전자금융감독규정 개정 제안

2013.03.01 글쓴이 youknowit

이 글은 오픈넷(http://opennet.or.kr)에 게시된 내용입니다. 조만간 오픈웹은 오픈넷으로 통합 운영될 예정입니다.

+++++

금융위원회가 마련하여 운용하는 현행 전자금융감독규정은 총 75개조에 달하는 매우 복잡하고 자세한 보안 점검 항목을 담고 있다. 예를 들면, 이런 식이다.

  • 정전에 대비하여 조명설비 및 휴대용 손전등을 비치할 것(제11조 제8호, 전산실 관련)
  • 5회 이내의 범위에서 미리 정한 횟수 이상의 비밀번호 입력 오류가 발생한 경우 즉시 해당 비밀번호를 이용하는 거래를 중지시키고 본인 확인절차를 거친 후 비밀번호 재부여 및 거래 재개(제33조 제2항 제3호, 이용자 비밀번호 관련)
  • 비밀번호 개수가 한정된 일회용 비밀번호 사용 시에 비밀번호 입력 오류가 발생하거나 일회용 비밀번호를 입력하지 않고 비정상적으로 거래를 종료하면, 다음 거래 시 동일한 비밀번호를 요구할 것(제34조 제2항 제6호, 거래시 준수사항)

.
이런 조항도 있다(제17조 제4항, 금융기관 웹서버 관련):

금융기관 또는 전자금융업자는 공개용 웹서버가 해킹공격에 노출되지 않도록 다음 각 호에 대하여 적절하게 대응 조치하여야 한다.
1. 악의적인 명령어 주입 공격(SQL injection)
2. 업로드 취약점
3. 취약한 세션 관리(cookie injection)
4. 악의적인 명령 실행(XSS)
5. 버퍼 오버플로우(buffer overflow)
6. 부적절한 파라미터(parameter)
7. 접근통제 취약점
8. 서버설정과 관련한 부적절한 환경설정 취약점

과연 이런 내용을 정부가 “규정화”하여 행정공무원이 집행하는 것이 옳을까? 웹서버에 대한 해킹공격이 SQL injection, cookie injection 등 여기서 언급된 항목에 그치는 것인가? 전자금융감독규정이 개정되려면 금융위원회의 말단 공무원의 기안 작업부터 시작하여 여러 단계의 결재라인을 거쳐가야 하고 총리실의 검토까지 요구되는 매우 번거로운 절차가 필요하다. 그 사이 새로운 웹서버 공격기법이 등장했다가 사라지기 십상이며, 규정의 개정과정에서 결재를 하는 행정관료가 XSS 공격이니, buffer overflow 공격을 알기나 하는지 의문이다.

이런 내용은 전문 보안감사(security audit)서비스 제공자가 기술적 전문성을 가지고 점검하는 것이 옳다. 행정적 규제권한을 가진 금융위원회나 금융감독원이 보안 기술의 지극히 상세한 내용을 “규정”으로 만들어 둔다고 해서 담당공무원이 이런 규제 조항을 실제로 적용할 수 있는 것도 아니다.

실은 현행 전자금융감독규정은 PCI SSC Data Security Standards로 알려져 있는 보안감사 기준(체크리스트)을 적당히 간추려 베낀 것에 불과하다(이 문제는 다음 포스팅에서 좀 더 상세히 설명). 하지만 이 보안감사기준은 애초부터 행정 규제권력이 운용하거나 적용할 수 있는 성질의 것이 아니다.

금융서비스에 대한 규제자(금융위원회/금융감독원)가 금융기관을 감독하는데 참조하기 적절한 원칙들은 보안감사 업체가 금융기관과 계약을 체결하고 전문적인 서비스로서 보안감사를 수행할 때 사용하는 PCI DSS 체크리스트 같은 것이 아니라, 은행감독에 관한 바젤위원회가 2003년에 채택한 전자금융위험관리원칙이다. 바젤위원회가 제시한 전자금융위험관리 원칙은 OECD회원국의 금융감독기관(한국의 경우, 금융위원회/금융감독원이 바로 이것이다)이 자국의 전자금융서비스를 감독할 때 준수해야 할 원칙들을 제시한 것이다. 한국도 OECD회원국이므로 우리 정부는 금융위원회/금융감독원이 이 원칙을 준수하여 금융서비스를 감독하도록 해야 할 국제법적 의무가 있다. 아래 그 내용을 간략하게 소개한다. 내용을 보면 알겠지만, “휴대용 손전등을 비치하라”느니, “비밀번호 오류 회수”가 5번이냐 6번이냐를 따지는 내용이 전혀 아니다.

바젤 위원회가 제시하는 전자금융위험관리 원칙은 다음 세가지 영역으로 나누어져 있다.

