brunch

매거진 Security

라이킷 4 댓글

You can make anything
by writing

C.S.Lewis

계정을 잊어버리셨나요?

by sokoban Jan 18. 2020

전자금융감독 규정 보안 부분 정리

전금법

최근 활발하게 생성되는 금융관련 벤처 혹은 증권사 등 여러업체에서 한국에서 사업을 하기 위해서 꼭 지켜야 하는 규정중에 하나가 전자금융감독 규정이라고 생각되고 이 규정에 대해서 간단히 정리해 보았다.

카테고리는 기술 보안과 관련된 영역으로만 분류하여 나누어서 표기 하였고 해설서의 내용 중 중요하다고 생각되는 내용도 표기하였다.

간혹 감독 규정에 있는 내용이 모두 구현 되지 않았거나 이를 대체할 방안이 없는데도 심사나 감사를 통과하는 경우가 있으나 이는 미쳐 시간내에 심사나 감사를 하지 못한 경우이므로 이러한 사례가 있다고 아래의 규정에 부합하지 않게 구성되어야 하는것은 아니다.

참고를 위하여 정리함

제2조(정의) 이 규정에서 사용하는 용어의 정의는 다음과 같다.

1. "전산실"이라 함은 전산장비, 통신 및 보안장비, 전산자료 보관 및 출력장비가 설치된 장소를 말한다.

2. "전산자료"라 함은 전산장비에 의해 입력·보관·출력되어 있는 자료를 말하며 그 자료가 입력·출력되어 있는 자기테이프, 디스크, 디스켓, 콤팩트디스크(CD) 등 보조기억매체를 포함한다.

3. "정보처리시스템"이라 함은 전자금융업무를 포함하여 정보기술부문에 사용되는 하드웨어(hardware)와 소프트웨어(software)를 말하며 관련 장비를 포함한다.

4. "정보기술부문"이라 함은 컴퓨터 등 정보처리능력을 가진 장치를 이용하여 정보를 수집·가공·저장·검색·송신 또는 수신을 행하는 금융회사 또는 전자금융업자의 업무, 인력, 시설 및 조직을 말한다. <개정 2013. 12. 3.>

5. "정보보호" 또는 "정보보안"이라 함은 컴퓨터 등 정보처리능력을 가진 장치를 이용하여 수집·가공·저장·검색·송신 또는 수신되는 정보의 유출·위변조·훼손 등을 방지하기 위하여 기술적·물리적·관리적 수단을 강구하는 일체의 행위를 말하며 사이버안전을 포함한다.

6. "정보보호시스템"이라 함은 정보처리시스템내 정보를 유출·위변조·훼손하거나 정보처리시스템의 정상적인 서비스를 방해하는 행위로부터 정보 등을 보호하기 위한 장비 및 프로그램을 말한다.

7. "해킹"이라 함은 접근을 허가받지 아니하고 전자금융기반시설에 불법적으로 침투하거나 허가받지 아니한 권한을 불법적으로 갖는 행위 또는 전자금융기반시설을 공격하거나 해를 끼치는 행위를 말한다. <개정 2013. 12. 3.>

8. "컴퓨터악성코드"(이하 "악성코드"라 한다)라 함은 컴퓨터에서 이용자의 허락 없이 스스로를 복사하거나 변형한 뒤 정보유출, 시스템 파괴 등의 작업을 수행하여 이용자에게 피해를 주는 프로그램을 말한다. <개정 2013. 12. 3.>

9. "공개용 웹서버"라 함은 인터넷 이용자들이 웹페이지를 자유롭게 보고 웹서비스(월드 와이드 웹을 이용한 서비스를 말한다)를 이용할 수 있게 해주는 프로그램이 실행되는 장치를 말한다. <개정 2013. 12. 3.>

10. "정보통신망"(이하 "통신망"이라 한다)이라 함은 유·무선, 광선 등 정보통신 수단에 의하여 부호·문자·음향·영상 등을 처리·저장 및 송·수신할 수 있는 정보통신 조직형태를 말한다. <개정 2013. 12. 3.>

11. 삭제 <2013. 12. 3.>

5. 해킹 등 방지대책

< 감독규정 >

제15조(해킹 등 방지대책) 1 금융회사 또는 전자금융업자는 정보처리시스템 및 정보통신망을 해킹 등 전자적 침해행위로부터 방지하기 위하여 다음 각 호의 대책을 수립・운용하여야 한다.

