전자금융기관 CISO 연간 핵심업무 체크리스트 (금융회사 전자금융감독규정 필수 준수사항, 연간 보고의무 등)

전자금융의 발전과 IT 기술의 급속한 변화에 따라 금융기관의 정보보안 체계는 날로 중요해지고 있다. 특히, 금융기관 내 보안 최고책임자(CISO)는 각종 사이버 위협과 내부 통제의 취약점을 보완하기 위해 매년 다양한 감독기관의 요구사항을 누락없이 수행해야 한다. 또한 전자금융 수행 금융기관은 전자금융감독규정을 잘 숙지하고 준수해야 한다. 이번 글에서는 금융감독원 및 금융위원회에 의무적으로 제출해야 하는 보고서의 제출 기한, 제출 경로, 위반 시 과태료 및 기타 제재 내용까지 법령 근거와 함께 꼼꼼하게 정리하였다. 이하의 내용은 금융보안원의 ‘CISO를 위한 핸드북’ 핵심업무 체크리스트를 토대로 최신 감독규정을 반영하여 작성되었다.

목차(Contents)

1. 정보기술 계획 및 업무보고

1.1 정보기술부문 계획 수립·운용 (정보기술부문계획서 제출)

보고서 내용: 안전한 전자금융거래를 위하여 현실적이며 실현 가능한 장·단기 IT 계획을 수립한다. 구체적인 항목은 아래와 같으며, 매년 금융감독원은 CPC를 통하여 정보기술부분계획서 양식을 금융기관에 배포하며, 금융기관은 그 양식에 하기 내용들을 채워 제출하면 된다.
- 정보기술부문의 추진목표 및 추진전략
- 정보기술부문의 직전 사업연도 추진실적 및 해당 사업연도 추진계획
- 정보기술부문의 조직 등 운영 현황
- 정보기술부문의 직전 사업연도 및 해당 사업연도 예산
- 그 밖에 안전한 전자금융거래를 위하여 정보기술부문에 필요한 사항으로서 금융위원회가 정하여 고시하는 사항
보고 의무: 회계년도 종료 후 대표자의 승인을 받아 금융위원회에 제출한다. 반드시 정보보호위원회의 승인을 거쳐 대표자에게 보고한 후, 금융감독원 전자 업무보고 시스템을 통해 제출해야 한다.
제출 기한: 사업연도 종료 후 3개월 이내 지정된 기한 내 제출해야 하며, 미제출 시 위반 과태료 부과 및 제재가 발생한다.
법령 근거: 전자금융감독규정 제36조의 2, 전자금융감독법 시행령 제11조의 3 등.

1.2 업무보고서 작성 및 제출

보고서 내용: 금융회사 및 전자금융업자는 금융감독원장이 정하는 바에 따라 업무보고서를 금융감독원장에게 제출하여야 한다. 보고 내용은 아래와 같다.
- CISO 선임 현황
- 예산 수립 현황 및 집행 내역
- 정보기술 및 정보보호 인력 현황
보고 의무: 금융감독원 전자 업무보고 시스템을 통해 제출해야 한다.
제출 기한: 매 6개월 마다 반기 종료 후 1개월 이내 제출해야 하며, 미제출 시 위반 과태료 부과 및 제재가 발생한다.
법령 근거: 전자금융감독규정 제62조, 시행세칙 제10조 등.

2. 정보보호 조직

2.1 정보처리시스템 관련 전담 조직 확보

업무 내용: 전자금융거래의 안전성과 신뢰성을 확보하기 위하여 전자금융감독규정을 참고하여 금융위원회 기준에 맞는 정보처리시스템 및 전자금융업무 관련 전담 조직을 구성한다.
법령 근거: 전자금융거래법 제21조 제4항, 전자금융감독규정 제8조 제1항 제1호 등.

