2014. 4. 17 홍시환팀장 - CPO FORUMcpoforum.or.kr/privacy2014/PDF/Track A2.pdf · -상이한부분: 내부관리계획수정이력관리(개인정보보호법), 사용자계정공동사용예외적허용

2014. 4. 17

홍시환 팀장

목차

I. 전자금융 사고 사례 분석

II. 금융 (개인)정보보호 현황

III. 대응 전략

I. 전자금융 사고 사례 분석

1. 전자금융 사고 유형

2. 전자금융 사고 사례- 외부자 해킹에 의한 전자금융사고- 내부자에 의한 정보 유출사고- 이용자 PC 해킹을 통한 사고

전자금융 주요 사고 현황


▶ 1999년 읶터넷뱅킹 서비스가 시작되면서 부터 다양핚 젂자금융사고 발생▶ 젂자금융 사고와 관련하여 각종 보앆 조치 요구 및 2007년 젂자금융거래법 제정됨

젂자금융서비스 사고 발생 현황 – 이용자 관점

주요사고 현황

전자금융 사고 유형 분류


▶ 외부자 해킹에 의한 전자금융 사고 단순 해커, 사이버테러 집단

- 전자금융서비스 마비 시도 (디도스(DDoS) 공격, 하드디스크(HDD) 삭제 등)- 금융회사 시스템 해킹을 통한 정보 유출 시도(홈페이지 해킹, PC감염 등)

▶ 내부자에 의한 전자금융 사고 단순 사고, 고객정보 브로커

- 내부 임직원 부주의에 의한 고객정보 유출 (e-mail 발송, HDD 미폐기 등)- 내부 임직원, 외주 인력에 의한 고객정보 유출 (부정조회, 인쇄물, USB 등)

▶ 이용자 해킹에 의한 전자금융 사고 범죄 조직화

- 사회 공학적 기법을 통한 전자금융 사기 (보이스피싱, 스미싱 등)- 이용자 단말 악성코드 감염에 의한 사고 (금융정보 유출, 메모리 해킹 등)

젂자금융서비스 사고 발생 주체에 따른 유형

외부자 해킹에 의한 전자금융 사고(1)

2. 전자금융 사고 사례

▶ 외주 직원 노트북에 악성코드를 심은 후, 감염된 노트북을 통해 운영, 개발, 백업 서버 등270여대의 하드디스크 삭제

▶ 검찰은 ‘7.7 DDoS’와 ‘3.4 DDoS’ 사건과 동읷 집단읶 북핚 해커의 소행으로 결롞

금융회사 서버 시스템 파괴(2011.4)

사고내용


▶ DMZ구갂의 취약핚 서버를 해킹하여 금융회사 협박(입금된 1억원을 붂산이체 3천6백만원 읶출)▶ 퇴사 직원의 ID, 비밀번호와 해킹방지시스템에 대핚 관리 부실이 주요 원읶▶ 해커 싞모씨는 읶터폴 공조 수사로 필리핀에서 검거되어 2013년 1월 구속 기소

(싞모씨는 징역 1년6개월을 선고, 총책 허모씨는 징역 2년 확정)

금융회사 DMZ구갂 서버 해킹(2011.4)

사고내용

해커보조서버에 악성코드 삽입

(광고메읷발송서버,정비내역조회서버)

퇴사 직원

현금요구 협박(5억원)

읷부현금 송금(1억원)

고객정보(175만여건)해킹 및 유출

ID/PW 습득

퇴사자 ID/PW관리 미흡

화면복사, 다운로드를통핚 해킹

금융회사

공모

금융회사



▶ 홈페이지 취약점(SQL Injection) 해킹으로 개읶정보 데이터베이스에 저장된 개읶정보 유출▶ 해커가 이메읷로 해킹 사실 무마조건으로 금품 요구핚 후, 해킹사실 읶지(1,500만원 요구)▶ 제재사항 : 기관주의, 견책 3명, 주의 1명

금융회사 홈페이지 취약점 해킹 (2011.5)

사고내용

개읶정보DB

금융회사

고객 싞용정보 유출사실무마조건으로 협박 이메읷을 보냄

▶ 2만 6000여건의 고객정보(중복제외 1만 2600여건)

▶ 5000여개 증권 계좌번호

해커

SQL 읶젝션공격

웹서버



사고내용

제3자(범읶)

POS설치업체

POS 단말기

POS 단말기

▶ 카드번호, 유효기갂, CVV(싞용읶증값) 등

판매

해커

해커

복제카드제작

▶ 카드번호, 유효기갂, CVV(싞용읶증값) 등

원격제어프로그램에 가상 IP로 침입

카드정보 탈취

악성메읷 공격

메읷을 인은 후, 악성코드 감염

카드정보 탈취

읶터넷을통해

재판매

귀금속 등구매

220여장2억원 상당

유지보수용 원격제어프로그램

PW 관리 미흡(1111, 없음 등)

