Improvements of Information Security Level in Electronic Financial Infrastructure(By Analyzing Information Security Management Level)

전자금융기반시설 정보보호 수준강화 방안 (정보보호 관리수준 분석을 통한)

Abstract

In recent years, security incidents - such as personal information leakage, homepage hacking, DDoS and etc. - targeting finance companies(banks, securities companies, credit card companies, insurance companies and etc.) have increased steadily. In this paper, we analyze problems of information security management level in the existing electronic financial infrastructure from perspective of compliance and information security certification system and propose improvements to enable sustainable high level of information security activities under a comprehensive management system for the financial sector characteristics using ISMS, SECU-STAR and CNIVAM system.

최근 몇 년 동안 금융회사(은행, 증권사, 신용카드사, 보험사 등)를 대상으로 한 개인정보 유출, 홈페이지 해킹, 분산 서비스거부공격(DDoS) 등 보안사고가 꾸준히 증가하고 있다. 본 논문에서는 현행 전자금융기반시설의 정보보호 관리수준의 문제점을 법적 준거성과 정보보호 인증제도 관점에서 분석하고 금융 분야 특성에 적합한 종합적인 관리체계 하에서 높은 수준의 정보보호 활동이 지속 가능하도록 정보보호관리체계, 정보보호 준비도 평가 및 주요정보통신기반시설 취약점 분석 평가 제도를 활용한 개선방안을 제시하고자 한다.

I. 서론

‘전자금융기반시설‘이란 전자금융거래에 이용되는 정보처리시스템 및 정보통신망(전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집·가공·저장·검색·송신 또는 수신하는 정보통신체제)을 말하고[1][5], 전자금융 기반시설의 운영 및 관리 책임은 금융회사에 있다.

최근 몇 년 동안 금융회사(은행, 증권사, 신용카드사, 보험사 등)는 개인정보 유출 및 전산망 마비 등의 보안사고 사례를 통하여 사회적·경제적으로 혹독한 대가를 치룬바 있다. 또한 최근에는 중요 정보를 볼모로 금전적 보상을 요구하는 랜섬웨어 (Ransom+Software)가 기승을 부리고 있고, 배드유에스비(BadUSB)와 같이 USB메모리의 펌웨어를 조작하여 해킹 도구로 악용하는 최신 기술이 등장하고 있어 지속적인 보안사고 예방이 절실히 필요하다.

금융회사에서 운영·관리하는 전자금융기반시설은 대량의 개인정보(주민등록번호, 계좌번호, 신용카드번호 등) 및 중요정보(금융거래정보, 비밀번호, 바이오정보 등)를 처리하는 정보시스템으로 구성되어 있기 때문에 금융회사는 금융 분야 특성에 맞게 자율적으로 종합적인 관리체계를 구축·운영하고, 높은 수준의 정보보호 활동이 지속 가능하도록 전사적으로 노력하여야 한다.

본 논문의 2장에서는 금융 분야에서 수행하고 있는 정보보호 평가 방안, 정보보호 인증제도 등에 관한 현황을 살펴보고, 3장에서는 현행 전자금융기반시설의 정보보호 관리수준의 문제점을 분석하고, 4장에서는 금융 분야 특성에 적합한 개선방안을 제시하고자 한다.

II. 관련 연구

본 장에서는 전자금융기반시설 취약점 분석·평가, 금융회사의 정보기술부문 실태평가, 정보보호관리체계(ISMS) 인증, 주요정보통신기반시설 취약점 분석·평가, 정보보호 준비도 평가 제도에 대하여 설명한다.

2.1 전자금융기반시설 취약점 분석·평가

금융회사 및 전자금융업자는 전자금융거래의 안전성과 신뢰성을 확보하기 위하여 전자금융기반시설에 대한 취약점을 분석·평가하고 그 결과를 금융위원회에 보고하고 있다[1].