2.2 정보기술부문 및 정보보호 인력 운영

업무 내용: 전자적 전송 및 처리 업무를 위한 전담 인력 및 예산을 확보하고, 기준 미이행 시 사유와 이용자 보호에 미치는 영향을 최소화 해야 한다. (정보보호 인력은 정보기술 인력의 5% 이상 되도록 유지 권고)
보고 의무: 기준 미이행 시 사유와 이용자 보호에 미치는 영향을 사업연도 종료 후 1개월 이내에 금융감독원 업무보고서 혹은 전국은행연합회 공시시스템, 각 금융회사 홈페이지 등을 통해 공시 해야 했으나 지금은 그 강제 조항이 일몰되어, 굳이 그렇게 공시하지 않아도 무방하다.
법령 근거: 전자금융거래법 제21조 제2항, 전자금융감독규정 제8조 제6항 등.

2.3 손해배상 책임 및 보험/공제 가입

업무 내용: 이용자 피해 발생 시 배상 책임 이행을 위하여 보험 가입 또는 준비금 적립 등 필요한 조치를 마련한다.
법령 근거: 전자금융거래법 제9조, 동법 시행령 제8조, 전자금융감독규정 제5조, 정통망법 제32조 등.

2.4 정보보호 예산 비율 확보

업무 내용: 정보보호 예산을 IT 부문 예산의 7% 이상 확보하도록 노력하며, 미충족 시 그 사유와 이용자 보호에 미치는 영향을 최소화 하기 위해 힘써야 한다.
보고 의무: 미충족 시 그 사유와 이용자 보호에 미치는 영향 등을 사업연도 종료 후 1개월 이내 전국은행연합회 공시시스템 혹은 각 금융회사 홈페이지 등을 통해 공시해야 했으나, 지금은 그 강제 조항이 일몰되어, 굳이 그렇게 공시하지 않아도 무방하다.
법령 근거: 전자금융거래법 제21조 제2항, 전자금융감독규정 제8조 제6항 등.

2.5 정보보호위원회 설치·운영

업무 내용: 금융회사의 중요 정보보호 사항을 심의·의결할 정보보호위원회를 설치하고, 정기적으로 운영하고, CISO는 최고경영자에게 보고해야 한다.
정보보호위원회 구성 : 정보보호위원회의 장은 정보보호최고책임자로 하며, 위원은 정보보호업무 관련 부서장, 전산운영 및 개발 관련 부서장, 준법업무 관련 부서의 장 등으로 구성한다.
정보보호 위원회 심의, 의결사항 :
- 정보기술부문 계획서
- 취약점 분석ㆍ평가 결과 및 보완조치의 이행계획에 관한 사항
- 전산보안사고 및 전산보안관련 규정 위반자의 처리에 관한 사항
- 클라우드컴퓨팅서비스의 이용에 관한 사항
- 기타 정보보호위원회의 장이 정보보안업무 수행에 필요하다고 정한 사항
법령 근거: 전자금융거래법 제21조 제2항, 전자금융감독규정 제8조의2 제1항~제5항 등.

3. 인적 보안

3.1 정보보호 교육계획 수립·시행

업무 내용: 매년 임직원의 정보보호 역량 강화를 위해 교육 계획을 수립하고, 교육 실행 및 평가 결과를 정리한다.
보고 의무: 교육 미이행 사유 및 영향을 사업연도 종료 후 정해진 기간 내 공시해야 하는 의무는 없으나, 감독규정이므로 준수해야 함.
교육 요건: 임원 3시간, 일반직원 6시간, 정보기술 직원 9시간, 정보보호 직원 12시간 교육을 이수해야 하며, 최고 경영자는 직원 교육이수 후 평가를 진행해야 한다.
법령 근거: 전자금융감독규정 제8조 등

4. 보안 운영관리

4.1 보조기억매체 통제 및 관리

업무 내용: 업무와 무관한 정보가 저장된 보조 기억매체에 대한 접근 통제를 실시하고, 보유현황 및 관리실태를 정기적으로 점검한다.
법령 근거: 전자금융거래법 제21조 제2항, 전자금융감독규정 제12조 등.

