전자금융보안 솔루션

전자금융감독규정 [시행 2025.2.5.]

금융회사 또는 전자금융업자의 정보기술부문 안정성 확보 등에 관한 규정이 전자금융감독규정으로 금년 2월 일부 개정되어 시행이 되었다. 해당 규정 중에 "제3장 전자금융거래의 안정성 확보 및 이용자 보호"에 해당하는 전자금융거래에 대한 정보기술 보안 솔루션을 각 규정 항목별로 정리하였다.

먼저, 정보기술 보안 솔루션에 대하여 정리를 했고 해당 솔루션 적용이 필요한 각 규정에 추가하였다.

금융감독원의 전자금융감독규정 해설 내용을 일부 참고하였으나 20년 넘게 IT 컨설팅 및 기업체 전산 팀장으로 근무한 개인적인 경험으로 각 규정과 조항에 필요한 보안 솔루션을 명시하였다. IT분야의 보안 전문가님들의 견해와 차이가 있을 수 있으니 그 점 감안하기 바랍니다.

---

[정보기술 보안 솔루션]

---

전자금융감독규정 [시행 2025.2.5.]에 따른 보안 솔루션

제9조 건물에 관한 사항 전산실이 위치한 건물에 관하여 안전대책 및 출입통제 보안대책을 수립ㆍ운용

- FMS

제12조 단말기 보호대책 단말기 보호를 위하여 다음 각호의 사항을 준수

1.단말기는 인가된 사용자만 사용할 수 있도록 관리

- IAM

2.정보처리시스템에 접속하는 단말기에 대해 정당한 사용자인가의 여부를 확인할 수 있는 기록을 유지할 것

- IAM

3.외부 반출, 인터넷 접속, 그룹웨어 접속의 금지, 정기적인 악성코드 감염여부 확인 등 강화된 보호대책이 적용되는 중요 단말기를 지정할 것

- BitLocker, NAC, MS MDE, PMS, PC Security Assessment, SOC

4.정보유출 및 악성코드 감염 등을 방지할 수 있도록 단말기에서 보조기억매체 등에 접근하는 것을 통제할 것

- Endpoint DLP

제13조 전산자료 보호대책

①전산자료의 유출, 파괴 등을 방지하기 위하여 다음 각호를 포함한 전산자료 보호대책을 수립ㆍ운용

1.사용자 인증 수단을 개인별로 부여하고 접근권한은 최소한으로 부여하는 등 적절한 접근권한 관리 및 통제 절차를 수립 운용할 것

- IAM

2.전산자료의 보유현황을 관리하고 책임자를 지정 운영할 것

- DB Access control

3.전산자료 및 전산정비의 반출 반입을 통제할 것

- DB Access control

5.정기적으로 보조기업매체의 보유 현황 및 관리실태를 점검하고 책입자의 확인을 받을 것

- Endpoint DLP

6.중요도에 따라 전산자료를 정기적으로 백업하여 원격 안전지역에 소산하고 백업내역을 기록 관리할 것

- BCP/DR

7.주요 백업 전산자료에 대하여 정기적으로 검증할 것

- BCP/DR

8.이용자 정보의 조회 출력에 대한 통제를 하고 테스트 시 이용자 정보 사용 금지 (다만, 법인인 이용자 정보는 금융감독원장이 정하는 바에 따라 이용자의 동의하 테스트 가능, 그 외 부하 테스트 등 이용자 정보의 사용이 불가피한 경우 이용자 정보를 변환(가명화?)하여 사용하고 테스트 종료 즉시 삭제

- DB Access control

9.정보처리시스템의 가동기록은 금융감독원장이 정하는 사항을 접속의 성공여부와 상관없이 자동적으로 기록 유지하고 1년 이상 보존할 것

- SMS, SOC, APM, DPM

11.사용자가 전출 퇴직 등 인사조치가 있을 때에는 지체없이 해당 사용자 계정 삭제, 계정 사용 중지, 공동 사용 계정 변경 등 정보처리스템에 대한 접근을 통제할 것

- IAM

② 사용자계정의 공동 사용이 불가피한 경우에는 개인별 사용내역을 기록ㆍ관리하여야 한다.