해킹 등 전자적 침해행위로 인한 사고를 방지하기 위한 정보보호시스템 설치 및 운영

해킹 등 전자적 침해행위에 대비한 시스템프로그램 등의 긴급하고 중요한 보정(patch)사항에 대하여 즉시 보정작업 실시

내부통신망과 연결된 내부 업무용시스템은 인터넷(무선통신망 포함) 등 외부통신망과 분리・차단 및 접속 금지(단, 업무상 불가피하여 금융감독원장의 확인을 받은 경우에는 그러하지 아니하다)

내부통신망에서의 파일 배포기능은 통합 및 최소화하여 운영하고, 이를 배포할 경우에는 무결성 검증을 수행할 것

전산실 내에 위치한 정보처리시스템과 해당 정보처리시스템의 운영, 개발, 보안 목적으로 직접 접속하는 단말기에 대해서는 인터넷 등 외부통신망으로부터 물리적으로 분리할 것(단, 업무 특성상 분리하기 어렵다고 금융감독원장이 인정하는 경우에는 분리하지 아니하여도 된다.)

2 제1항제1호의 규정에 따른 정보보호시스템을 설치・운영하는 경우에는 다음 각 호의 사항을 준수하여야 한다.
1. 삭제
2. 최소한의 서비스번호(port)와 기능만을 적용하고 업무목적 이외의 기능 및 프로그램을 제거할 것
3. 보안정책의 승인・적용 및 보안정책의 등록, 변경 및 삭제에 대한 이력을 기록・보관할 것
4. 정보보호시스템의 원격관리를 금지하고 주기적으로 작동 상태를 점검할 것
5. 시스템 장애, 가동중지 등 긴급사태에 대비하여 백업 및 복구 절차 등을 수립・시행할 것
3 제1항 각 호의 정보보호시스템에 대하여 책임자를 지정・운영하여야 하며, 운영결과는 1년 이상 보존 하여야 한다.
4 금융회사 또는 전자금융업자는 해킹 등 전자적 침해행위로 인한 피해 발생시 즉시 대처할 수 있도록 적절한 대책을 마련하여야 한다.
5 삭제
6 금융회사 또는 전자금융업자는 무선통신망을 설치・운용할 때에는 다음 각 호의 사항을 준수하여야 한다.

무선통신망 이용 업무는 최소한으로 국한하고 법 제21조의2에 따른 정보보호최고책임자의 승인을 받아 사전에 지정할 것

무선통신망을 통한 불법 접속을 방지하기 위한 사용자인증, 암호화 등 보안대책을 수립할 것

금융회사 내부망에 연결된 정보처리 시스템이 지정된 업무 용도와 사용 지역(zone) 이외의 무선통신망에 접속하는 것을 차단하기 위한 차단시스템을 구축하고 실시간 모니터링체계를 운영할 것

비인가 무선접속장비(Access Point : AP) 설치・접속여부, 중요 정보 노출여부를 주기적으로 점검할 것

< 시행세칙 >

제2조의2(망분리 적용 예외) 1 규정 제15조제1항제3호에서 금융감독원장의 확인을 받은 경우란 내부 업무용

시스템을(규정 제12조의 중요단말기는 제외한다) 업무상 필수적으로 특정 외부기관과 연결해야 하는 경우를

말한다(다만, 이 경우 필요한 서비스번호(port)에 한하여 특정 외부기관과 연결할 수 있다).

2 규정 제15조제1항제5호에서 금융감독원장이 인정하는 경우란 다음 각 호와 같다.