4.2 중요 단말기 보호

업무 내용: 지정 단말기 및 정보처리시스템 관리용 단말기에 대한 보호 대책을 마련·운용한다.
법령 근거: 전자금융거래법 제21조 제2항, 전자금융감독규정 제12조 제3호 등.

4.3 안전지출 및 긴급파기 계획 수립·운용

업무 내용: 비상 상황 대비 보조기억매체 등 전산자료의 안전지출 및 긴급 파기 계획을 수립하고 운영한다.
법령 근거: 전자금융거래법 제21조 제2항, 전자금융감독규정 제13조 제1항 제4호 등.

4.4 테스트 시 실제 이용자 정보 사용 금지

업무 내용: 전산 시스템 및 소프트웨어 테스트 시 실제 이용자 정보를 사용하지 않도록 통제한다.
법령 근거: 전자금융감독규정 제13조 제1항 제8호 등.

4.5 시스템 통합, 전환 및 재개발 시 통제 절차 마련

업무 내용: 시스템 통합 및 전환, 재개발 시 정상 운영을 위한 통제 방안을 마련한다.
법령 근거: 전자금융거래법 제21조 제2항, 전자금융감독규정 제14조 제3호 등.

4.6 취약점 분석·평가 수립·시행

업무 내용: 전자금융기반시설의 취약점을 연 1회 이상 분석·평가하고(공개용 웹의 경우 연 2회 이상), 결과를 토대로 보완조치 계획을 수립·시행한다. 전자금융기반시설의 취약점 분석·평가 시에는 자체전담반을 구성해 실시하거나 전문성을 갖춘 외부 기관에 의뢰할 수 있다.
보고 의무: 분석·평가 결과 및 보완조치 이행 계획이 작성된 보고서를 평가 완료 1개월 이내 금융감독원 전자 업무보고서 시스템을 통하여 금융위원회에 보고해야 한다. 지연 시 위반 과태료 및 제재가 적용된다. 금융위 보고 전 반드시 정보보호위원회의 심의,의결을 득해야 하며, 최고경영자에게도 보고 되어야 한다.
법령 근거: 전자금융거래법 제21조의3, 전자금융감독규정 제37조의2, 정보통신기반보호법 제9조 등.

4.7 암호프로그램 담당자 지정

업무 내용: 금융회사는 암호 프로그램의 유포 및 부당 이용을 방지하기 위한 담당자를 지정해야 한다.
법령 근거: 전자금융감독규정 제19조 등.

4.8 보안점검의 날 지정

업무 내용: 매월 정해진 ‘보안점검의 날’을 통해 임직원이 정보보안 점검항목 준수 여부를 확인하고, 그 결과와 보완 계획을 최고경영자에게 보고한 뒤 기록으로 남겨야 한다.
법령 근거: 전자금융거래법, 전자금융감독규정 제37조의5 등.

5. IT 도입·개발·유지보수 관리

5.1 타당성 검토 및 효과분석 수행

업무 내용: 정보처리시스템 및 전자금융거래 관련 사업 추진 전 사전 타당성 검토와 비용 대비 효과 분석을 실시한다.
법령 근거: 전자금융거래법 제21조 제2항, 전자금융감독규정 제20조 제1호 및 제2호 등.

5.2 직무분리 운영 관리

업무 내용: 입력·승인·확인 등 모든 거래과정이 동일 직원에 의해 처리되지 않도록 분리하고, 프로그램 개발자와 시스템 운영자 분리, 데이터베이스 관리자와 시스템 및 운용 프로그래머 분리, 시스템 프로그래머의 작업에 대한 자체 감사자의 통제, 오퍼레이터에 대한 자체 감사자 또는 시스템 프로그래머를 통제해야 한다
법령 근거: 전자금융거래법 제21조제2항, 전자금융감독규정 제26조 등.