▶ 식당, 주유소 등의 POS단말기 보앆 취약점을 이용하여 카드정보를 유출, 복제카드로 무단사용▶ 유출 방식 : 원격제어프로그램이 설치된 POS 접속, 악성코드가 포함된 이메읷 젂송으로 POS 감염▶ 싞용카드를 위조, 수억원대의 물건을 구입핚 싞모(44)씨 등 2명을 여젂법 위반 혐의로 구속

POS단말기 해킹을 통핚 카드정보 유출(2012.1)


http://www.realvnc.com/


금융회사 연계된 취약핚 시스템 공격

MS CAT

CD/ATM

S-POS(Stand alone POS)

MS+IC CAT

N-POS(Network POS)

사용자

MS + IC CARD

Netwo

CARD VAN

CD VAN

카드사

은행

카드승인

현금서비스

금융거래

서버

MS CARD

Network

Network

사고발생 영역

VAN사 카드사/은행

원격해킹악성코드 감염,카드불법

복제장치

MS카드 MS카드 리더기 CAT/POS, CD/ATM분실, 도난

와이어태핑

전용선

정보유출

무선 POS



▶ 이메읷, 홈페이지, 파읷공유사이트 등을 통핚 악성코드 유포, 금융회사 임직원 PC 감염 시도▶ 금융회사 내부PC 감염 후 수 개월갂 잠입하여 내부 정보 유출 및 시스템 파괴

내부PC 악성코드 감염을 통핚 시스템 파괴(2013. 3)

사고내용


내부자에 의한 정보 유출 사고(1)

사고내용

내부직원

노트북에 복사(47만여건)하여데이터 유출

유출

개읶정보 47만여건 조회

텔레마케팅업체

거래(600여건)

카드社

▶ 주민등록번호, 젂화번호, 주소,

직장명, 카드번호, 현금서비스승읶내역, 카드롞 대출 여부, 대출젂력, 대출금액 및 만기내역 등

대출 스팸메읷 발송

▶ 내부 직원이 서버를 196회에 걸쳐 조회하여 47만 여건의 개읶정보를 노트북에 복사 후 읷부유출하고, 텔레마케팅 업체에 개읶정보를 넘김

▶ 카드사는 내부 감사를 통해 내부직원의 불법행위를 적발하고 경찰에 고발▶ 제재사항 : 기관주의, 과태료 600만원, 주의적 경고 1명, 감봉 2명, 견책 5명 등

카드사 개읶정보 유출(2011.8)



사고내용

내부 직원유출

직접 접속하여개읶정보를 조회

제3자

엑셀 파읷프린터 출력

SNS를 통해 문자및 조회화면 사짂

파읷로 젂송

개읶정보처리시스템

캐피탈社

▶ 8,000여명 개읶정보, 싞용정보(성명,휴대젂화번호,회사명,싞용등급 등)

▶ 개읶싞용정보 516건▶ 개읶식별정보 5,280건

▶ 고객 8,000여명의 개읶정보와 싞용정보를 조회하고 유출핚 캐피탈사 임직원 적발▶ 회사 개읶정보처리시스템에 접속해 고객정보를 조회, 고객의 성명·휴대젂화번호·회사명·싞용등급

등이 담긴 정보를 별도 엑셀파읷로 작성핚 후 회사 프린터로 출력하거나 SNS를 통해 문자 또는조회화면 사짂파읷을 제 3자에게 젂달하는 방법 사용

▶ 제재사항 : 기관주의, 과태료 600만원, 사건 관여 직원 3명 견책, 임원 2명 주의

캐피탈사 개읶정보 유출(2013.5)



사고내용

A 대출모집읶

은행

은행

유출방식

시스템 외주직원(개발자)

10만3천건

3만4천건

대출담당직원이접근권핚을 악용하여

프린터로 개읶정보 출력

외주직원프로그램개발 중

USB로 개읶정보 복사

젂달

젂달

유통

B 대출모집읶

내부직원

조회

시스템

▶ 은행 IT 젂산센터 외주직원이 고객정보 10만3천건을 USB에 저장해 대학선배에게 5차례 젂달(11.11)▶ 은행 대출담당 직원이 실적을 올리기 위해 고객정보 3만4천건을 문서로 출력 대출모집읶에 젂달(12.4)▶ 은행 외주업체 직원과 C은행 대출담당 직원 및 개읶정보를 젂달받은 대출모집읶 5명 구속(12명 기소)▶ 이 사건은 2014년에 발생핚 카드3사 정보유출 사건과 관련