A. 금융기관 최고 경영진의 책무

전자금융 서비스의 안전에 대한 궁극적 책임을 최고 경영진에게 묻겠다는 점을 분명히 하고 있다. 전통적인 은행영업의 여러 위험에 대해서는 원래 최고 경영진이 그 책임을 지고 있음은 당연하지만, 전자금융 서비스의 경우 자칫 그 중요성을 과소 평가하여 그 업무를 은행의 “비실세” 경영라인에게 맡겨두는 사태를 막아야 한다는 것이다. 일부 국내 은행의 경우 열악한 인력으로 전자금융서비스가 운영되거나, e-business 사업단이 은행 조직 내에서 그다지 파워가 없는 인력에게 일임되어 있는 사태도 없지 않은데, 바젤 위원회는 바로 이런 사태가 위험하다는 점을 분명히 지적하고 그렇게 되지 않도록 감독기구가 적절히 감독해야 한다는 점을 규정한다. 요컨대, 은행/카드사의 e-business 사업단에 힘을 실어줘야 한다는 것이다.

B. 보안 통제조치

전자금융 서비스가 실제로 제공되는 과정에서 준수되어야 할 핵심적인 보안 원칙을 “높은 레벨”에서 규정한다. 인증서를 반드시 쓰라느니, 전자서명을 하면 만사OK라는 식의 무지막지한 강제, 특정 기술의 사용만을 강요하는 내용을 담고 있는 것이 아니라는 점은 아래 소개하는 세부원칙을 보면 분명해 질 것이다.

C. 법적 책임 및 평판과 관련된 대책

금융기관이 자신의 지위나 상태에 대하여 정확한 정보를 고객에게 제공하도록 하고, 고객의 사적정보나 프라이버시를 법률이 정하는 바에 따라 보호하도록 하며, 해당 금융기관의 전자금융 서비스가 중단됨이 없이 제공되도록 사전에 여러 대비책과 비상대책을 마련하도록 하고, 사고대응에 대한 대비책을 수립하도록 감독기관이 감독해야 한다는 내용이다.

이상 각 분야 별로 바젤위원회가 제시하는 세부 원칙들을 모두 소개하면 다음과 같다.

A. 금융기관 최고 경영진의 책무

원칙1: 각 금융기관의 이사진과 최고 경영진은 전자금융 사업에 관한 위험을 관리하고 책임소재를 분명히 하는데 필요한 관리 감독 체계를 확립하도록 한다.

원칙2: 금융기관의 이사진과 최고 경영진은 해당 은행의 보안 통제 절차의 핵심적 사항을 직접 검토하고 승인하도록 한다. (“인터넷 뱅킹 사업 같은 건 밑에 직원들이 알아서 하잖아, 우린 잘 몰라” 이런 태도를 최고 경영진이 가져서는 안되며, 그렇게 되지 않도록 금융위원회/금융감독원이 규제해야 한다는 뜻)

원칙3: 이사진과 최고 경영진은 자신의 전자금융 서비스가 외주 계약 관계 등 제3자에게 의존하는 부분에 대하여 제대로 점검하고 관리하는 상시적이고 철저한 체계를 수립하도록 한다. (농협사태에서도 보듯이 문제가 터지는 부분은 외주 업체와 관련된 것이 많다. 바로 이런 외주관계를 은행 경영진들이 소홀히 하지 않도록 규제자가 감독해야 한다는 뜻)

B. 보안 통제조치

원칙4: 금융기관은 인터넷으로 이루어지는 거래에서 고객의 신원을 확인하는데 필요한 적절한 조치를 마련하도록 한다. (기술 진보에 상응한 기술을, 거래의 성격과 해당 거래에 수반하는 위험의 수준을 고려하여 은행이 적절히 선택하여 채용해야 한다)

원칙5: 금융기관은 전자금융거래가 부당하게 부인되지 않도록하고 거래의 책임을 분명히 하는데 도움이 되는 거래 인증 방법을 사용하도록 한다. (자신이 수행하는 거래의 내용을 고객이 잘 이해할 수 있도록 UI를 설계하고, 거래 양 당사자의 신원확인을 분명히 하며, 거래 데이터가 변조되지 않도록 하며, 변조여부를 판별할 수 있도록 하라는 뜻)

원칙6: 금융기관은 전자금융거래 시스템, 데이타베이스, 프로그램의 운용에 있어서 각 직원의 임무가 적절히 분리/분할되도록 하는데 필요한 적절한 조치를 취하도록 한다. (각 직원 또는 부서가 상호 검증, 점검할 수 있도록 해야 하고, 어떤 직원이나 외주업체도 거래를 단독으로 성사시킬 수는 없도록 해야 한다는 뜻)

원칙7: 금융기관은 전자금융거래 시스템, 데이타베이스, 프로그램에 대한 접근 권한 통제와 출입통제 등이 제대로 이루어지도록 한다. (직원이 자기 권한을 자기가 변경할 수는 없도록 해야 하며, 임무 분리/분할을 통한 검증, 점검 체계를 우회하지 못하도록 해야 한다는 뜻)

원칙8: 금융기관은 전자금융거래 내역, 거래 기록 등의 정보가 변경되지 않고 보존/보호될 수 있도록 하는데 필요한 조치를 마련하도록 한다.