1. 「금융회사의 정보처리 업무 위탁에 관한 규정」에 따라 정보처리 업무를 국외 소재 전산센터에 위탁하여 전 처리하는 경우(다만, 해당 국외 소재 전산센터에 대해서는 물리적 방식 외의 방법으로 망을 분리하여야 하며, 이 경우에도 국내 소재 전산센터 및 정보처리시스템 등은 물리적으로 망을 분리하여야 한다)

2. 업무상 외부통신망과 연결이 불가피한 다음의 정보처리시스템(다만, 필요한 서비스번호(port)에 한하여 연결할 수 있다)

가. 전자금융업무의 처리를 위하여 특정 외부기관과 데이터를 송수신하는 정보처리시스템 이

나. DMZ구간 내 정보처리시스템과 실시간으로 데이터를 송수신하는 내부통신망의 정보처리시스템
다. 다른 계열사(「금융회사의 정보처리 업무 위탁에 관한 규정」 제2조 제3항의 “계열사”를 말한다)와

공동으로 사용하는 정보처리시스템
3. 규정 제23조의 비상대책에 따라 원격 접속이 필요한 경우
4. 전산실 내에 위치한 정보처리시스템의 운영, 개발, 보안 목적으로 직접 접속하는 단말기와 외부통신망

과의 연결 구간, 규정 제15조제1항제3호의 내부 업무용 시스템과의 연결 구간을 각각 차단한 경우
3 제1항 및 제2항의 규정은 금융회사 또는 전자금융업자가 자체 위험성 평가를 실시한 후 <별표 7>에서 정한 망분리 대체 정보보호통제를 적용하고 정보보호위원회가 승인한 경우에 한하여 적용한다.

제

전자금융감독규정 해설

▣ 인터넷 등 공개된 외부 통신망과 접속되는 내부 정보통신망 및 정보처리시스템을 해킹 등 전자적 침해 행위로부터 보호하기 위하여 침입차단시스템 등 정보보호시스템을 설치하고, 침해행위 발생 즉시 침해사실을 탐지하여 대응할 수 있도록 대응 체계 구축

침입차단 시스템 : 방화벽
침해행위 발생 즉시 침해사실 탐지 : IPS, IDS등의 모니터링 대책 (소규모의 경우 UTM)
대응 체계 구축 : 24시간 모니터링 체계 구축/ 대응 체계 구축 (문서 및 담당자)

▣ 해설

● 내부 정보처리시스템 및 정보통신망을 해킹 등 전자적 침해 행위로부터 보호하기 위하여 침입차단 및 침입탐지시스템, 암호화프로그램, 등 정보보호시스템을 설치 및 운영(제1항제1호)

- 대내외에서 정보처리시스템에 접속하는 경우 정보보호시스템을 우회하여 접속하지 못하도록 보안정책을 적절히 적용

● 운영체제 등 시스템프로그램 취약점을 이용한 침해에 대비하여 시스템프로그램의 보안 취약점 개선 등 긴급하고 중요한 사항은 즉시 보정작업 실시(제1항2호)

※ 금융회사등의 망분리(제1항제3호 및 제5호)

(1) 전산센터 망분리

전산센터 내에 위치한 정보시스템의 운영, 개발, 보안 목적으로 정보처리시스템(서버)에 직접 접속하는 단말기(전산센터 단말기)는 인터넷 등 외부통신망과 물리적으로 분리 해야함(제1항제5호)

물리적 망분리란 통신회선을 업무용과 인터넷용으로 물리적으로 분리하고 별도 단말기를 사용하여야 하는 것으로 방화벽 정책 설정만으로 분리하는 방식은 물리적 망분리라고 할 수 없음

또한, 단일 단말기에서 가상화 솔루션을 이용하여 망을 분리한 경우에도 물리적 망분리라고 할 수 없음(그림 1)

1. 보안 대책 부분

제17조(홈페이지 등 공개용 웹서버 관리대책) 1 금융회사 또는 전자금융업자는 공개용 웹서버의 안전한 관리를 위하여 다음 각 호를 포함한 적절한 대책을 수립・운용하여야 한다.

- 공개용 웹서버를 내부통신망과 분리하여 내부통신망과 외부통신망사이의 독립된 통신망

(이하 “DMZ구간”이라 한다)에 설치하고 네트워크 및 웹 접근제어 수단으로 보호할 것

- 공개용 웹서버에 접근할 수 있는 사용자계정은 업무관련자만 접속할 수 있도록 제한하고 아이디・비밀 번호 이외에 추가 인증수단을 적용할 것

- 공개용 웹서버에서 제공하는 서비스를 제외한 다른 서비스 및 시험・개발 도구 등의 사용을 제한할것

- DMZ구간 내에 이용자 정보 등 주요 정보를 저장 및 관리하지 아니할 것(다만, 거래로그를 관리하기 위한 경우에는 예외로 하되 이 경우 반드시 암호화하여 저장・관리하여야 한다)