- IAM

③ 단말기와 전산자료의 접근권한이 부여되는 정보처리시스템 관리자에 대하여 적절한 통제장치를 마련ㆍ운용하여야 한다. 다만, 정보처리시스템 관리자의 주요 업무 관련 행위는 책임자가 제28조 제2항에 따라 이중확인 및 모니터링을 하여야 한다.

- IAM, SAC

제14조 정보처리시스템 보호대책

정보처리시스템의 안전한 운영을 위하여 운영매뉴얼, 유지보수관리대장, 책임자명부 및 장애상황기록부 등 다음 각 호를 포함한 보호대책을 수립ㆍ운용

나.주요정보처리시스템에 대한 정기적인 유지보수 실시 내용을 기록한 유지보수관리대장

- APM, DPM

다.정보처리시스템에 대한 책임자명부 및 장애상황기록부

- APM, DPM

2.정보처리시스템의 정상작동여부 확인을 위하여 시스템 자원 상태의 감시, 경고 및 제어가 가능하도록 모니터링시스템을 갖출 것

- SMS, FMS

4.정보처리시스템의 긴급하고 중요한 보정(patch)사항에 대하여 즉시 보정 작업을 할 것

- SMS

5.중요도에 따라 정보처리시스템의 운용체제 및 설정내용 등을 정기 백업 및 원격 안전지역에 소산하고 백업자료는 1년 이상 기록 관리할 것

- BCP/DR

6.정보처리시스템의 운영체제(Operatiing System) 계정으로 로그인(log in)할 경우 이중인증 절차를 시행하고, 계정에 대한 사용권한, 접근 기록, 작업내역 등에 대한 상시 모티터링체계를 수립하여 이상 징후 발생 시 필요한 통제 조치를 즉시 시행할 것

- IAM, Zero Trust Security

제14조의2 클라우드컴퓨팅서비스 이용절차 등

①「클라우드컴퓨팅 발전 및 이용자보호에 관한 법률」 제2조제3호에 따른 클라우드컴퓨팅서비스를 이용하고자 하는 경우 다음 각 호의 절차를 수행하여야 한다

- CASP/CAPM/CWPP

제15조 해킹 등 방지대책

①정보처리시스템 및 정보통신망을 해킹 등 전자적 침해 행위로부터 방지하기 위하여 다음 각 호의 대책을 수립ㆍ운용하여야 한다.

1.해킹 등 전자적 침해행위로 인한 사고를 방지하기 위한 정보보호시스템 설치 및 운영

- Network: NAC, NMS, SIEM, Anti Ddos, Firewall(IDS/IPS), Network APT, Spam mail filtering system
- Server: WAF, Email APT, Anti Web shell, Unstructured data encryption, Web filter(peer to peer), Pll Scanning, DB encryption

2.해킹 등 전자적 침해행위에 대비한 시스템프로그램 등의 긴급하고 중요한 보정(patch)사항에 대하여 즉시 보정작업 실시

- SOC, CVE/CWE/CCE/CVSS, VADA

3.내부통신망과 연결된 내부 업무용시스템은 인터넷(무선통신망 포함) 등 외부통신망과 분리 차단 및 접속 금지 다만 각 목의 경우 제외

- 물리적 망분리(ex, 2대의 컴퓨터 사용)

가.이용자의 고유식별정보 또는 개인신용정보(「신용정보의 이용 및 보호에 관한 법률」제40조의2에 따른 가명처리에 관한 행위규칙을 준수한 가명정보는 제외)를 처리하지 않는 연구ㆍ개발 목적의 경우(단, 금융회사또는 전자금융업자가 자체 위험성 평가를 실시한 후 금융감독원장이 정한 망분리 대체 정보보호통제를 적용하고 정보보호위원회가 승인한 경우에 한한다)

- 논리적 망분리, SSLVPN, VDI

4.내부통신망에서의 파일 배포기능은 통합 및 최소화하여 운영하고 이를 배포할 경우에는 무결성 검증을 수행 할 것

- DLP, Unstructured data encryptions, Pll scanning

5.전산실 내에 위치한 정보처리시스템과 해당 정보처리시스템의 운영, 개발, 보안 목적으로 직접 접속하는 단말기에 대해서는 인터넷 등 외부통신망으로부터 물리적으로 분리할 것. 다만, 다음 각 목의 경우에는 그러하지아니하다