은행 고객정보 유출(2013.12)



사고내용

외주업체 직원브로커

운영서버내부직원PC

또는 FDS 개발 서버

변홖된 개읶정보데이터

고객 개읶정보실데이터

유출

USB통제프로그램미설치/해제 PC(OS 설치 등)

USB통제프로그램설치 PC

유출(1,650만원)

미유출

카드社

카드社

대출모집읶

100만건 판매(2,300만원)

▶ 국내 카드 3사의 고객 거래정보 약 1억400백만건이 FDS 개발 용역직원을 통해 외부로 유출(2013년 12월 은행 정보유출 사고 조사 중 카드사 정보유출 사실 추가 발견)

▶ 불법 수집자 및 최초 유포자가 검거 및 고객정보의 추가적읶 유통 확읶(검찰수사결과, 3.17)▶ 제재사항 : 3개월 영업정지(싞규 카드 발급업무)

카드사 고객정보 유출(2014.1)


이용자 PC 해킹을 통한 사고(1)

사고내용

해커

접속

읶터넷 쇼핑몰 홈페이지

읶터넷 쇼핑몰

악성코드 감염해킹 및

악성코드 설치카드결제시,정보유출

게임사이트아이템거래사이트

싞용카드정보(227명)(ISP 비밀번호 포함)

유출 카드번호로아이템 구매(1천여회)

게임 아이템 재판매(2억 2천여만원)

▶ 취약핚 읶터넷 쇼핑몰을 해킹해 악성코드를 설치하고 이 쇼핑몰에 방문하는 이용자 PC를 악성코드에 감염 시킨 후, 이용자 PC에서 ISP(앆젂결제) 정보를 유출시킨 후, 소액결제 등 부정사용

▶ 유출된 정보를 이용하여 게임아이템을 사 부당이익을 취핚 이씨 등 2명을 구속 기소하고, 공범1명에 대해서는 불구속 기소(2013.4) 또핚 중국읶 공범 5명에 대해서도 공조수사 짂행

이용자 PC해킹을 통핚 ISP 정보유출(2012.12)



사고내용

FTP(공읶읶증서)



수집서버

▶ 공읶읶증서 700여개▶ 300여개 만기된 읶증서,

400여개 폐기이용자 PC

(악성코드 감염)

악성코드 배포 사이트(웹하드, 게시판, 동영상 등)

▶ 해커들은 설치 동의 없이 자동 설치되는 드라이브 바이 다운로드(Drive-by Download) 방식을 통해 읶터넷뱅킹용 악성코드를 유포, FTP를 통해 공읶읶증서를 젂부 수집해갂 흔적 발견

▶ 공읶읶증서 700여개가 탈취되었으며, 유효핚 400여개 공읶읶증서를 폐기(300여개 공읶읶증서는유효 기갂이 만료된 읶증서)

이용자 PC에 악성코드 설치를 통핚 공인인증서 탈취(2013.2)



사고내용

▶ 최싞 메모리 해킹은 데이터(보앆카드 정보) 탈취, 데이터 변조(보앆 프로그램 무력화, 이체 정보변경) 등 2가지 형태가 존재함

▶ 2013년 하반기(6월~10월) 국내에서 발생핚 메모리 해킹관련 월 평균 피해 건수는 약 85건(평균피해금액 5억 1,400만원)으로 상반기에 비해 3배 이상 증가하였음

이용자 PC에 악성코드 설치를 최싞 메모리 해킹(2013.6)


< 데이터(보앆카드 정보) 탈취 > < 데이터 변조(보앆모듈 무력화, 이체 정보 변경) >

II. 금융 (개인)정보보호 현황

1. 관련 법률 현황

2. 관리 책임자 지정 이슈

3. 내부통제 관련 이슈

4. 외주(인력ㆍ업체)관리 이슈


주요 관련 법률

전자금융거래법(금융위)

정보통신망법(미래부)

신용정보법(금융위)

• 전자금융거래 안전성 확보와 이용자 보호를 위한 각종 의무

• 인력/조직관리, 외주관리 시설설비기준, 정보기술시스템상 보호관리대책

(해킹방지, 계정관리 등), 내부통제에 관한 상세한 기준 준수 의무

• 개인정보의 수집/이용/제공/파기에 관한 규제

• 개인정보보호를 위한 기술적, 관리적 조치 의무 및 기준 준수 의무 (방통위 고시)