2 금융회사 또는 전자금융업자는 공개용 웹서버에 게재된 내용에 대하여 다음 각 호의 사항을 준수하여야 한다.
1. 게시자료에 대한 사전 내부통제 실시
2. 무기명 또는 가명에 의한 게시 금지
3. 홈페이지에 자료를 게시하는 담당자의 지정・운용
4. 개인정보의 유출 및 위・변조를 방지하기 위한 보안조치
3 삭제
4 금융회사 또는 전자금융업자는 공개용 웹서버가 해킹공격에 노출되지 않도록 대응 조치하여야 한다.
5 금융회사 또는 전자금융업자는 단말기에서 음란, 도박 등 업무와 무관한 프로그램 또는 인터넷 사이트에 접근하는 것에 대한 통제대책을 마련하여야 한다.

설명 :

내부통신망과 외부통신망이 분리된 통신망 : 방화벽을 통한 DMZ구성

네트워크 및 웹 접근제어 수단으로 보호할 것 :

1. 네트워크 접근 제어 : 방화벽 혹은 그에 준하는 장비의 사용

2. 웹 접근제어 수단 : IPS, WAF등 L7영역에서의 제어 장비 (최근의 L7 차단 가능 방화벽은 ?)

해설서 내용

공개용 웹서버는 외부 이용자에게 홈페이지 및 업무서비스를 제공하기 위해 운영되므로 내부서버와 달리 외부로부터 접근이 허용되므로 보안상 취약점을 이용한 해커의 공격에 취약하여 이에 대한 보안 조치가 필요

▣ 해설

● 웹서버, 메일서버 등 공개용 웹서버를 외부 해킹 등 악의적인 접근으로부터 보호하기 위해 1차 침입차단시스템과 2차 침입차단시스템 사이(DMZ구간)에 설치하고 네트워크 및 웹 접근제어 수단 등으로 보호(제1항제1호)

- 공개용 웹서버가 침해당하더라도 외부 유해 트래픽이 웹서버를 경유해서 내부 네트 워크로 침입이 불가능하도록 침입차단시스템 구성

● 공개용 웹서버에 접근할 수 있는 사용자계정은 업무관련자로 제한하고 보안강화를 위하여 사용자ID/패스워드 인증이외에 추가적인 인증수단을 적용(제1항제2호)

● 공개용 웹서버 운영에 필요한 최소한의 서비스만을 제공하고 불필요한 서비스는 반드시 제거(제1항제3호) - 공개용 웹서버에서는 개발 및 테스트 도구 등의 사용을 금지하며, 공개용 웹서버에 반영하기 위한 프로그램의 변경, 수정 및 테스트는 반드시 별도의 개발 및 테스트 서버에서 실시

● 공개용 웹서버 해킹에 의한 이용자 정보 등 주요정보 유출방지를 위하여 DMZ구간 내에는 이용자 정보 등 주요 정보의 저장 및 관리를 금지함 다만, 거래로그 관리를 위해 이용자 정보 등의 저장이 필요한 경우에는 반드시 암호화하여 저장・관리(제1항 제4호)

● 공개 게시자료에 대한 사전 내부통제는 업무종류, 내용 등에 대하여 포괄적으로 적용 하며 게시자료의 개인정보 포함여부 등에 대한 내부통제 절차를 마련・실시하고, 자료 게시 담당자를 지정하고 자료게시는 지정된 담당자로 제한(제2항제1호, 제3호)

● 자료게시는 무기명 또는 가명 게시를 금지하여 게시자료에 대한 신뢰도 확보와 문제 발생시 책임관계 명확화(제2항제2호)

● 홈페이지 서버 등에 게재되는 내용에는 개인정보 등 중요정보가 유출되거나 위・변조 되지 않도록 게시기간이 만료된 정보의 삭제, 개인을 식별할 수 있는 정보는 마스킹 하여 게재, 화면 위・변조 방지 등의 조치(제2항제4호)

● 공개용 웹서버의 취약점이 노출되어 해커의 공격을 받지 않도록 주기적으로 점검을 실시하고 적절한 대응조치를 마련하여 비인가자의 접근을 허용하거나 서버에 저장된 고객정보 유출 및 웹서버의 비정상적인 동작을 야기하는 일련의 공격에 대응(제4항)

