안성 검토 체계 구축, 감시체계 강화 등이 필요하다”고 말했다.

한편 그는 “최근 IT보안 사고 현황을 보면, 금융사 해킹 및 DDoS 공격 등 IT보안사고는 2013년 11건을 정점으로 2016년은 5건 발생으로 줄었다. 또 최근 5년간 금융사 개인정보 유출은 1억1천만건 발생했지만 2014년 이후 현재까지 1건만 발생했고 2016년에는 한 건의 유출사고도 발생하지 않았다”며 “대규모 사고 이후 마련된 종합대책이 이행된 결과로 볼 수 있다. 하지만 핀테크, 클라우드, 빅데이타 도입 등 금융환경 변화에 부응하는 실효성있는 보안정책 추진과 금융사 자율적으로 실질적인 소비자 보호 체계 마련이 중요하다”고 강조했다.

특히 향후 대규모 금융보안 사고 예방을 위한 보안대책의 체화를 위해 IT리스크 중심의 감독 검사를 추진하겠다고 밝혔다. 구체적인 내용으로는 △IT실태평가 강화를 통해 금융회사 자율 보안강화 유도 △금융사고시 금융회사의 실질적, 우선적 책임부담 강화 △IT금융사고에 대비한 금융회사 비상대응계획 점검 지도 △유관기관과 협력 및 정보공유를 통한 사고방지 지속 추진 등을 거론했다.

최 단장은 또 “핀테크 발전은 기회를 가져오는 동시에 리스크를 수반한다. 건전한 핀테크 활성화를 위한 철저한 리스크 관리가 필요하다”며 “금융안정과 기술혁신의 균형적 달성을 위해 △윤리적 데이터 사용에 관한 공개토론 △기술혁신에 대한 공공-민간부문의 대화 △기술혁신 모니터링 및 리스크 중심 감독체계 마련 △기술혁신 관련 바람직한 영업행위 준칙 마련 등이 필요하다”고 설명했다.

더불어 금융혁신에 따른 리스크 확대 대응을 위해 IT검사 개선이 필요하다고 강조하고 그 방안에 대해 △경영전략가 연계된 IT전략을 수립하고 이사회와 경영진이 직접 IT리스크를 관리 △모바일 서비스에 대한 IT검사 매뉴얼을 제정하고 모바일 서비스 관련 리스크 식별 및 관리 강화 지도 △금융기관이 자체적으로 사이버보안 리스크를 계량적으로 측정하고 관리해 리스크를 경감 해야 하고 △외주업체와 계약 체결시 부도 등에 대비한 BCP를 마련하고 관리 강화가 필요하다고 말했다.

또 실질적 소비자 보호 강화를 위해 금융회사의 책임을 수반한 혁신을 유도하겠다고 밝히고, 이를 위해 △간편송금 서비스 제공 및 생체인증 등 신규 인증수단 도입 △소비자의 보안프로그램 선택권 확대 △전자금융사기 등 피해발생시 소비자가 부당하게 부담을 지지 않도록 전자금융 거래 약관 및 배상절차 점검 및 개선 △금융권역별 이상거래탐지시스템(FDS) 고도화를 통해 거래 안정성 확보 △개인정보보호와 활용에 대한 가이드라인 마련 등을 강조했다.

마지막으로 최 단장은 기술발전에 부응하는 실효성있는 보안정책 추진을 위해 “망분리 규제의 실효성을 확보하면서 클라우드 컴퓨팅 등 기술발전에 부응하는 운영 방안을 모색하고 획일적인 IT부문 인력 및 예산 규제 5.5.7 원칙을 보완해 금융회사별 업무특성 및 IT리스크 등을 고려한 정책을 마련하겠다. 그리고 위탁 업무의 수행 적정성을 점검하고 통제대책의 실효성 확보를 위해 노력해 나가겠다”고 밝혔다.

이번 SFIS 2017은 보안기업 더보안, 스틸리언, 엔시큐어, 좋을, 파이어아이, 아카마이, 지란지교소프트, 데이타와이드, HPE, 안랩, SK인포섹 등이 참여했다.

★정보보안 대표 미디어 데일리시큐!★