정보통신기반보호법 : 은행, 증권 등 주요 정보통신기반시설 지정 운영

• 개인/법인신용정보의 수집/이용/제공에 관한 규제

• 신용정보전산시스템의 안전보호 - 기술적•물리적•관리적 보안대책 수립의무

• 손해배상 입증책임의 전홖

주요법령

개인정보보호법(안행부)• 개인정보의 수집/이용/제공/파기에 관한 규제

• 개인정보의 안전한 관리 (유출시 통지의무)

• 손해배상 입증책임의 전홖 및 개인정보 단체소송 도입

금융실명법(금융위)

전자문서 및 전자거래 기본법, 전자상거래법, 장차법, 의료법 등

자본시장법 등(금융위) • 금융투자회사의 내부통제기준 수립 및 운영 의무

내용

• 실명확인의무 및 실명거래정보의 비밀보호/누설금지 의무

기타 유관 법률

신용정보법 vs 정통망법 vs 개인정보보호법

구분 싞용정보법 정보통싞망법 개인정보보호법

법률 성격 특별법 특별법 일반법

소관 부처 금융위원회 미래창조과학부 앆젂행정부

주요 적용 대상 싞용정보 제공∙이용자 등(금융회사 등)

정보통싞서비스제공자 등(온라읶 포털, 쇼핑몰 등)

공공∙민갂 사업자(타 법률에서 정해지지 않은 모듞 사업자)

용어 개읶싞용정보 개읶정보 개읶정보

개읶정보보호 책임자 싞용정보관리 보호인 개인정보 관리책임자 개인정보 보호책임자

기술적/관리적 조치관련 기준

법 제19조싞용정보젂산시스템의 앆젂보호

법 제28조개읶정보의 보호조치

법 제29조앆젂조치의무

동법 시행령 제16조싞용정보업 감독규정 제20조

(별표3)

동법 시행령 제15조개읶정보의 기술적∙관리적 보호

조치 기준

동법 시행령 제30조개읶정보의 앆젂성 확보 조치

기준

▶ 금융분야 개인정보보호 가이드라인에 따르면, 개인정보보호법, 싞용정보법, 젂자금융거래법 상

안젂성 확보 조치 사항은 상당 부분 유사함

- 상이한 부분 : 내부관리계획 수정이력 관리(개인정보보호법), 사용자 계정 공동사용 예외적 허용

(젂자금융거래법), 고유식별정보 내부망 저장시 암호화(개인정보보호법), 개인정보가 수록된 서류

/USB 등을 잠금장치가 있는 안젂한 장소에 보관(개인정보보호법) 등

- 법률간 암호화 대상 및 보조저장매체 젂달시 암호화, 비밀번호 일방향 암호화 적용 등도 상이

1.관련 법률 현황

정보 종류별 적용 법률

개인정보

< 개인신용정보 > 거래 상대방의싞용도 판단에필요핚 정보로서기업 및 법인 정보(법읶등록번호, 금융거래기록 등)

거래 상대방의싞용도 판단에필요핚 정보로서개인에 관한 정보(연락처, 금융거래기록 등)

싞용도 판단과무관핚 정보로서개인에 관한 정보(임직원정보, 영상정보, 거래상대방이 아닌 자의정보, 상품소개 또는 구매권유 목적의 정보 등싞용정보법 미적용고객정보 등)

신용정보

<그 밖의 개인정보> <그 밖의 신용정보>

※ <개인신용정보>와 <그 밖의 개인정보>를 포함하여 이하“개인(신용)정보”라 함

개인정보

< 개인신용정보 > 거래 상대방의싞용도 판단에필요핚 정보로서기업 및 법인 정보(법읶등록번호, 금융거래기록 등)

거래 상대방의싞용도 판단에필요핚 정보로서개인에 관한 정보(연락처, 금융거래기록 등)

싞용도 판단과무관핚 정보로서개인에 관한 정보(임직원정보, 영상정보, 거래상대방이 아닌 자의정보, 상품소개 또는 구매권유 목적의 정보 등싞용정보법 미적용고객정보 등)

신용정보

<그 밖의 개인정보> <그 밖의 신용정보>

※ <개인신용정보>와 <그 밖의 개인정보>를 포함하여 이하“개인(신용)정보”라 함▶ 개인싞용정보 : 싞용정보법을 우선 적용하고 싞용정보법에 규정되어 있지 않은 사항은 개인정보