원칙9: 금융기관은 자신의 모든 전자금융거래에 대하여 분명한 감사/검사 이력(audit trails)이 남도록 한다. (충분한 로그 기록이 남도록 하고, 법정에 제출될 수 있는 증거가 평소에 확보되고, 이 자료가 사후에 변조되지 않도록 하는데 필요한 조치들이 사전에 취해져야 한다는 뜻: 김승주 교수님께서 말씀하시듯이, forensic readiness를 확보하라는 뜻)

원칙10: 금융기관은 전자금융거래 내역의 비밀성을 유지하는 필요한 적절한 조치를 마련하도록 한다.

C. 법적 책임 및 평판과 관련된 대책

원칙11: 금융기관은 고객이 거래할지 여부를 제대로 판단하는데 필요한 정보(명칭, 규제상황 등)를 적절히 제공하도록 한다.

원칙12: 금융기관은 고객의 프라이버시 보호요건을 해당 국가의 법령에 따라 준수하도록 한다.

원칙13: 금융기관은 전자금융 서비스가 상시 제공될 수 있도록 규모, 사업지속 및 비상 대책에 관한 기획 절차를 마련하도록 한다.

원칙14: 금융기관은 전자금융 서비스에 대한 내부자의 공격이나 외부자의 공격 등 불의의 사태를 관리하고 피해를 최소화 하는데 필요한 사고 대응책을 적절히 개발하도록 한다. (재난 회복 체제, 사고 보고 체계, 사고 조사 체계, 증거 수집 체계 등을 구비하라는 뜻)

* * * * *

이러한 규제의 원칙들은 PCI DSS 보안감사 서비스에 적용되는 체크리스트와는 그 수준과 차원이 다른 것이다. “보안프로그램을 유저 PC에 설치하라”는 따위의 지엽말단적인 강제 조항이나, “1원을 이체해도 공인인증서를 반드시 사용하라”는 식으로 특정 보안기술”만”을 강요하는 내용이 아니다. 마구 복제되어 유출되는 공인인증서로 “전자서명”을 받기만 하면 “부인방지”가 된다는 식의 터무니 없는 기술적 무지를 담고 있지도 않다.

이점을 다시 한번 그림으로 설명하면 다음과 같다(확대된 그림을 보려면 그림을 클릭).

financial-supervision-security-audit

그림의 왼쪽은 규제자가 금융기관을 어떤 원리와 규정을 적용해서 감독할 것인지의 문제이고, 그림의 오른쪽은 각 금융기관이 전문 보안감사 기관에 의뢰하여 자신의 전자금융 시스템의 기술적, 관리적 측면을 점검 받고 개선하는 과정을 표시한 것이다. 기술적 전문성도 없는 규제자가 마치 전문 보안감사업체인양 보안감사기준(체크리스트)을 적당히 번역해 두고 보안점검업체 행세를 하는 것은 국민을 속이는 일일 뿐, 적절한 규제자의 태도가 아니다.

SQL injection 이니, XSS 공격 등 일반인들이 잘 알지 못하는 항목을 규정에 잔뜩 나열해 두면 “뭔가 근사해 보이지 않을까” 생각한다면, 그건 유치한 착각이다. 일국의 금융감독기구가 자신의 임무가 무엇인지조차 이해를 못한 채, 전문 보안감사업체의 보안감사 체크리스트를 “감독 규정”이라고 내세우고 있는 우스운 형국이기 때문이다.

현행 전자금융감독규정은 전면적으로 개편되어야 한다. 규제자가 올바른 규제 전략을 수립하고, 진정으로 중요한 여러 분야(금융기관 내부자에 대한 통제, 사고 대응 절차, 증거 확보 체계 등)가 제대로 관리될 수 있도록 하는 한편, 전문 보안감사 업체가 활발하게 영업하고 성장할 수 있는 토양을 제공해 줄 필요가 있다고 생각한다. 그렇게 되어야 국내의 보안 업계가 제대로 성장할 수 있게 될 것이다.

Categories: 보안, 인터넷 뱅킹, 인터넷 쇼핑, 정책제안 | Comments Off  오픈웹 구독 메일로 받기

«

»