Home > 전체기사
개정된 ‘금융보안 거버넌스 가이드’, 어떤 내용 담겼나
  |  입력 : 2020-01-02 14:10
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
금융보안원 ‘금융보안 거버넌스 가이드’ 개정
금융권, 전체 중 IT 인력 5%, 그중 보안인력 5%, IT 예산 중 보안예산 7% 권고


[보안뉴스 원병철 기자] 그동안 금융권은 2011년 금융회사 등이 일정 수준 이상 IT·보안 인력 및 예산을 확보하도록 권고하는 하한선 기준(일명 5·5·7기준, 전자금융감독규정 §8②)을 마련하고 그간 이를 준수해왔다. 5·5·7기준은 IT 인력은 전체 인력의 5% 이상을 확보하고, 보안인력은 전체 IT 인력의 5% 이상 확보하고, 보안예산은 전체 IT 예산의 7% 이상을 확보하는 기준이다.

[이미지=iclickart]


이러한 5·5·7기준이 권고 기준임에도 불구하고 대부분의 금융회사 등이 이를 상회하는 IT·보안 인력 및 예산을 확보하고 있는 상황이다. 실제 금융회사의 보안인력은 IT인력 대비 10.2%, 보안예산은 IT 예산 대비 10.6%를 확보(2019.6월 기준, 은행/증권/보험/카드/저축은행/전자금융업자 평균)하고 있다고 금융감독원이 밝힌 바 있다.

다만, 동 기준이 2020년 1월 1일까지만 효력을 가짐에 따라 금융권이 적정 IT·보안 인력 및 예산을 확보하기 위한 ‘민간 중심의 자율 기준’이 필요하게 됐다. 이는 금융회사 등이 일정 수준 이상 IT·보안 인력과 예산을 확보하도록 권고하는 ‘전자금융감독규정 제8조 제2항’이 효력상실형 항목으로 2020년 1월 1일까지만 효력이 있기 때문이다.

이에 금융보안원(원장 김영기)은 ‘금융보안 거버넌스 가이드’를 개정해 금융권의 IT·보안 인력 및 예산에 관한 권고 기준을 제시했다. 금융보안 거버넌스 가이드는 정보보호에 대한 최고경영층(CEO)의 의사결정 권한과 책임, 정보보호와 비즈니스 간 전략적 연계 등을 위해 지켜야 할 7개 금융보안 거버넌스 기본 원칙을 정의한 가이드다.

주요 내용을 살펴보면, 우선 첫 번째로 ‘IT·보안 인력 및 예산 확보를 위한 기본 원칙’을 제시했다. 금융회사 등은 안정적인 정보보호 활동을 위해 적정한 보안인력 및 예산을 확보할 필요가 있어 금융회사 등이 대내외 환경 및 자체 위험분석 결과 등을 종합적으로 고려하여 적정한 보안인력 및 예산을 산정했다. 아울러 금융회사 등은 산정한 보안인력 및 예산 비율이 자사의 위험 등을 적절히 반영하였는지 주기적으로 검토해야 한다.

두 번째는 ‘최소한의 IT·보안 인력 및 예산에 대한 기준’을 제시했다. 전자금융거래에 대한 최소한의 안정성 확보를 위해 일정 비율이상의 IT·보안 인력 및 예산을 확보할 필요가 있어 국내 금융권 현황 및 해외 사례 등을 종합적으로 고려해 5·5·7 기준의 비율을 최소한 준수할 것을 권고했다. 가트너에 따르면, 해외 기업의 보안예산은 IT 예산 대비 평균 7.6%(금융부문)이며, 보안인력은 IT인력 대비 평균 5.6%를 보유하고 있다.

이번에 개정된 금융보안원 ‘금융보안 거버넌스 가이드’는 2020년 1월 2일부터 시행되며, 금융보안원은 금융회사 스스로가 안전하고 신뢰할 수 있는 서비스 제공에 필요한 보안수준을 확보해나갈 수 있도록 금융당국 및 금융회사를 지속적으로 지원할 계획이다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)