● 직원들이 단말기를 이용하여 음란, 도박 등 업무와 관련이 없는 인터넷 사이트에
접근할 경우 동 사이트를 통하여 스파이웨어, 바이러스 등 악성코드에 감염되고 내부
통신망을 통해 조직 내에 전파될 우려가 있으므로 불필요한 사이트의 접근 통제대책을 자

정보보호 위원회의 설치 및 운영

제8조의2(정보보호위원회 운영) ① 금융회사 또는 전자금융업자는 중요 정보보호에 관한 사항을 심의·의결하는 정보보호위원회를 설치 운영하여야 한다.

② 정보보호위원회의 장은 정보보호최고책임자로 하며, 위원은 정보보호업무 관련 부서장, 전산운영 및 개발 관련 부서장, 준법업무 관련 부서의 장 등으로 구성한다.

③ 정보보호위원회는 다음 각 호의 사항을 심의·의결한다.

1. 법 제21조제4항에 따른 정보기술부문 계획서에 관한 사항

2. 법 제21조의2제4항제1호에 관한 사항 <개정 2015. 6. 24.>

3. 법 제21조의3에서 정한 취약점 분석·평가 결과 및 보완조치의 이행계획에 관한 사항

4. 전산보안사고 및 전산보안관련 규정 위반자의 처리에 관한 사항

5. 기타 정보보호위원회의 장이 정보보안업무 수행에 필요하다고 정한 사항

④ 정보보호최고책임자는 정보보호위원회 심의·의결사항을 최고경영자에게 보고하여야 한다.

⑤ 최고경영자는 특별한 사정이 없는 한 정보보호위원회의 심의·의결사항을 준수하여야 한다.

[본조신설 2013. 12. 3.]

제15조(해킹 등 방지대책) ① 금융회사 또는 전자금융업자는 정보처리시스템 및 정보통신망을 해킹 등 전자적 침해행위로부터 방지하기 위하여 다음 각 호의 대책을 수립·운용하여야 한다.

1. 해킹 등 전자적 침해행위로 인한 사고를 방지하기 위한 정보보호시스템 설치 및 운영

2. 해킹 등 전자적 침해행위에 대비한 시스템프로그램 등의 긴급하고 중요한 보정(patch)사항에 대하여 즉시 보정작업 실시

3. 내부통신망과 연결된 내부 업무용시스템은 인터넷(무선통신망 포함) 등 외부통신망과 분리·차단 및 접속 금지(단, 업무상 불가피하여 금융감독원장의 확인을 받은 경우에는 그러하지 아니하다) <개정 2013. 12. 3.>

4. 내부통신망에서의 파일 배포기능은 통합 및 최소화하여 운영하고, 이를 배포할 경우에는 무결성 검증을 수행할 것 <신설 2013. 12. 3.>

5. 전산실 내에 위치한 정보처리시스템과 해당 정보처리시스템의 운영, 개발, 보안 목적으로 직접 접속하는 단말기에 대해서는 인터넷 등 외부통신망으로부터 물리적으로 분리할 것(단, 업무 특성상 분리하기 어렵다고 금융감독원장이 인정하는 경우에는 분리하지 아니하여도 된다.) <신설 2013. 12. 3., 개정 2015. 2. 3.>

② 제1항제1호의 규정에 따른 정보보호시스템을 설치·운영하는 경우에는 다음 각 호의 사항을 준수하여야 한다.

1. 삭제 <2015. 3. 18.>

2. 최소한의 서비스번호(port)와 기능만을 적용하고 업무목적 이외의 기능 및 프로그램을 제거할 것

3. 보안정책의 승인·적용 및 보안정책의 등록, 변경 및 삭제에 대한 이력을 기록·보관할 것

4. 정보보호시스템 원격관리를 금지할 것. 다만, 원격관리가 불가피한 경우 전용회선(전용회선과 동등한 보안수준을 갖춘 가상의 전용회선을 포함한다) 사용, 접근통제 등을 포함한 원격 접속 보안 대책을 수립·운영할 것 <개정 2016. 10. 5.>

5. 정보보호시스템의 작동 상태를 주기적으로 점검할 것 <신설 2016. 10. 5>

6. 시스템 장애, 가동중지 등 긴급사태에 대비하여 백업 및 복구 절차 등을 수립·시행할 것 <종전의 제5호에서 이동>

③ 제1항 각 호의 정보보호시스템에 대하여 책임자를 지정·운영하여야 하며, 운영결과는 1년 이상 보존하여야 한다.