○ 법적 근거

- 『전자금융거래법』 제21조의3(전자금융기반시설의 취약점 분석·평가)

- 『전자금융거래법 시행령』 제11조의4(전자금융기반시설 취약점 분석·평가의 내용)

- 『전자금융감독규정』 제37조의2(전자금융기반시설의 취약점 분석·평가 주기, 내용 등)

- 『전자금융감독규정 시행세칙』 제7조의2(전자금융기반시설의 취약점 분석·평가의 내용)

○ 시행 주기

- 매 년 1회 이상

○ 취약점 분석·평가 내용

- 3개 평가 부문의 20개 평가 항목으로 구성(Table 1. 참조)

Table 1. 『Electronic Financial Supervisory Regulations Detailed Enforcement Regulations』 [Annex 3][4]

전자금융기반시설 취약점 분석·평가 내용은 『전자금융감독규정 시행세칙』 <별표 3>에 정하고 있으나, 세부 평가항목은 금융회사가 자율적으로 정하여 시행하고 있다. 반면에 타 주요정보통신기반시설의 관리기관의 경우에는 2.4에서 보는 바와 같이 『주요정보통신기반시설 취약점 분석·평가 기준』 (미래창조과학부고시 제2013-37호)에서 정하고 있는 세부 평가항목(기본·선택)을 준용하고 있다.

IBK캐피탈은 전자금융기반시설 취약점 세부 평가항목을 정함에 있어 『전자금융감독규정』의 각 조항에 근거를 두고 있다.

IBK캐피탈의 전자금융기반시설 취약점 평가항목은 아래의 Table 2.와 같다[13].

Table 2. Electronic Financial Infrastructure Vulnerability Measurement Items of IBK Capital

금융회사는 아래의 ‘IBK캐피탈의 전자금융기반시설 취약점 평가항목 일부 예시’에서 보는 바와 같이 취약점 평가항목을 ‘체크리스트’ 방식으로 개발하여 적용하고 있다[13].

○ 인력 부문 평가항목(근거: 『전자금융감독규정』 제8조)

- 정보기술(이하‘IT"라 한다)부문 인력비율(5%이상)의 적정성

- 정보보호 인력비율(5%이상)의 적정성

- IT외주인력 수행 업무에 대한 적정성 및 검토 여부

- IT인력 및 정보보호인력에 대한 연수 프로그램의 적정성

○ 조직 부문 평가항목(근거:『전자금융감독규정』 제8조)

- 정보처리시스템 관련 전담조직 운영 여부

- 전자금융업무 관련 전담조직 운영 여부

- IT 아웃소싱(이하 ‘IT자회사’포함) 통제·관리 조직(인력포함) 운영 여부

○ 예산 부문 평가항목(근거:『전자금융감독규정』 제8조)

- 정보보호 예산 비율(7%)의 적정성

- 전자금융사고 책임이행을 위한 보험, 공제 또는 적립금 규모의 적정성

2.2 금융회사의 정보기술부문 실태평가

금융감독원은 업무의 성격 및 규모, 정보기술부문에 대한 의존도 등을 감안하여 『전자금융감독규정』 <별표 5>에 명시된 일부 대형 금융회사에 대하여 검사를 통해 정보기술부문 운영 실태를 평가하고 그 결과를 경영실태평가 등 감독 및 검사업무에 반영하고 있다[3].

○ 법적 근거

- 『전자금융감독규정』 제58조(금융회사의 정보기술부문 실태평가 등)

- 『전자금융감독규정 시행세칙』 제9조(정보기술부문 실태평가 방법 등)

○ 시행 주기

- 매 년 1회 이상

○ 실태평가 내용

- 『전자금융감독규정 시행세칙』 <별표 4>[4]의 내용은 아래의 Table 3.을 참조한다.

Table 3. 『Electronic Financial Supervisory Regulations Detailed Enforcement Regulations』 [Annex 4]

○ 평가 등급

- 1등급(우수), 2등급(양호), 3등급(보통), 4등급(취약), 5등급(위험)

정보기술부문의 실태 평가항목은 『전자금융감독규정 시행세칙』 <별표 4>에서 정하고 있으나, 세부평가 항목은 금융감독원이 정하여 시행하고 있다.