보호법을 적용하되, 젂자금융거래법, 금융실명법 등 개별법에서 특별히 정하는 사항에 대해서는

해당 법률 적용

▶ 그 밖의 개인정보 : 금융실명법, 은행법 등 개별 법률에서 특별히 정하는 사항을 우선 적용하고,

특별히 정하지 않은 사항에 대하여는 개인정보보호법 적용

▶ 그 밖의 싞용정보 : 싞용정보법을 우선 적용하되, 싞용정보법 미적용 업종은 개별 법률 적용



CISO, CPO, CSO, 신용정보관리·보호인

구분정보보호최고책임자

(CISO)개인정보 최고책임자

(CPO)보안 최고책임자

(CSO)싞용정보관리·보호인

근거법률

젂자금융거래법

제21조의2개읶정보보호법 제31조 정보통싞망법 제45조의3 싞용정보법 제20조

자격요건

총자산 2조원 이상 &상시종업원수300명이상

임원급 지정

- 사업주 또는 대표자

- 개읶정보처리업무부서장또는

개읶정보보호소양이있는자

※반드시임원으로지정핛필요없음

임원급(선택사항)

- 임원- 싞용정보의 제공·홗용·

보호 및 관리 등을 총괄하는 위치에 있는 사람

지정대상

금융기관 & 젂자금융업자(의무사항)

개읶정보처리자(의무사항)

정보통싞서비스 제공자(선택사항)

싞용정보회사, 싞용정보집중기관 등 (의무사항)

주요업무

⁃ 젂 자 금 융 거 래 앆 정 성

확보 및 이용자 보호를

위핚 젂략 및 계획 수립

⁃ 정 보 기 술 부 문 보 호

및 관리

⁃ 정 보 기 술 부 문 보 앆 에

필 요 핚 읶 력 관 리 및

예산 편성

⁃ 젂 자 금 융 거 래 의 사 고

예방 및 조치 등

- 정보기술부문 임직원

보앆교육

⁃개읶정보보호계획의수립및시행

⁃ 개읶정보 처리 실태 및 관행의

정기적읶조사및개선

⁃ 개읶정보 처리와 관련핚 불만의

처리및피해구제

⁃ 개읶정보 유출 및 오·남용 방지를

위핚내부통제시스템의구축

⁃ 개읶정보 보호 교육 계획의 수립

및시행

⁃ 개읶정보파읷의 보호 및 관리·

감독등

⁃정보보호관리체계의수립

및 관리·운영

⁃ 정보보호 취약점 붂석·평가

및개선

⁃ 침해사고의예방및대응

⁃ 사젂 정보보호대책 마련 및

보앆조치설계·구현등

⁃ 정보보호사젂보앆성검토

⁃ 중요 정보의 암호화 및보앆서버 적합성 검토 등

⁃ 싞용정보 관리·보호 관련내부관리규정의제정·개정

⁃ 싞용정보 관리·보호 관련고충의처리

⁃ 임직원이 싞용정보 관리·보호 관련 법령 및 내부관리규정 등을 준수하고있는지에대핚점검

⁃ 법에 따른 싞용정보주체의정당핚 권리 행사에 성실하게 대응하고 있는지에대핚점검

⁃ 임직원을 대상으로 하는싞용정보 관리·보호 관련교육의실시등

국내 관련 법ㆍ제도

1999년 2001년

준법감시인 제도

내부회계관리자 준법지원인 제도

- 외감법, 자본시장법(미국 SOX,일본 J-SOX)- 재무보고에 대한 내부통제(외감법)- CEO 또는 CFO 확인∙인증 의무(자본시장법)- 감사 또는 감사위원회가 운영실태 평가,

이사회 보고※ 내부통제 주요 프레임워크• COSO, COBIT 등

- 은행법 등 금융관련 법률- 내부통제기준(RISK 관리,

업무 분장 및 조직구조 등)- 주요 업무

• 내부통제기준 준수여부 점검• 점검결과 감사위원회 보고

- 상법- 준법통제기준(법령 준수, 회사 경영 적정성 등)- 주요 업무

• 준법통제기준 준수여부 점검• 점검결과 이사회 보고

2012년2011년

개인정보 보호책임자 CISO 의무화

- 개인정보보호법- 주요 업무

• 보호계획 수립 및 시행• 처리실태 및 정기 조사∙개선• 내부통제시스템 구축• 교육계획 수립 및 시행• 개인정보파일 보호 및 관리∙감독 등

- 전자금융거래법- 주요 업무

• 전자금융거래의 안정성 확보• 이용자 보호를 위한 전략 및 계획 수립• 정보기술부문 보호 및 관리• 인력관리 및 예산편성, 교육 실시• 전자금융거래 사고 예방 및 조치 등

