IT보안대책 미준수시 제재 수위 상향

금융감독원이 올해 개인정보보호 강화를 위해 금융사의 정보처리 및 전산설비 위탁에 대한 감독과 검사를 강화하기로 했다.

정보통신(IT) 보안 대책을 지키지 않으면 제재 수위가 크게 올라가며 IT 보안 실태에 대한 테마 및 불시 검사도 집중적으로 이뤄진다.

금감원은 13일 본사 강당에서 열린 ‘2014년 금융 IT 정보보호 감독·검사 업무 설명회’에서 이런 내용을 발표했다.

올해 금융지주사의 주력 금융사를 검사할 때 지주사의 IT자회사에 대해서도 연계 검사를 하기로 했다.

IT 실태 평가 표준 매뉴얼을 개선하고 금융사의 정보 보안이 상시 이행될 수 있도록 기동점검반을 운영해 불시 점검을 하기로 했다. 전자금융업자의 경우 거래 유형과 리스크 규모를 고려해 검사에 나서기로 했다.

IT 사고가 발생하지 않더라도 보안대책을 준수하지 않는 행위에 대한 제재 수준을 대폭 상향 조정하기로 했다.

금융협회와 공동으로 금융전산 보안 표준지침을 만들기로 했다. 금융보안 표준 체크리스트, 외주용역 일일 체크리스트도 생긴다.

올해 은행, 보험사 등 금융사의 스마트폰 금융 대책의 이행 실태를 점검하고 지도하기로 했다. 모바일 앱은 보안 취약점 점검 대상에 포함된다.

보안성 심의 소요 기간에 대해 사전 예고제를 시행해 각종 전자금융 정책에 대해 금융사가 예측할 수 있도록 할 방침이다.

금융 사고와 사이버테러 예방 차원에서 IT 인력 및 예산 비율 준수, CISO 지정 및 겸직 현황도 점검해 지도하기로 했다.

내달 8일부터 윈도우XP 운영 체계가 종료됨에 따라 금융사에 단말기 교체를 지도하고 서버는 내년 7월까지 바꾸도록 할 방침이다.

장애인, 노령층 등 전자금융 취약계층에 대한 이용 편의 제공 실태를 점검하고 휴대전화 문자메시지 탈취, 메모리 해킹 등 신·변종 전자금융사기의 대응 방안을 마련하기로 했다.

금감원은 지난 10일 정부 합동으로 발표한 개인정보유출 재발방지 대책도 속도감 있게 시행할 방침이다.

개인정보 수집 표준 동의서, 제삼자 제공 가이드라인, 정보파기 가이드라인 등 세부 지침을 마련키로 했다. 금융거래용 서식 변경 등 주민등록번호 노출 최소화를 위한 가이드라인도 만들기로 했다.

대출 모집인의 금지 행위 위반 등에 대한 이력을 통합 관리하는 시스템을 구축하고 무차별적인 전화 등 비대면 방식의 영업 행위 통제 가이드라인도 마련하기로 했다.

금융권과 금융보안연구원, 금융 IT 보안업체 실무자 등이 참여하는 ‘금융IT보안연구회’도 구성해 운영하기로 했다.

연합뉴스