2014.11.14 금융위 규정변경예고에 올라온 "전자금융감독규정" 일부개정규정안 정리

주요 내용에 대해서만 정리


전자금융감독규정 일부개정규정안(공고용).hwp


금융위원회 공고 제2014-257호(전자금융감독규정 규정변경예고).hwp



1. 제12조(단말기 보호대책)

 



- 주요정보, 이용자 정보 저장/조회 단말기와 정보처리시스템 관리용 단말기 등과 중요 단말기에 대한 구체적인 정의가 있었지만 

- 개정안에는 그런 정의가 없으므로 회사 보안지침 등에 중요 단말기 정의를 해야할 필요가 있어 보인다.

- 노트북을 중요 단말기로 지정하지 말아야 한다는 근거는 사라짐

- 단말기 본체 또는 데이터가 저장된 하드 디스크 반출에 대한 모니터링, 승인 등 절차가 필요해 보임 (예 : RFID 부착 등)


2. 제17조(홈페이지 등 공개용 웹서버 관리대책)

 



- 공개용 웹서버 점검 시 공식(?) 점검항목이던 불필요한 계정, 포트 삭제가 삭제 (그래도 서버 점검기준에 포함은 되야할듯)

- 공개용 웹서버 관리자, 개발자 등이 로그인할 때 공인인증서 추가 인증이 삭제되어 보다 넓은 범위의 추가 인증 적용이 가능

   (OTP 문자 발송, 솔루션 외 자체 인증 - SSO 등)


3. 제34조(전자금융거래 시 준수사항) - 1

 



- 홈페이지, HTS, MTS 에 보안 프로그램을 설치해야 하는 의무 규정이 삭제

- 고객이 보안 프로그램의 삭제, 미구동을 원할 때 이에 대한 기록 규정도 삭제

- 금융회사는 더 자율적인 보안 대책을 세우고 고객에게 적용해야 하므로 사회적 이슈, 최신 해킹/금융사고 사례를 통해 대책을 적용해야 함

- 아마도 상위기관의 공문이 더 자주 오거나 사고 사례를 들어 보안 대책 적용 여부를 따질 듯


4. 제34조(전자금융거래 준수사항) - 2

 



- 전자금융거래 매체와 거래인증수단 매체를 분리 사용이 삭제됨에 따라 전자금융거래 매체내에 SW적인 거래인증수단이 적용 가능

   (예: 공인인증서 모듈의 안전한 저장 개념을 하드 디스크내에 SW보안토큰 공간 마련, SW OTP 등)

- 보안카드, OTP 사용 시 번호 입력 오류 등이 발생하면 다음 거래 시 이전의 오류가 난 번호를 다시 요구하였던 것을 삭제

   이는 2014년 규정상의 약점을 악용한 메모리 해킹 사고가 많아짐에 따라 삭제된걸로 생각된다.

- 삭제된 2개 항 대신에 신설된 포괄적인 내용의 4항으로 인해 금융회사는 규정을 준수했다는 면피수단(?)이 사라지고

   고객 매체에 대한 보안대책을 더 많이 고민해야한다.


5. 제37조의 5(정보보호책임자의 업무)

 



- 임직원 보안점검의 날을 지정하고, 매월 점검하고, 점검결과와 보완계획을 CEO 보고해야 한다.

- 단건으로 CEO에게 보고할 수는 없으니 정보보호위원회를 매월 개최하고 그 세부 안건으로 해야할듯다.

- 점검항목은 어떤 것인지 별도로 정리할 필요가 있겠다.


6. 제60조(외부주문등에 대한 기준)

 



- 외부 업체에 의한 정보처리시스템 개발 시 별도의 장소, 내부 업무용 시스템으로 접속이 불가하는 별도의 네트워크망을 이용해야 한다.

- 외부주문의 정의가 연간 IT 아웃소싱 계약이 되어 항상 상주하는 인력까지라면 업무장소, 네트워크망 분리는 차치하더라도

   서로간의 위화감(특히, 한 조직이었다가 계열 분리된 경우)이 들거 같아 걱정이 된다.



Posted by i kiss you
,