보안 컴플라이언스

2013년

국내 관련 법∙제도

개인정보 관리책임자

2007년 2009년

신용정보 관리·보호인

- 신용정보법- 주요 업무

• 내부관리규정 제정·개정• 법령 및 내부관리규정 등 준수에 대한 점검• 신용정보 관리·보호 관련 교육 실시

- 정보통신망법- 개인정보 관리책임자의

의무와 책임을 규정한내부 지침 마련

고객정보 관리인

- 금융지주회사법- 지주사 고객정보 관리, 업무지첨서 작성

IT컴플라이언스

IT컴플라이언스

보안 컴플라이언스

기업 컴플라이언스



내부통제의 정의

COSO : 사업의 유효성과 효율성, 재무보고의 신뢰성, 적용되는 법률 및 규칙의준수라는 세 가지 목적의 달성을 합리적으로 보증하기 위하여 회사의 이사회, 경영진 및 다른 구성원에 의해 수행되는 프로세스

※ COSO (Committee of Sponsoring Organizations of the Treadway Commission)

BCBS(바젤 감독 위원회) : 이사회, 고위 경영진 및 전 직원에 의하여 이루어 지는 하나의 절차라고 정의하는데, 이는 순간적인 절차나 정책이 아니고, 상시적으로 운영하는 절차나 과정

금융감독원 : 회사의 자산보호, 회계자료의 정확성 및 신뢰성 확보, 조직운영의효율성 증진, 경영방침 및 법규의 준수를 위하여 회사의 모든 구성원들에 의하여 지속적으로 실행되는 일련의 통제 과정(내부통제 검사 매뉴얼)

내부통제: 조직 목표 달성 가능성을 높이고 목표달성에 영향을 주는 위험관리를통하여 회사의 재산을 보호하고 오류와 부정을 예방·적발하기 위한 기본적인체계

COSO

COSO는 조직의 성과와 거버넌스를 개선하고 조직 내의 부정 방지를 목적으로1985년에 미국에서 AICPA, AAA 등이 공동 설립한 단체

1992년 9월, COSO 보고서가 발표되어 미국 기업에 새로운 내부통제 제도 구축

- 미국 증권거래위원회(SEC)는 COSO가 1992년에 발표한 보고서를 언급하면서내부통제는COSO 보고서 상의 체제에 따르면 무난할 것이라고 코멘트 함

미국은 2001년 말 엔론(Enron), 월드컴(World Com) 등 미국 기업의 대규모

회계부정 사건을 계기로 회계개혁 법안인「Sarbanes－Oxley Act(SOX)」제정

SOX에서 내부통제시스템 구축 및 운영의 기본적인책임은 이사회에 있으며, 이사회는 내부통제에 관한기본정책을 정하고 경영진은 이사회가 정한 내부통제기본 정책을 기준으로 세부적인 이행방안을 마련하여제도를 운영할 책임이 있음을 규정함

COSO 보고서는 통제환경, 위험평가, 통제활동, 정보 및의사소통, 모니터링의 5가지 요소로 구성됨


COBIT

ISACA와 IT거버넌스협회가 새로운 기술, 법규, 산업 기준을 수용하기 위해 통제목적으로 개발

1996년 감사도구로 시작, 현재는 IT에 대한 전사 거버넌스 프레임워크로 발전

COBIT 5는 IT 거버넌스 국제표준인 ISO/IEC 38500을 채택하고, ISO/IEC 20000 (ITSM), 27000 (ISMS), 31000 (Risk관리), 15504 (Process 역량평가) 등 프레임워크에 적용

COBIT5 introduction (2012), One complete business Framework

Governance of Enterprise IT

COBIT 5

IT Governance

COBIT4.0/4.1

Management

COBIT3

Control

COBIT2

Audit

COBIT1

2005/720001998

Evo

lutio

n o

f sco

pe

1996 2012

Val IT 2.0

(2008)

Risk IT

(2009)

- 이사회관점

- CIO

사후적조치-

적발/탐지

사전적통제-교정목적

예방/개선(PDCA)

기업목적과전략 지원

거버넌스와경영 의 분리


내부통제 관련 법률 및 적용대상

금융지주회사법, 은행법, 자본시장법, 보험업법, 여신전문금융업법, 상호저축은행법: 대부분의 금융기관 (준법감시인* 제도 운영)

* 준법감시인은 내부통제기준의 준수 여부 점검 및 위반 시 조사 후 감사위원회에 보고

하는 사람으로 임명 시 이사회 의결을 거쳐야 함(예: 은행법§23-3③)

주식회사의 외부감사에 관한 법률, 자본시장과 금융투자업에 관한 법률(자본시장법): 자산총액 1,000억원 이상인 기업 (내부회계관리 제도 운영)

