안녕하세요 하기스입니다 :)
금융사의 정보보호 업무는 어떻게 보면 기술도 중요하지만, 가장 기본적인 전자금융감독규정을 준수하고 해당 가이드라인에 대하여 많은 고민들을 해보아야 합니다.
흔히 말 합니다. 감독규정에 있는것만 가능하고, 없는것은 불가다.
물론 아래와 같이 예외도 존재합니다.
그렇지만 예외도 잘못 해석하고 시행을 하면 그것만큼 위험한것도 없습니다.
저 또한, 법에서 명확하지 않은것들은 법률자문도 구해보고, 다양한 경로로 문의를 합니다.
아래와 같이 금융사의 정보보호 업무를 희망하시는 분들에게 고민의 시간을 함께 해보고자 합니다.
맨 아래 해석하여 달아볼께요.
1. 세칙 2조의2 제1항 중 특정 외부기관의 범위에 대하여 금융감독원장의 확인을 받은 특정 회부기관의 범위
2. 세칙 2조의2 제2항 중 업무상 외부통신망과 연결이 불가피한 다음의 정보처리시스템(다만, 필요한 서비스번호(Port)에 한하여 연결할 수 있다.)
가. 전자금융업무의 처리를 위하여 특정 외부기관과 데이터를 송수신하는 정보처리시스템
여기서 우리는 이런생각을 해볼수 있지 않을까 ?
고민1) 내부망에서의 외부 웹사이트 접속도 위 예외에 포함이 될까? (금융투자협회, 손해보험협회, 은행연합회 등)
3. 세칙2조의2 제3항 제1항 및 제2항의 규정은 금융회사 또는 전자금융업자가 자체 위험성 평가를 실시한 후 <별표7>에서 정한 망분리 대체 정보보호통제를 적용하고 정보보호위원회가 승인한 경우에 한하여 적용한다.
고민2) 자체위험성평가 + 정보보호통제 항목 적용 + 정보보호위원회 승인한 경우! 라면, 금융감독원장의 확인을 받지 않은 외부망 웹사이트도 허용이 가능할까?
고민3) 정보보호통제 적용이 불가능한 경우에도 위험성평가 및 정보보호위원회 승인한 경우 금융감독원장의 확인을 받지 않은 경우 허용이 가능할까?
고민1)
>>협회! 내부망에서의 접속은 불가하다. 협회는 정부기관이 아니다. 다만, 정부기관이라고 하더라도 폐쇄적으로 접근해야 하며, 망분리가 된 외부망 단말기 및 가상망(VDI 등)을 이용하여 대체 방안을 제시해야 한다.
고민2)
1. 자체위험성평가 - 각 회사마다 기준이 다르지만, 정부기관이 아니라면 위험성평가를 해도 의미가 없다. 불가!
2. 정보보호 통제 항목 - 전자금융감독규정상 정보보호 통제를 준수해야 한다.(단말기보안, 네트워크보안, 암호화 등)
3. 정보보호위원회 승인 - 마지막 관문이다. 위원회 승인과 대표이사의 승인이라면 가능하다 라는 의견도 있지만, 리스크를 통제해야지 리스크를 안고 무리하게 정책을 허용할 필요는 없다. 불가!
고민3)
>> 정보보호통제 적용이 불가능하다면 검토 대상도 아니다. 불가!
정확한 정답은 사실 법적해석문의를 요청하는것이 제일 정확하며, 많은 분들에게 의견과 사례를 조사해야 한다.
정보보호의 업무란 컴플라이언스를 준수하며, 항상 새로운 방안을 고민해보아야 하는 업무이다.
아무것도 하지 않으면, 아무일도 일어나지 않는것처럼 고민을 해보고 개선방안을 정답이 아닐지여도
생각해보고 구상을 해보아야 한다.
'IT' 카테고리의 다른 글
| [정보보호] 금융회사 침해사고 대응훈련 (1) | 2021.11.10 |
|---|---|
| [정보보호] 정보보호 컴플라이언스 (24) | 2021.10.26 |
| [IT시스템] IBM Power E1080 출시 및 세미나 후기 (2) | 2021.10.24 |
| [정보보호소식지]연이어 발견된 보안 솔루션 취약점, 정보 공유·패치 배포에 문제 없나 (0) | 2021.09.24 |
| [금융IT] 금융회사 시스템 연계 구성 (MCI/EAI/FEP) (3) | 2021.08.20 |