2.3 정보보호관리체계(ISMS) 인증

미래창조과학부는 정보통신망의 안정성·신뢰성 확보를 위하여 관리적·기술적·물리적 보호조치를 포함한 종합적 관리체계를 수립·운영하고 있는 자에 대하여 인증 기준에 적합한지에 관하여 인증을 할 수 있다[5].

○ 법적 근거

- 『정보통신망 이용촉진 및 정보보호 등에 관한 법률』 제47조(정보보호 관리체계의 인증)

- 『정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령』 제47조(정보보호 관리체계 인증의 방법·절차·범위 등)

- 『정보보호 관리체계 인증 등에 관한 고시』 (미래창조과학부고시 제2016-59호)

○ 유효 기간

- 3년(매 년 1회 이상 사후심사)

○ 인증기준 내용

- 『정보보호 관리체계 인증 등에 관한 고시』 <별표 7>[7]은 아래의 Table 4.를 참조한다.

Table 4. 『Notice Concerning Information Security Management System Certification, Etc.』 [Annex 7]

ISMS 인증 제도는 기업(조직)이 각종 위협으로부터 주요 정보자산을 보호하기 위해 수립·관리·운영 하는 종합적인 체계의 적합성에 대해 인증을 부여하고, ‘일회성 관리’, ‘부분적 보안’이 아닌 ‘지속적 관리’, ‘전사적 보안’을 위한 보다 높은 수준의 보안관리 활동을 가능하게 하는 효과적인 수단이다.

2016년 6월 현재 유지되고 있는 ISMS 인증서는 총 407건이고, 그 중 금융회사의 인증서는 농협은행, NH농협은행, KB국민은행, 우리은행, 중소기업 은행, 신한은행, 하나은행, 유안타증권, 미래에셋증권, 신한금융투자, HMC투자증권, 한화투자증권, 교보증권, 메리츠종합금융증권, 현대증권, 동부증권, KDB대우증권, SK증권, 하나대투증권, 유진투자증권, 우리투자증권, 키움증권, 한국투자증권, 삼성증권, 대신증권, 동부화재해상보험, 삼성화재해상보험, 비씨카드 등 28건으로 총 발급 건수 대비 15% 수준이다[15].

또한 2016년 6월 현재 인가된 금융회사(각 협회별 정회원 기준) 160개 중 ISMS 인증서를 유지하고 있는 금융회사는 28개이므로 18% 수준에 불과하다.

○ 금융회사 인가 현황(2016년 6월 현재)

- 은행社 : 16개[19]

- 증권社 : 55개[20]

- 보험社 : 23개(생명보험), 15개(손해보험)[21][22]

- 신용카드社 : 8개[23]

- 리스·할부금융社 : 43개[23]

2.4 주요정보통신기반시설 취약점 분석·평가

주요정보통신기반시설을 관리하는 기관은 취약점 분석·평가의 결과에 따라 소관 주요정보통신기반시설 및 관리 정보를 안전하게 보호하기 위한 예방, 백업, 복구 등 관리적·물리적·기술적 대책을 포함한 관리대책을 수립·시행하고 있다[8].

○ 법적 근거

- 『정보통신기반 보호법』 제9조(취약점의 분석·평가)

- 『정보통신기반 보호법 시행령』 제17조(취약점 분석·평가의 시기), 제18조(취약점 분석·평가 방법 및 절차), 제19조(정보공유·분석센터의 취약점 분석·평가)

- 『주요정보통신기반시설 취약점 분석·평가 기준』 (미래창조과학부고시 제2013-37호)

○ 시행 주기

- 매 년 1회 이상

○ 취약점 분석·평가 점검 항목

- 『주요정보통신기반시설 취약점 분석·평가 기준』 [10]은 아래의 Table 5.를 참조한다.

Table 5. 『Critical Network Infrastructure Vulnerability Analysis and Measurement Criteria』

주요정보통신기반시설 관리기관은 업무 분야별(교육, 의료, 에너지 등) 특성에 따라 관리적·물리적·기술적 취약점 평가항목을 일부 보완하여 취약점 분석·평가를 시행하고 있고, 기본 평가항목(등급: 상)과 선택 평가항목(등급: 중·하)을 모두 준용하고 있다.