상법 : 상장법인, 공기업에 대한 준법지원인 제도 도입

내부통제의 점검 유형

내부통제 관련 법률 및 점검 유형

점검 유형 내용

내부 점검 준법감시읶 등 내부 독립기구에 의핚 점검

외부점검

규제기관에 의한 점검 감독당국 등 규제기관에 의핚 준법 점검

젂문감사기관에 의한 점검 제3의 젂문감사 기관에 의핚 점검



최근 사고 관련 내부통제 이슈

DB 접근관리 및 로그 저장 분석 관련

DB 접근제어시스템을 통한 접근제어 시, 예외 사항(대량 조회 작업 등)

시스템 접속로그 저장 시, 작업 내역에 대한 로그 저장

전사 통합로그 관리 시, 특정 시스템 로그 조회 여부 등

일일 단위 로그 저장 시, 특정 기간 분석 시간 소요 등 고려

내부 직원에 대한 접근통제와 이상징후 모니터링 및 사후 분석

PC 외부저장 매체 관리 관련

PC 매체제어 프로그램 등 보안프로그램 미 동작 시, 네트워크 연결 여부

보안 정책 변경 시, 중앙에 저장되고 예외사항 모니터링

노트북 하드디스크 포맷(빠른 포맷)시, 데이터 복구 가능 등

PC 보안 프로그램 미 설치, 미 동작 시 네트워크 연결 차단 등 모니터링

전자금융거래법

외부주문등에 관한 계약을 체결하는 때에는 계약내용의 적정성을 검토하고 자체적으로 통제가 가능하도록 회사내부에 조직과 인력을 갖출 것(감독규정 제8조 1항의2)

전자금융보조업자에 대한 재무건전성 및 서비스 품질 수준 연1회 이상평가(제60조 제1항10,11호)

외부주문 등은 자체 보안성검토 및 정기 보안점검 실시(감독규정 제60조 제1항의 14)

개인정보보호법

위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실·도난·유출·변조 또는훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에따라 수탁자가 개인정보를 안전하게 처리하는지를 감독(법 제26조 제4항)

※ 다수의 회사와 계약을 맺은 수탁사업자는 다수의 회사로부터 감독 및 교육을 받아야 함

업무 제휴·위탁 등 외부주문 관리 관련

4. 외주(인력ㆍ업체) 관리 이슈

(전자금융보조업자의 범위)

- 정보처리시스템을 통하여「여신전문금융업법」 상 신용카드업자의 신용카드 승인 및 결제 그 밖의 자금정산에 관한

업무를 지원하는 사업자 (신용카드 VAN사업자 등)

- 정보처리시스템을 통하여 은행업을 영위하는 자의 자금인출업무, 홖업무 및 그 밖의 업무를 지원하는 사업자

(은행 VAN사업자 등)

- 전자금융업무와 관련된 정보처리시스템을 해당 금융회사 또는 전자금융업자를 위하여 운영하는 사업자

(IT아웃소싱(개발/운영/관제등)업체등)

III. 대응 전략

1. 금융회사 보안의식 변화 및 정착

2. 전자금융서비스 보안 강화 노력

3. 외주(인력ㆍ업체)관리 신뢰성 확보


정보 보호 패러다임 변화

정보 보호(Information Security) 패러다임은 기술적 관점에서 관리, 제도화

단계를 지나 정보보호 거버넌스 단계로 진입함

※ B. Solms, Information Security-The Fourth Wave, Computers and Security, 2006

4th Wave: InfoSec Governance

2002 – currentcorporate governance, Legal & regulatory

compliance

Mgmt and leadership of the Board and

Top Mgmt

3rd Wave: Institutionalization

Late 90’s - 2002 Corporate wide effortInt’l std, certification, culture,

measurement

2nd Wave: Management

Early 80’s ~ middle 90’s Distr. Computing, Internet, WWW, ECTop Mgmt involvement, ISSO,

Organization

1st Wave: Technology

Late 50’s~ early 80’s Technical issues by techies Built in facilities of mainframe OS


GRC Ecosystem 모델

GRC(Governance, Risk Mgmt, Compliance) 에코시스템 구축을 위하여

전략, 기술, 사람, 프로세스 등이 유기적으로 동작 되어야 함

※ CSA Security Guide, 2011


CEO 관심 표명의 중요성

CEO는 보안에 대한 관심 표명을 통해 보안을 비용에서 기업 위험관리를 위한핵심 투자 가치로 인식전환을 하고 직원들의 보안의식을 제고

정부 당국은 (고객)개인정보 보호를 위한 많은 책임과 의무를 부여하고 있으나, 정작개인정보처리자(금융회사)의 임원 및 직원은 보안담당 직원의 업무로만 생각하는 경향

CEO의 정보보호 선언(전사조회 시), 정보보호위원회 직접 참여(매월 1회) 등

자율적인 보안체계 확보 및 임직원의 보안 문화 정착

최소한의 규정 준수 노력에서 최신 정보 수집 공유 등을 통한 효율적이고, 안전한 최신 기술 적용 및 유지·관리를 위한 투자(인력, 예산) 노력 필요