④ 금융회사 또는 전자금융업자는 해킹 등 전자적 침해행위로 인한 피해 발생시 즉시 대처할 수 있도록 적절한 대책을 마련하여야 한다. <개정 2013. 12. 3.>

⑤ 삭제 <2013. 12. 3.>

⑥ 금융회사 또는 전자금융업자는 무선통신망을 설치·운용할 때에는 다음 각 호의 사항을 준수하여야 한다. <개정 2013. 12. 3.>

1. 무선통신망 이용 업무는 최소한으로 국한하고 법 제21조의2에 따른 정보보호최고책임자의 승인을 받아 사전에 지정할 것

2. 무선통신망을 통한 불법 접속을 방지하기 위한 사용자인증, 암호화 등 보안대책을 수립할 것

3. 금융회사 내부망에 연결된 정보처리 시스템이 지정된 업무 용도와 사용 지역(zone) 이외의 무선통신망에 접속하는 것을 차단하기 위한 차단시스템을 구축하고 실시간 모니터링체계를 운영할 것 <개정 2015. 2. 3.>

4. 비인가 무선접속장비(Access Point : AP) 설치·접속여부, 중요 정보 노출여부를 주기적으로 점검할 것

침해 대응 부분

제37조의4(침해사고대응기관 지정 및 업무범위 등)

① 침해사고에 대응하기 위한 침해사고대응기관은 다음 각 호의 자로 한다.

1. 금융보안원

2. 삭제

3. 금융위원장이 지정한 자

② 침해사고대응기관은 다음 각 호의 업무를 수행한다.

1. 침해사고에 관한 정보의 수집·전파를 위한 정보공유체계의 구축

2. 침해사고의 예보·경보 발령내용의 전파

3. 침해사고의 원인분석과 신속한 대응 및 피해 확산방지를 위해 필요한 조치

4. 금융회사 및 전자금융업자와 관련된 해킹 등 전자적 침해행위 정보를 탐지·분석하여 즉시 대응 조치를 하기 위한 기구(이하 "금융권 통합 보안관제센터"라 한다)의 운영

③ 금융위원장은 침해사고대응기관을 포함하여 침해사고조사단을 구성할 수 있다.

④ 금융위원장은 제2항에 따른 침해사고 긴급대응을 위한 침해사고대응기관의 업무 수행 또는 제3항에 따른 침해사고 원인분석 및 긴급조치를 위하여 금융회사 및 전자금융업자, 전자금융보조업자에 협조를 요청할 수 있다.

⑤ 금융회사 및 전자금융업자는 침해사고에 대한 대응능력 확보를 위하여 연 1회 이상 침해사고 대응 및 복구훈련 계획을 수립·시행하여야 하며 그 계획 및 결과를 침해사고대응기관의 장에게 제출하여야 한다. 다만 다음 각 호의 어느 하나에 해당하는 금융회사는 그러하지 아니한다.

1. 법 제2조제3호가목의 금융회사 중 신용협동조합

2. 법 제2조제3호다목·라목의 금융회사

다. 「우체국예금ㆍ보험에 관한 법률」에 따른 체신관서

라. 「새마을금고법」에 따른 새마을금고 및 새마을금고중앙회

3. 시행령 제2조제4호부터 제6호까지의 조합

4. 「산림조합법」에 따른 조합과 그 중앙회의 신용사업부문

5. 「농업협동조합법」에 따른 조합

6. 「수산업협동조합법」에 따른 조합

4. 시행령 제5조제2항의 요건을 충족한 금융회사

② 법 제3조제3항 각 호 외의 부분에서 "대통령령으로 정하는 금융회사"란 다음 각 호의 어느 하나에 해당하

는 금융회사로서 법 제2조제1호에 따른 전자금융업무를 하지 아니하는 금융회사를 말한다.

<신설 2013.11.22>