- 물리적 망분리(ex, 2대의 컴퓨터 사용)

가.이용자의 고유식별정보 또는 개인신용정보(「신용정보의 이용 및 보호에 관한 법률」제40조의2에 따른 가명처리에 관한 행위규칙을 준수한 가명정보는 제외)를 처리하지 않는 연구ㆍ개발 목적의 경우(단, 금융회사또는 전자금융업자가 자체 위험성 평가를 실시한 후 금융감독원장이 정한 망분리 대체 정보보호통제를 적용하고 정보보호위원회가 승인한 경우에 한한다)<

- 논리적 망분리, SSLVPN, VDI

③ 제1항 각 호의 정보보호시스템에 대하여 책임자를 지정ㆍ운영하여야 하며, 운영결과는 1년 이상 보존하여야한다.

- IAM, SAC, DB Access control

④ 해킹 등 전자적 침해의 예방, 피해 최소화 및 신속한 복구를 위한 대책을 수립ㆍ운용하여야 한다

- BCP/DR

2. 무선통신망을 통한 불법 접속을 방지하기 위한 사용자인증, 암호화 등 보안대책을 수립ㆍ운용할 것

- IAM, NMS, NAC, SIEM, Network APT

3. 무선통신망에 인가되지 않은 정보처리시스템 및 단말기의 접속을 차단하여야 하며, 비인가 무선접속장비(Access Point: AP) 설치ㆍ접속여부, 중요 정보 노출여부를 주기적으로 점검할 것

- IAM, NMS, NAC, SIEM, Network APT

⑦ 단말기에서 음란, 도박 등 업무와 무관한 프로그램 또는 인터넷 사이트에 접근하는 것에 대한 통제대책을 수립ㆍ운용하여야 한다

- DLP, Web filter(peer to peer)

제16조 악성코드 감염 방지대책

악성코드 감염ㆍ확산 방지, 피해 최소화 및 복구를 위한 대책을 수립ㆍ운용하여야 한다

- MS MDM, PC Security Assessment, Email APT, Anti Web shell, BCP/DR

제17조 홈페이지 등 공개용 웹서버 관리대책

공개용 웹서버의 안전한 관리를 위하여 다음 각 호를 포함한 적절한 대책을 수립ㆍ운용하여야 한다

1. 공개용 웹서버를 내부통신망과 분리하여 내부통신망과 외부통신망사이의 독립된 통신망(이하 "DMZ구간"이한다)에 설치하고 네트워크 및 웹 접근제어 수단으로 보호할 것

- NMS, SIEM, Anti Ddos, WAF, Network APT

2. 공개용 웹서버에 접근할 수 있는 사용자계정은 업무관련자만 접속할 수 있도록 제한하고 이중 인증수단을 적용할 것

- IAM, SAC

3. 공개용 웹서버에서 제공하는 서비스를 제외한 다른 서비스 및 시험ㆍ개발 도구 등의 사용을 제한하고, DMZ구간 내에 이용자 정보 등 주요 정보를 저장 및 관리하지 아니할 것(다만, 거래로그를 관리하기 위한 경우에는 예외로 하되 고유식별정보는 반드시 암호화하며 그 외 이용자 정보는 별도의 보안대책을 수립하여 저장ㆍ관리하여야 한다)

- IAM, SMS

4. 공개용 웹서버에 자료 게시 절차ㆍ내용에 관한 내부통제 방안과 개인정보 유출 및 위ㆍ변조를 방지하기 위한 보안조치 방안을 수립ㆍ운용하여야 한다

- Unstructured data encryptions, Pll scanning, DB encryption

제18조 IP주소 관리대책

정보제공자 주소(이하 "IP주소"라 한다)의 안전한 사용을 위하여 주소 체계ㆍ할당ㆍ관리 등에 대한 내용을 포함한 적절한 대책을 수립ㆍ운용하고, 내부 IP주소 및 외부 IP주소의 인터넷 접속내용을 1년 이상 별도로 기록ㆍ보관하여야 한다

- NAC, NMS

제19조 암호프로그램 및 키 관리 통제

① 암호프로그램에 대하여 담당자 지정, 담당자 이외의 이용 통제 및 원시프로그램(source program) 별도 보관 등을 준수하여 유포 및 부당 이용이 발생하지 않도록 하여야 한다.

