금융당국이 최근 SGI서울보증 랜섬웨어 사고를 계기로 금융권 전반의 보안 강화 대책을 본격 시행한다. 침해사고 재발을 막기 위해 8월까지 전 금융권 자체점검을 진행하고, 9월중 불시에 블라인드 모의해킹을 실시한다. 아울러 보안사고 시 징벌적 과징금 부과, 최고정보보호책임자 권한 강화, 보안수준 공시 확대 등 제도개선도 병행한다는 방침이다.
금융위원회는 30일 오전 정부서울청사 금융위 대회의실에서 ‘금융권·금융 공공기관 침해사고 대비태세 점검회의’를 개최했다. 이번 회의는 지난 14일 SGI서울보증 랜섬웨어 사고를 계기로 금융권 및 금융 공공기관의 랜섬웨어 등 침해사고 대비태세를 점검하고 현장의 의견을 청취하여 침해사고 예방을 위한 조치사항 등을 논의하기 위해 개최됐다.
앞서 SGI서울보증은 해커의 랜섬웨어 공격으로 지난 14일 새벽 0시40분부터 관련 업무가 중단된 바 있다. 이에 주택담보대출, 전세대출 등 SGI서울보증의 상품을 취급하는 인터넷은행들의 대출 업무에도 차질이 발생했다.
금융위원회 디지털금융정책관은 이날 모두발언에서 “최근 해킹 수법이 대담하고 치밀해지고 있어, 대형 IT 기업뿐 아니라 SGI서울보증 등 금융회사에까지 침해사고가 발생하는 상황”이라고 진단했다. 이어 “금융 신뢰성과도 연관되어 있는 만큼 금융안전에 있어서는 과하다고 생각될 정도로 빈틈없이 점검하고 보완해달라”고 당부했다.
SGI서울보증은 랜섬웨어 침해사고 경과 및 대응을 보고하며 “금융보안원의 복호화 지원으로 지난 21일 서버를 전면 복구하고 고객 서비스를 정상화했다”고 밝혔다. 침해원인에 대해선 정밀 조사가 진행 중이며, 외부접속 인프라 관리 등 보완 조치를 진행하고 있다고 설명했다. 아울러 “사고 대응 매뉴얼을 고도화하겠다”고 밝혔다.
금융감독원은 “SGI 사고 이후 유의사항을 두 차례 긴급 전파했으며, 향후 전 금융권 자체점검과 후속 현장검사를 통해 재발 방지에 만전을 기하겠다”고 했다.
금융보안원은 이번 침해사고 조사·분석 과정에서 확인된 사고 발생 원인과 랜섬웨어 분석을 통한 데이터 복구 과정을 설명하며 “이번 사고는 예외적으로 복호화에 성공해 데이터를 손실 없이 신속히 복구했지만, 이는 매우 드문 경우”라고 지적했다. 이어 “랜섬웨어 사고에 대비해 실효성 있는 백업·복구 정책을 마련해 이행해야 하며, VPN 등 외부에서 접근 가능한 시스템의 취약점은 주기적으로 점검해 제거하고 불필요한 네트워크 서비스 포트는 원천 차단할 필요가 있다”고 강조했다.
각 공공기관들은 보안사고 발생이 늘고 있는 만큼 더욱 철저히 대비 중이라고 밝혔다. 각 금융협회 역시 소비자가 안심하고 전자금융서비스를 이용할 수 있도록 회원사 보안강화 지원과 정보 공유를 강화하겠다고 설명했다.
‘불시 해킹’으로 금융보안 점검…과징금·CISO 권한도 손본다
금융당국은 금융권 침해사고가 재발하지 않도록 정부 차원에서 보안강화를 위한 후속조치로 추진한다. 먼저 전자금융서비스를 제공하는 금융 공공기관, 금융회사, 전자금융업자를 대상으로 랜섬웨어 등 침해사고 대비태세에 대한 자체점검을 실시한다.
7월 중 각 금융회사 및 금융 공공기관에 자체점검표를 배포한 후, 8월까지 자체점검 및 보완하도록 한다. 점검결과는 취합·분석 후 필요 시 보안강화 조치로 연계할 계획이다.
금감원은 9월부터 자체점검 결과를 바탕으로 직접 현장점검에 착수한다. 특히 최근 피해사례가 급증한 랜섬웨어 대응체계와 전산장애 발생 시 백업 복구 현황 등을 중점적으로 들여다볼 방침이다.
아울러 금감원·금보원은 오는 9월부터 전 금융권을 대상으로 블라인드 모의해킹을 실시한다. 사전 고지 없이 불시에 해킹을 시도해 각 금융회사의 방어체계 작동 여부와 취약점을 점검하고, 이를 통해 보안수준을 실질적으로 강화하도록 유도할 계획이다.
금융사의 자발적 보안역량 강화를 유도하는 제도개선 방안도 마련된다. 보안체계 미흡으로 중대한 사고 발생 시 △징벌적 과징금 부과 △CISO(최고정보보호책임자)의 권한 강화 △침해 위협정보를 통합 관리·전파하는 ‘통합관제시스템’ 구축 등이 포함된다.
소비자 피해 방지에도 힘쓴다. 보안사고 발생 시 사고 시점과 내용, 소비자 유의사항 등을 외부에 투명하게 공개하도록 한다. 또 금융회사별 보안 수준 공시를 강화해 소비자가 비교·선택할 수 있도록 할 예정이다. 전산사고로 업무가 중단될 경우에는 신속한 우회 서비스 제공과 피해 보상이 이루어지도록 각 사가 대응 매뉴얼을 갖추도록 할 방침이다.
