[시큐리티 Q&A] 금융권 정보보호관리체계 인증제도

Q. 현재 정부에서 추진 중인 금융권 정보보호관리체계 인증과 ISMS, ISO27001 인증과의 차이점은 무엇인가? 그리고 이 제도가 금융권에는 의무적으로 시행되는 것인지도 궁금하다.

A-1. 정보보호관리체계(ISMS; Information Security Management System)의 국내/국제 표준 규격인 ISMS와 ISO27001은 어느 특정 산업분야가 아닌 모든 산업분야에 공통으로 적용할 수 있는 요건(Requirement)들로 구성되어 있다.

즉, 모든 산업분야의 공통적 요건은 포함했지만 특정 산업분야만의 특화된 중요한 보안요건들은 해당 표준규격에 포함되지 않았다. 그러나 향후 금융보안 강화를 위해서는 금융권 정보보안 및 전자금융거래 업무의 특성(인터넷뱅킹 등)을 반영한 보안인증이 필요하다.

따라서 금융보안 인증제도는 ISMS, ISO27001과는 다르게 금융권의 보안 및 업무 특성 등을 반영할 것으로 기대하고 있다.

ISO의 경우, 금융서비스를 제공하는 조직 내 정보보호에 대한 착수, 구현, 유지관리 및 개선을 위해 ISO27002에 정의된 보안통제 외의 추가적 또는 보완적인 정보보호 가이드 및 정보를 제공하는 금융서비스 분야 가이드라인(ISO/IEC TR 27015, Information technology-Security techniques-Information security management guidelines for financial services)을 제공한다.

금융위원회는 지난해 7월 ‘금융전산 보안강화 종합대책’을 통해 총자산, 임직원수, 전자금융거래 이용 고객수 등을 종합적으로 고려해 일정규모 이상의 금융회사에 대해서는 인증을 의무화하겠다고 밝힌 만큼, 이를 토대로 제한적 인증 의무화가 될 것으로 예상할 수 있으나 향후 당국의 정책 결정을 주시해야 한다.

(금융보안연구원)

A-2. 전자금융거래법 상의 금융정보보호관리체계인증제의 내용은 아직까지 구체화된 바 없다. 하지만 분명한 것은 ISO27001을 기본으로 해 보완한 ISMS인증은 정보통신 서비스 제공자에 해당하는 것으로서 금융회사의 특성에 맞지 않는 부분이 있고 금융관련 법률을 적용받는 금융권과는 정통망법과 중복되는 부분도 많이 있다.

금융보안 인증제도는 금융보안 강화를 위해서 금융기관 특성에 맞는 보안 인증의 필요성이 높아졌기 때문에 마련되는 것이라고 보면 된다. 즉, 금융보안 인증제도는 기존의 ISMS인증 제도를 기반으로 금융회사의 특성에 맞게 구체화되는 것이다.

(허진성 한국산업기술보호협회 관제운영팀 연구원/iqsecurity@kaits.or.kr)

[김태형 기자(boan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)