2.5 정보보호 준비도 평가

미래창조과학부는 보안, 인력 조직 확충, 법규준수 등 기업의 보안 역량 강화를 위한 정보보호 준비 수준을 평가함으로서 정보보호 자율규제 문화 정착 및 기업의 자발적 정보보호 역량 강화를 유도하고 있다.

○ 법적 근거

- 『정보보호산업의 진흥에 관한 법률』 제12조(정보보호 준비도 평가 지원 등)

○ 유효 기간

- 1년

○ 평가기준 내용

- ‘정보보호 준비도 평가 기준’[14]은 아래의 Table 6.을 참조한다.

Table 6. Information Security Readiness Measurement Criteria

○ 평가 등급

- 1등급(AAA), 2등급(AA), 3등급(A), 4등급(BB), 5등급(B)[14]

III. 전자금융기반시설 정보보호 관리수준의 문제점

본 장에서는 금융회사가 매년 1회 이상 주기적으로 수행하고 있는 ‘전자금융기반시설 취약점 분석·평가’ 및 ‘정보기술부문 실태평가’의 평가 항목을 분석함으로서 금융회사가 관리하는 전자금융기반시설의 주요 IT자산인 정보시스템(서버, 보안장비, 네트워크장비, PC, 데이터베이스 등) 및 대량의 정보자산 (주민등록번호, 계좌번호, 신용카드번호, 내부비밀정보 등)을 안전하게 보호하기 위한 정보보호 관리수준의 문제점을 설명한다.

3.1 전자금융기반시설 취약점 분석·평가의 한계점

3.1.1 ISMS 통제항목과 전자금융기반시설 취약점 평가 항목 비교·분석

ISMS의 통제항목과 전자금융기반시설 취약점 평가항목을 비교·분석한 결과, 아래의 Table 7.에서 보는 바와 같이 ISMS 통제항목 104개 중 전자금융기반시설 취약점 평가항목이 만족하는 통제항목은 67개(64%)로서 특히 관리적 분야에서 매우 부족함을 확인하였다.

Table 7. Mapping of ISMS Control Item and Electronic Financial Infrastructure Vulnerability Measurement Item

(EFIVMI*=Electronic Financial Infrastructure Vulnerability Measurement Item of Table 2.)

3.1.2 주요정보통신기반시설 기술적 취약점 평가항목과 전자금융기반시설 기술적 취약점 평가항목 비교·분석

주요정보통신기반시설 기술적 취약점 평가항목과 전자금융기반시설 기술적 취약점 평가항목을 비교·분석한 결과, 아래의 Table 8.에서 보는 바와 같이 주요정보통신기반시설 기술적 취약점 평가항목 291개 중 전자금융기반시설 기술적 취약점 평가항목이 만족 하는 항목은 158개(54%)이고 특히 PC(노트북)에 대한 취약점 평가항목(20개)이 누락되어 있어 주요 정보시스템에 대한 취약점 분석이 매우 부족함을 확인하였다.

Table 8. Comparison Critical Network Infrastructure Technical Vulnerability Measurement Item with Electronic Financial Infrastructure Technical Vulnerability Measurement Item

(CNITVMI*=Critical Network Infrastructure Technical Vulnerability Measurement Item)

(EFITVMI*=Electronic Financial Infrastructure Technical Vulnerability Measurement Item)

3.1.3 체크리스트 방식의 평가항목

전자금융기반시설 취약점 평가항목은 2.1의 ‘IBK 캐피탈의 전자금융기반시설 취약점 평가항목 일부 예시’에서 보는 바와 같이 금융회사가 자율적으로 『전자금융감독규정』 에 근거하여 개발한 평가항목은 ‘체크리스트’ 방식으로 구성되어 있기 때문에 아래와 같은 몇 가지 한계점이 있다.