6. 업무연속성 관리

6.1 상황별 대응절차 및 재해복구 계획 수립·운용

업무 내용: 장애, 재해, 파업, 테러 등 비상 상황에 대비한 대응절차와 재해복구계획 및 업무지속성 확보방안을 수립하고 운영한다.
법령 근거: 전자금융거래법 제21조 제2항, 전자금융감독규정 제23조, 전자서명법 제18조의3 등.

6.2 비상대응 조직 구성 및 위기대응행동 매뉴얼 수립·보고

업무 내용: 비상상황에 대비한 비상대응 조직 구성 및 운용 방안을 마련하고, 위기대응행동 매뉴얼 또는 비상대책을 수립해야 한다. 자연 재해, 인적 재해, 기술적 재해, 전자적 침해 등으로 인한 전산시스템의 마비 방지와 신속한 복구를 위한 비상대책을 수립해야 한다
법령 근거: 전자금융거래법 제21조 제2항, 전자금융감독규정 제23조 제4∙제5항, 전자서명법 제18조의3 등.

6.3 비상대응훈련 실시

보고 내용: 금융회사 또는 전자금융업자는 비상대책에 따라 연 1회의 비상대응훈련을 실시하고 그 결과를 금융위원회에 보고하여야 한다. 재해복구전환훈련을 포함하여 실시할 수 있다.
보고 의무: 연1회 수립된 비상대응훈련 계획 및 결과를 금융보안원 Regtech 포털을 통하여 금융위원회에 제출한다.
제출 기한: 계획 수립 후 정해진 기한 내 보고하며, 미제출 시 과태료 및 행정제재가 적용된다.
법령 근거: 전자금융거래법 제24조 등.

7. 보안사고대응

7.1 정보기술부문 사고 보고

보고 내용: 정보처리시스템 또는 통신회선 등의 장애로 인하여, 전자금융업무 지연ㆍ중단 시간이 30분 이상인 경우(전자금융서비스 가입자가 1만명 이상인 경우, 지연ㆍ중단 시간이 10분 이상이면 해당), 전산자료 또는 프로그램의 조작 및 오류와 관련된 사고가 발생한 경우, 전자적 침해행위로 인해 정보처리시스템에 사고가 발생하거나 이로 인해 이용자가 금전적 피해를 입었다고 금융회사 또는 전자금융업자에게 통지한 경우, 지체 없이 금융감독원장에게 보고한다.
보고 의무: 사고를 인지 또는 발견한 때로부터 24시간 이내에 전자금융사고대응시스템(Electronic Financial Accident Response System : EFARS)으로 보고한다. 단, 전산장애, 금융정보교환망 미연결 등 부득이한 경우에는 서면, 팩시밀리 또는 유선으로 보고할 수 있다.
법령 근거: 전자금융감독규정 시행세칙 제7조의 4 등.

7.2 침해사고 대응 및 복구훈련 계획 수립·시행

보고 내용: 금융회사 및 전자금융업자는 침해사고에 대한 대응능력 확보를 위하여 연 1회 이상 침해사고 대응 및 복구훈련 계획을 수립ㆍ시행하여야 하며 그 계획 및 결과를 침해사고대응기관의 장(금융위원장)에게 제출하여 대응 능력을 지속적으로 개선한다. 금융회사는 “서비스 거부”, “공개용 해킹”, “악성 코드” 이 3가지 중 한가지에 대한 훈련을 선택하여 진행하면 된다.
보고 의무: 연1회 수립된 계획 및 결과를 금융보안원 Regtech 포털을 통하여 금융위원회에 제출한다.
법령 근거: 전자금융감독규정 제37조의6 등.

금융기관의 CISO는 전자금융거래의 안전성과 신뢰성 확보를 위하여 위와 같이 다양한 업무를 체계적으로 수행해야 한다. 각 항목별로 정해진 법령 근거에 따라 보고서를 제출하고, 사업연도 종료 후 또는 사고 발생 시 즉시 관련 기관(금융감독원, 금융위원회 등)에 보고하여야 한다. 보고 기한 미준수 시 과태료 부과 및 추가 행정제재가 발생하므로, 정해진 기한과 제출 경로(예, 금융보안원 Regtech 포털, 금융감독원 업무보고서 시스템 등)를 반드시 준수해야 한다.