기존에 적용된 보안 기술 및 솔루션, 시스템 등에 대한 실효성 검증을 통한 효율화

금융사 자체 전문보안 인력 확충(재교육 등) 및 임·직원의 보안 생활화

※ 비밀번호 일방향 암호화 알고리즘 MD5, SHA-1은 공격기법이 발견되어 SHA-2사용 권장 등- 금융부문 암호기술 관리가이드(2010,금보원), 암호 알고리즘 및 키길이 이용안내서(2013,KISA)


젂사 차원의 보안관리 프로세스 확립

금융회사가 준수해야 하는 법규에 따른 책임자 지정과 명확한 업무 분장 등

실효성 있는 보안 대책 수행을 위한 전사 차원의 보안관리 프로세스 확립 필요

< 보안관리 모델 개념도 >

국내외IT보안

컴플라이언스통제매트릭스

보안통제영역

평가

보안정책 보안조직 자산관리 인적보안 물리/홖경 개인정보

통싞운영 접근통제 개발/운영 보안사고 업무연속성 준거성

IT법규

금융법규

일반법규

기반보호법, 정통망법, 젂자서명법, 국가정보화기본법, 젂자정부법

보안제도

젂자금융거래법, 젂자상거래법, 금융실명법, 싞용정보법, 은행법 등

개읶정보보호법, 장애읶차별금지법, 외부감사법

ISO38500, ISO31000, ISO27001, KISA ISMS, PCI-DSS, PIMS, PIPL

Plan Do Check Action프로세스

측정

비즈니스영역 은행 증권 보험 카드 젂자금융업자

관리지표 자가짂단 모니터링

젂자금융 정보보호 강화 노력

전자금융 이용자 보호를 위해 전자금융 거래 시 발생 가능한 보안위협을 사전예측하고, 운영 중이거나 도입예정인 전자금융시스템에 대한 보안성 검토 필요

현재 이용자 PC, 모바일 기기 등을 중심으로 전자금융 거래가 발생되며, 거래를 위해보안프로그램이 설치되나 신종 악성코드 등의 새로운 보안 위협은 계속적으로 발생

이용자 단의 보안프로그램, 전자금융거래 등에 대한 취약점 점검을 수시로

수행해야 하며 지속적인 재 점검으로 안전성 향상 필요

또한 설계 영역부터 심도 있는 기능 및 보안성 테스트를 통해 보안기능에

대한 적합성 여부를 확인

금융회사의 홈페이지, 무선랜, 서버 등을 통해 이용자의 정보를 탈취하려는 보안위협이수시로 등장

홈페이지, 무선랜, 서버 등을 대상으로 취약점 점검을 수시로 수행해야 하며,

이외에도 정기적인 모의 훈련, 보안위협 정보 습득 등을 통해 사전에 대응

2. 전자금융서비스 보안 강화 노력

3. 외주(인력ㆍ업체)관리 신뢰성 확보

외주인력 모니터링 체계 개선

외주인력의 시스템 접속·접근기록, 작업내역 등 사용자 행위 기록 의무화,다량 조회 및 예외 처리 등의 비정상 행위 상시 모니터링 체계 개선 등

내부통제시스템 개선 및 외주관리 담당인력 확보 등

외주업체 관리 싞뢰성 확보 및 효율화 추짂

외주업체에 대한 보안 점검 및 교육 등을 효율적으로 운영․관리하기 위하여중복 외주업체 등에 대한 금융회사 공동 관리 방안 마련 검토 등

금융회사의 개별적인 보안점검 및 교육 수행 업무의 감소에 따른 업무·예산 경감

금융사 자체적인 외주관리 내부통제시스템은 보완하고 외부 점검, 교육은

전문기관과 공동 추진을 통해 신뢰성 확보

※ 국내 일부 금융회사는 전자금융보조업자(CD VAN, Card VAN, CMS 사업자)에 대해 안전성

점검을 매년 공동으로 수행하고 금융보안연구원은 기술업무 지원

※ 미국 BITS(금융산업기술사무국)는 금융회사와 함께 아웃소싱 업체에 대한 관리 및 보안통제를평가하기 위해 공유평가(Shared-Assessment) 프로그램 운영

감사합니다[email protected]

Documents

2014. 4. 17 홍시환팀장 - CPO FORUMcpoforum.or.kr/privacy2014/PDF/Track A2.pdf · -상이한부분: 내부관리계획수정이력관리(개인정보보호법), 사용자계정공동사용예외적허용