○ 보호 대상 정보시스템 및 정보자산이 누락될 가능성이 높음

○ 다양한 위협에 대응하기 위한 보호대책을 종합적으로 평가하기에 부족함

○ 금융회사에서 개발한 평가항목은 객관성·공정성이 결여될 가능성이 높음

○ 『전자금융감독규정』 은 최소한의 보안 수준을 규정한 것임

3.2 정보기술부문 실태평가의 한계점

‘정보기술부문 실태평가’는 아래의 법적 근거에서 보는 바와 같이 금융회사의 IT부문 안전성 및 건전성 관리·감독을 위한 평가에 주안점을 두고 있기 때문에 금융회사의 종합적인 정보보호 관리수준을 평가하기 위한 수단으로 활용하기에는 적합하지 않다.

‘정보기술부문 실태평가’ 법적 근거는 아래와 같다[3].

『전자금융감독규정』 제58조(금융회사의 정보기술 부문 실태평가 등)

① 금융감독원장은 금융회사의 정보기술부문의 건전성 여부를 감독하여야 한다. <개정 2013.12.3.>

② 금융감독원장은 업무의 성격 및 규모, 정보기술부문에 대한 의존도 등을 감안하여 <별표 5>에 규정된 금융회사(이하 이 조에서 ‘은행 등’이라 한다)에 대하여 검사를 통해 정보기술부문 운영 실태를 평가하고 그 결과를 경영실태평가 등 감독 및 검사업무에 반영하여야 한다.

3.3 관리적·기술적 문제점 요약

전자금융기반시설의 관리적 측면의 정보보호 수준의 문제점은 다음과 같이 요약할 수 있다.

전자금융기반시설 취약점 평가항목과 ISMS 통제항목 비교·분석 결과(Table 7. 참조)

- 전자금융기반시설 취약점 평가항목 45개는 ISMS 통제항목 104개 중 67개를 만족함(64%)

- 특히, ISMS 관리과정 통제항목 12개 중 1개를 만족함(8%)

전자금융기반시설의 기술적 측면의 정보보호 수준의 문제점은 다음과 같이 요약할 수 있다.

전자금융기반시설 기술적 취약점 평가항목과 주요정보통신기반시설 기술적 취약점 평가항목(필수·선택) 비교·분석 결과(Table 8. 참조)

- 전자금융기반시설 기술적 취약점 평가항목 158개는 주요정보통신기반시설 기술적 취약점 평가항목의 기본항목(등급: 상) 171개 중 158개를 만족함(92%)

- 또한, 주요정보통신기반시설 기술적 취약점 평가항목의 선택항목(등급: 중·하) 120개는 만족하지 않음

IV. 전자금융기반시설 정보보호 수준강화 방안

본 장에서는 3.1과 3.2에서 확인된 전자금융기반시설 정보보호 수준의 문제점에 대한 개선방안을 관리적 분야와 기술적 분야로 구분하여 제안한다.

4.1 관리적 분야

일정 규모 이상의 금융회사를 대상으로 현행 정보보호관리체계(ISMS) 인증 제도를 확대 적용하여 전자금융기반시설에 대한 관리적 보호 수준을 강화하여야 하고, 금융회사로부터 주요 정보시스템 등의 운영 업무를 위탁받은 용역업체는 정보보호 준비도 평가 제도를 활용하여 자발적 정보보호 역량 강화를 유도하여야 한다.

전자금융기반시설의 관리적 정보보호 수준강화 방안 예시를 금융회사(위탁사)와 용역업체(수탁사)로 구분하여 제안함으로서 금융회사의 중요 정보시스템 운영 및 유지보수 업무를 수행하는 용역업체(수탁사)의 정보보호 수준도 강화할 필요가 있다.

전자금융기반시설 관리적 정보보호 수준강화 방안의 예시는 아래와 같다.

4.1.1 금융회사(위탁사)

○ 적용제도 : 정보보호관리체계 인증(2.3 참조)

○ 세부 내용

- 대상 : 매출 1,500억 원 이상의 금융회사

- 통제항목 개선 : 현행 104개 통제항목을 유지하되, 금융 분야 특성에 적합한 세부 통제항목을 개발하여 적용[18]

- 중복완화 : 현행 전자금융기반시설 취약점 평가 항목 중 관리적 평가항목(Table 1. 및 Table 2. 참조)을 ISMS 통제항목으로 대체

4.1.2 용역업체(수탁사)