최근 최신 트렌드로는 클라우드 보안 강화, AI 기반 위협 탐지, 실시간 모니터링 및 자동화된 대응 시스템 도입 등이 진행되고 있으며, 이러한 기술들을 적극 반영하여 체계적인 보안 시스템을 구축하는 것이 필수적이다. 모든 금융기관은 법령 준수와 함께 신기술 도입을 통해 전자금융 환경의 안전성을 지속적으로 확보해야 한다.

1. 정보기술 계획 및 업무보고

1.1 정보기술부문 계획 수립·운용 (정보기술부문계획서 제출)

1.2 업무보고서 작성 및 제출

2. 정보보호 조직

2.1 정보처리시스템 관련 전담 조직 확보

2.2 정보기술부문 및 정보보호 인력 운영

2.3 손해배상 책임 및 보험/공제 가입

2.4 정보보호 예산 비율 확보

2.5 정보보호위원회 설치·운영

3. 인적 보안

3.1 정보보호 교육계획 수립·시행

4. 보안 운영관리

4.1 보조기억매체 통제 및 관리

4.2 중요 단말기 보호

4.3 안전지출 및 긴급파기 계획 수립·운용

4.4 테스트 시 실제 이용자 정보 사용 금지

4.5 시스템 통합, 전환 및 재개발 시 통제 절차 마련

4.6 취약점 분석·평가 수립·시행

4.7 암호프로그램 담당자 지정

4.8 보안점검의 날 지정

5. IT 도입·개발·유지보수 관리

5.1 타당성 검토 및 효과분석 수행

5.2 직무분리 운영 관리

6. 업무연속성 관리

6.1 상황별 대응절차 및 재해복구 계획 수립·운용

6.2 비상대응 조직 구성 및 위기대응행동 매뉴얼 수립·보고

6.3 비상대응훈련 실시

7. 보안사고대응

7.1 정보기술부문 사고 보고

7.2 침해사고 대응 및 복구훈련 계획 수립·시행

이것이 좋아요:

관련

댓글 남기기응답 취소

1. 정보기술 계획 및 업무보고

1.1 정보기술부문 계획 수립·운용 (정보기술부문계획서 제출)

1.2 업무보고서 작성 및 제출

2. 정보보호 조직

2.1 정보처리시스템 관련 전담 조직 확보

2.2 정보기술부문 및 정보보호 인력 운영

2.3 손해배상 책임 및 보험/공제 가입

2.4 정보보호 예산 비율 확보

2.5 정보보호위원회 설치·운영

3. 인적 보안

3.1 정보보호 교육계획 수립·시행

4. 보안 운영관리

4.1 보조기억매체 통제 및 관리

4.2 중요 단말기 보호

4.3 안전지출 및 긴급파기 계획 수립·운용

4.4 테스트 시 실제 이용자 정보 사용 금지

4.5 시스템 통합, 전환 및 재개발 시 통제 절차 마련

4.6 취약점 분석·평가 수립·시행

4.7 암호프로그램 담당자 지정

4.8 보안점검의 날 지정

5. IT 도입·개발·유지보수 관리

5.1 타당성 검토 및 효과분석 수행

5.2 직무분리 운영 관리

6. 업무연속성 관리

6.1 상황별 대응절차 및 재해복구 계획 수립·운용

6.2 비상대응 조직 구성 및 위기대응행동 매뉴얼 수립·보고

6.3 비상대응훈련 실시

7. 보안사고대응

7.1 정보기술부문 사고 보고

7.2 침해사고 대응 및 복구훈련 계획 수립·시행

이 글 공유하기:

이것이 좋아요:

관련

댓글 남기기응답 취소