- Encryption Key management

제19조의2 사용자 인증수단 관리

비밀번호, 생체정보 등 사용자 인증수단 유출을 방지하기 위하여 인증수단의 발급ㆍ보관ㆍ주기적 변경 및 인증오류 발생시 처리 절차 등을 포함한 관리방안을 수립ㆍ운용하여야 한다.

- IAM

제23조 비상대책 등의 수립 운영

① 장애ㆍ재해ㆍ파업ㆍ테러 등 긴급한 상황이발생하더라도 업무가 중단되지 않도록 다음 각 호의 내용을 포함한 업무지속성 확보방안을 수립ㆍ준수하여야 한다

- BCP/DR

제24조 비상대응훈련 실시

①제23조제4항에 따른 행동매뉴얼 또는 같은 조 제5항에 따른 비상대책에 따라 연 1회의 비상대응훈련을 실시하고 그 결과를 금융위원회에 보고하여야 한다. 이때, 제23조제10항에 따른 재해복구전환훈련을 포함하여 실시할 수 있다.

- BCP/DR

제25조 정보처리스템의 성능관리

정보처리시스템의 장애예방 및 성능의 최적화를 위하여 정보처리시스템의 사용 현황 및 추이 분석 등을 정기적으로 실시하여야 한다

- SMS, APM, DPM

제29조 프로그램 통제

프로그램 등록ㆍ변경ㆍ폐기 등에 관하여 금융감독원장이 정하는 사항을 포함한 절차를 수립ㆍ운용하여야 한다

- SVM

제30조 일괄작업에 대한 통제

안전하고 체계적인 일괄작업(batch)의 수행을 위한 절차를 수립ㆍ운용하여야 한다

- SVM

제34조 전자금융거래 시 준수사항

전자금융거래와 관련하여 다음 각 호의 사항을 준수하여야 한다

1.전화 등 거래수단 성격상 암호화가 불가능한 경우를 제외한 전자금융거래는 암호화 통신을 할 것(다만, 전용선을 사용하는 경우로서 제36조의 규정에 따라 자체 보안성심의를 실시한 경우에는 그러하지 아니하다)

- SSL Certification

4.전자금융거래에서 이용자에게 제공하거나 거래를 처리하기 위한 전자금융거래프로그램(거래전문포함)의 위ㆍ변조 여부 등 무결성을 검증할 수 있는 방법을 제공할 것

- WAF

제34조의2 인증방법 사용기준

전자금융거래의 종류ㆍ성격ㆍ위험수준 등을 고려하여 안전한 인증방법을 사용하여야 한다

- IAM

제34조의3 이용자 비밀번호 관리

①정보처리시스템 및 전산자료에 보관하고 있는 이용자의 비밀번호를 암호화하여 보관하며 동 비밀번호를 조회할 수 없도록 하여야 한다. 다만, 비밀번호의 조회가 불가피하다고 인정되는 경우에는 그 조회사유ㆍ내용 등을 기록ㆍ관리하여야 한다.

- IAM

제37조의2 전자금융기반시설의 취약점 분석 평가 주기, 내용 등

①총자산이 2조원 이상이고, 상시 종업원 수(「소득세법」에 따른 원천징수의무자가 근로소득세를 원천징수한 자를 기준으로 한다. 이하 같다) 300명 이상인 금융회사 또는 전자금융업자이거나 「수산업협동조합법」, 「산림조합법」,「신용협동조합법」, 「상호저축은행법」 및 「새마을금고법」에 따른 중앙회의 경우 연 1회 이상(홈페이지에 대해서는 6개월에 1회 이상) 실시하여야 한다.

- CVE/CWE/CCE/CVSS, VADA, Phishing Email training system

제37조의3 전자금융기반시설의 취약점 분석 평가 전문기관의 지정 등

①전자금융기반시설의 취약점 분석ㆍ평가를 위한 평가전문기관은 다음 각 호의 자로 한다.

- 개인정보보호/보안 컨설팅

[구성도]