○ 적용제도 : 정보보호 준비도 평가(2.5 참조)

○ 세부 내용

- 대상 : ISMS 인증 미보유 중소기업

- 평가항목 개선 : 현행 29개 평가항목을 유지하되, 금융 분야 특성에 적합한 선택지표를 추가 개발하여 적용(Table 9. 참조)

Table 9. Example of Financial Sector Optional Indicator and Measurement Item

- 최소 요구 등급 : 5등급(B) + 금융 분야 선택 지표(Pass)

- 중복완화 : 금융회사(위탁사)에서 주기적으로 시행하는 용역업체(수탁사) 대상 보안지도·점검을 대체안 점검항목을 고려한 금융 분야 선택지표 및 평가항목의 예시는 아래의 Table 9.와 같다.

4.2 기술적 분야

금융회사는 소관 전자금융기반시설의 주요 정보시스템을 식별 및 분류하고, 현행 주요정보통신기반시설 취약점 평가항목(기본항목+선택항목) 뿐만 아니라 금융 분야 특성에 적합한 평가항목을 추가로 개발하여 적용함으로서 기술적 보호 수준을 강화할 필요가 있다.

전자금융기반시설 기술적 정보보호 수준강화 방안의 예시는 아래와 같다.

○ 적용제도 : 주요정보통신기반시설 취약점 분석·평가(2.4 참조)

○ 대상 정보시스템

- 현행 : 유닉스·윈도우즈서버, 보안장비, 네트워크 장비, 데이터베이스, 웹서비스, 스마트폰뱅킹

- 개선방안 : 현행 + PC·노트북 (Table 2. 및 Table 5. 참조)

○ 평가항목

- 현행 : 기본항목(171개) + 스마트폰뱅킹(15개)

- 개선방안 : 현행(186개) + 선택항목(120개)(Table 2. 및 Table 5. 참조)

○ 추가 평가항목(금융 분야 특성 고려)

- 목적 : 개인정보(고유식별정보, 비밀번호, 바이오정보 등)를 처리하는 대국민 웹서비스 경우, 전송구간 암호화(HTTPS) 보안강도 및 SSL 통신 안전성 평가를 통하여 개인 정보 유출 등을 예방

- 근거: 『개인정보의 안전성 확보조치 기준』 제6조(개인정보의 암호화)

- 전송구간 암호화(HTTPS) 보안강도 및 SSL 통신 안전성 평가항목의 예시는 아래의 Table 10.과 같다.

Table 10. Measurement Items about Transmission Section Encryption(HTTPS) Security Strength and SSL Communication Safety[17]

- 전송구간 암호화(HTTPS) 보안강도 및 SSL 통신 무료 진단도구 : 웹기반 SSL 서버 테스트(https://www.ssllabs.com/ssltest/)[17]

V. 결론

현행 전자금융기반시설의 정보보호 관리수준의 문제점은 크게 2가지로 요약할 수 있다. 첫 번째로 금융회사는 ‘전자금융기반시설 취약점 분석·평가’를 매년 주기적으로 수행하고 있으나, 그 평가내용이 기술적인 측면에 집중되어 있기 때문에 관리적인 측면이 매우 부족하다(3.3 참조). 두 번째로 금융감독원이 주기적으로 수행하는 ‘정보기술부문 실태평가’는 금융회사의 IT부문 안전성 및 건전성 관리·감독을 위한 평가에 주안점을 두고 있기 때문에 금융회사의 종합적인 정보보호 관리수준을 평가하기 위한 수단으로 활용하기에는 적합하지 않다.

따라서 대량의 개인정보 및 중요정보를 처리하는 전자금융기반시설의 경우, 정보 유출 및 시스템 마비 등 보안사고 발생시 사회적인 파급효과가 매우 심각하기 때문에 금융회사는 금융 분야 특성에 맞는 관리 체계 구축 및 정보보호 운영을 자율적으로 수행하되, 현행 제도화 되어 있는 정보보호관리체계(ISMS) 인증, 정보보호 준비도 평가 등을 적극 도입하여 높은 수준의 정보보호 활동을 전사적·지속적으로 보장하여야 한다.