‘무더기’ 유출에 칼 빼든 금융보안원…상시평가 대폭 강화 작성일 03-09 31 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="5TU522oMCX"> <figure class="figure_frm origin_fig" contents-hash="d3dc34068be1536cdd74d9dd4ec948079f24b66e5f03f8b23964fb662f154235" dmcf-pid="1yu1VVgRyH" dmcf-ptype="figure"> <p class="link_figure"><img alt="미리캔버스가 그린 일러스트." class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202603/09/dt/20260309174006227nsgp.png" data-org-width="640" dmcf-mid="ZXzF44NdSZ" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202603/09/dt/20260309174006227nsgp.png" width="658"></p> <figcaption class="txt_caption default_figure"> 미리캔버스가 그린 일러스트. </figcaption> </figure> <p contents-hash="4b043fc32003cd91b6de1b43beeebf7c1e029611a3f396c73b37961da594887f" dmcf-pid="tW7tffaeSG" dmcf-ptype="general"><br> 최근 대규모 정보유출 사태가 반복되자 금융보안원이 올해 상시평가를 대폭 강화하기로 했다. 직급과 업무에 따른 권한 부여 현황표 제출을 의무화하고, 외부 접속 기록의 주기적 확인 등 내‧외부 위험 대응 체계를 모두 고도화한다는 방침이다.</p> <p contents-hash="6700aa86f1b57e21fe6bae863c4d1d3d8391bcff800d79524d95124c7a25b454" dmcf-pid="FYzF44NdvY" dmcf-ptype="general">9일 정보보안 업계에 따르면 금융보안원은 최근 정보보호 상시평가 실무진을 대상으로 올해 상시평가에서 강화되는 내용을 설명했다.</p> <p contents-hash="9e0d8da3f8872598c5c4df676e0418f78d8156b562d64f9526c4ffc1a9e64ee5" dmcf-pid="3Gq388jJWW" dmcf-ptype="general">정보보호 상시평가는 금융회사의 개인신용정보 활용이나 관리 실태점검 결과를 접수하고 점검 결과에 따라 등급을 부여하는 제도다. 대상 기관은 이달 말까지 상시평가를 접수해야 한다. 지난해에는 3000여개 금융회사가 상시평가를 받았다.</p> <p contents-hash="b1d2648f484e0e989548991071bcf0ec395ff0568b58427e1fa89b4bb6e64d83" dmcf-pid="0HB066AiWy" dmcf-ptype="general">금융보안원은 지난 2년간의 사고 사례를 반영해 올해 접근권한 관리, 이상행동 감독, 취약점 점검 등 8개 항목의 상시평가 기준을 강화했다.</p> <p contents-hash="2564941a6dd72221ceffeed039448c05cc8fc4ed1a6c0d83b055917bbc316c64" dmcf-pid="pXbpPPcnCT" dmcf-ptype="general">먼저 내부사용자가 업무범위를 벗어난 조회 권한을 가지고 가맹점주의 정보를 외부에 유출한 사례나 직원이 업무 목적 외 개인신용정보를 무단으로 수집하거나 유출한 사례를 지적했다.</p> <p contents-hash="f745c0d5952c56351d3a7bf37db814ff61b65d4f0db869e9a897e9bd7c02dbc3" dmcf-pid="UZKUQQkLTv" dmcf-ptype="general">기존 전 직원에게 동일한 권한을 부여한 것을 개선해 직급과 업무별 접근권한 차등 부여 현황표를 의무적으로 제출하도록 하고, 인사이동 시 30일 이내 권한 변경을 증빙하도록 했다. 또 업무 목적에만 정보를 사용할 수 있도록 신용정보 동의서에 대한 상세 양식을 제출하도록 했다.</p> <p contents-hash="a22ef91a73c919afca83ff079dd19a10c6cb45e8f4e46a8d2f1a88fd9f374725" dmcf-pid="u59uxxEoCS" dmcf-ptype="general">외부 공격 징후를 탐지 이후의 모니터링과 이상행위 탐지 체계도 미흡하다고 봤다. 이에 월 1회 이상 접속기록이나 이상행위, 과다조회를 점검하고 이상행위 판단 내부 기준을 수립한 뒤 문서로 남기도록 했다.</p> <p contents-hash="e98cd26dfe38ca144aebf3e5cda6c608ef5c8216f5100c6e7fbd285acaec104a" dmcf-pid="7127MMDgTl" dmcf-ptype="general">또 외부 접속 구간을 정확히 탐지할 수 있도록 네트워크 구성도를 구체화하고 침입탐지와 차단 정책의 운영 로그도 제출하도록 강화한다.</p> <p contents-hash="20a99e080cc2e651b01b2d31e3bbbe25fa3b45547f71239cdabe979ec38ef40a" dmcf-pid="zEWCFF8BWh" dmcf-ptype="general">이밖에 연 1회 이상 취약점을 점검해 경영진에 보고하고 서버와 PC 전체 백신 설치, 개별 장비 업데이트 확인 등을 증빙하도록 제시했다.</p> <p contents-hash="302f3eba5f59073a36eb4a1120bde59ad262a5ce5f8eff9efb9dccecd214e37c" dmcf-pid="qDYh336blC" dmcf-ptype="general">금융위원회와 금융보안원이 매년 기업에 대한 정보보호 상시평가를 진행하고 있지만, 대규모 유출 사고가 잇따르면서 평가 항목을 대폭 강화한 것으로 풀이된다. 최근 발생한 대규모 유출 사태 이후 상시평가의 실효성에 대한 지적도 제기된 바 있다.</p> <p contents-hash="c2feb04085dd533dfe80925a95143e5d95ea6a2db9ad93225d77733790def859" dmcf-pid="BwGl00PKlI" dmcf-ptype="general">금융보안원 관계자는 “상시평가 자체가 금융회사들이 실제로 정보보호 활동을 제대로 하고 있는지를 서면으로만 평가할 수 있어 한계도 존재한다”며 “이를 보완하기 위해 올해는 모의해킹과 같은 실질적인 평가를 추가하는 것도 검토하고 있다”고 말했다.</p> <p contents-hash="7c5c9a76b6809d803500c55ab508db797f30b1c0ab6ea8f50469a820db4e033b" dmcf-pid="brHSppQ9TO" dmcf-ptype="general">김남석 기자 kns@dt.co.kr</p> </section> </div> <p class="" data-translation="true">Copyright © 디지털타임스. 무단전재 및 재배포 금지.</p> 관련자료 이전 ‘샤이닝’ 김민주, 사랑스러운 ‘햇살캐’ 등장 03-09 다음 ‘단종 앓이’가 쏘아올린 천만관객…‘왕사남’ 흥행비결 세 가지 03-09 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
