Day 27: 전자금융감독규정

1. 전자금융감독규정의 개요

1.1 전자금융감독규정이란?

정식 명칭 : 전자금융감독규정

성격 : 금융위원회 고시

법적 근거 : 전자금융거래법 제21조의2 (안전성 확보 의무)

최신 개정 : 2024년 1월

1.2 법률 체계

[법령 체계]

- 전자금융거래법 (법률)
- 전자금융거래법 시행령 (대통령령)
- 전자금융감독규정 (금융위원회 고시) ← 오늘 학습!
- 전자금융감독규정 시행세칙 (금융감독원)

전자금융거래법 제21조의2 :

“금융회사등은 전자금융거래의 안전성과 신뢰성을 확보할 수 있도록 전자적 전송이나 처리를 위한 인력, 시설, 전자적 장치 등의 정보기술부문 및 전자금융업무에 관하여 금융위원회가 정하는 기준을 준수하여야 한다”

전자금융감독규정 : 위 법률의 구체적 시행 기준

1.3 적용 대상

금융회사등

- **은행** (시중은행, 지방은행, 인터넷전문은행)
- **금융투자회사** (증권사)
- **보험회사**
- **여신전문금융회사** (카드사, 캐피탈)
- **저축은행**
- **전자금융업자** (간편결제, 송금업 등)
- **전자금융보조업자**

핀테크 기업 포함

1.4 2024년 주요 개정 사항

(1) 클라우드 보안 강화

클라우드 이용 시 보안 요구사항 명시

(2) 제로 트러스트 (Zero Trust)

Zero Trust 보안 모델 도입 권장

(3) AI 보안

AI 시스템 활용 시 보안 고려사항 추가

(4) 랜섬웨어 대응

랜섬웨어 대비 백업·복구 체계 강화

(5) 양자내성암호 (PQC)

양자컴퓨터 시대 대비 암호 전환 계획 수립

2. 전체 구조

2.1 5개 장

[제1장 총칙]

- 목적, 정의, 적용범위

[제2장 전자금융업무 관리체계]

- 제4조: CISO 지정
- 제5조: 정보기술부문 인력
- 제6조: 정보보호위원회

[제3장 전자금융업무 위험관리]

- 제9조: 보안정책
- 제10조: 접근통제
- 제11조: 암호
- 제12조: 백신
- 제13조: 보안관제
- 제14조: 침입차단·탐지
- 제15조: 취약점 점검 및 모의해킹
- 제16조: 망분리
- 제17조: 매체 보안
- 제18조: 보안성 검토
- 제19조: 사고 대응
- 제20조: 재해복구

[제4장 전자금융업무 운영관리]

- 시스템 개발
- 변경관리
- 외부위탁

[제5장 보칙]

- 검사, 제재

3. 제2장: 전자금융업무 관리체계

3.1 제4조: 정보보호최고책임자(CISO) 지정

조문 핵심

금융회사등은 **정보보호최고책임자(CISO)**를 지정해야 함

CISO 자격 요건

[대형 금융회사 - 총자산 2조원 이상 은행, 자산 10조원 이상 보험사 등]

- **임원급** 이상
- 정보기술 또는 정보보호 분야 **7년 이상** 실무 경력

[중소형 금융회사]

- 정보기술 또는 정보보호 분야 **5년 이상** 실무 경력

CISO 역할 및 책임

- 1. 정보보호 정책 수립 및 시행
- 2. 정보보호 조직 구성 및 운영
- 3. 정보보호 투자 및 예산 편성
- 4. 정보보호 교육 및 훈련
- 5. 정보보호 사고 대응
- 6. 정보보호 위험 관리

독립성 보장

CISO는 업무 수행에 독립성 보장

- 정보시스템 개발·운영 부서로부터 독립
- 이사회 또는 최고경영자에게 직접 보고

3.2 제5조: 정보기술부문 인력

적정 인력 확보

정보보호 전담 인력 확보

[대형 금융회사]

- 정보보호 전담 조직 구성
- CISO 직속

[중소형 금융회사]

- 정보보호 담당자 지정

자격 요건

정보보호 관련 자격 보유 권장 :

- 정보보호전문가 (SIS)
- 정보보안기사
- CISSP
- CISA

3.3 제6조: 정보보호위원회

설치 의무

정보보호위원회 설치·운영

구성

- 위원장: CISO
- 위원: 정보보호 관련 부서장
- 외부 전문가 포함 가능

역할

- 1. 정보보호 정책 심의
- 2. 정보보호 예산 심의
- 3. 중요 정보보호 사안 의결
- 4. 정보보호 사고 대응 방안 수립

운영

분기 1회 이상 개최

4. 제3장: 전자금융업무 위험관리

4.1 제9조: 보안정책

정보보호정책 수립

전사 정보보호정책 수립·시행

필수 포함 사항

- 1. 정보보호 목표 및 원칙
- 2. 정보보호 조직 및 책임
- 3. 정보자산 분류 및 관리
- 4. 접근통제
- 5. 암호화
- 6. 백업 및 복구
- 7. 사고 대응
- 8. 교육 및 훈련
- 9. 보안성 검토
- 10. 외부위탁 보안

정책 관리

- **최소 연 1회** 검토·개정
- 이사회 또는 최고경영자 승인
- 전 임직원 공지

4.2 제10조: 접근통제

사용자 계정 관리

개인별 고유 ID 부여 (공용 계정 금지)

[특권 계정(관리자 계정) 관리]

- 별도 관리
- 사용 로그 기록
- 정기 검토

인증

[본인 확인]

- ID + 비밀번호
- 2차 인증 (OTP, 생체인증 등)

[비밀번호 정책]

- 영문, 숫자, 특수문자 조합
- 최소 8자 이상 (10자 이상 권장)
- 추측 가능한 비밀번호 금지
- 주기적 변경 (90일 이내 권장)

권한 관리

최소 권한 원칙 - 업무상 필요한 최소 권한만 부여

[권한 정기 검토]

- **분기 1회 이상**
- 불필요 권한 회수

[퇴직자 계정]

- 퇴직 즉시 삭제 또는 비활성화

세션 관리

- 자동 로그아웃: 일정 시간 미사용 시 자동 종료
- 동시 접속 제한: 동일 ID 중복 로그인 통제

4.3 제11조: 암호 (가장 중요!)

암호화 대상

필수 암호화 :

- 1. 비밀번호
- 2. 계좌번호
- 3. 카드번호
- 4. 주민등록번호
- 5. 생체정보
- 6. 개인정보

암호화 방식

[저장 시 - 비밀번호]

- 일방향 암호화 (해시)
- SHA-256 이상
- bcrypt, scrypt, PBKDF2 권장
- Salt 적용

[저장 시 - 계좌번호, 카드번호 등]

- 양방향 암호화
- AES-256
- ARIA-256
- SEED-256

[전송 시]

- **TLS 1.2 이상** (HTTPS)
- VPN

[보관 시 - 백업 등]

- 암호화 상태로 보관

암호키 관리

[암호키 생성]

- 안전한 난수 생성기 사용
- 키 길이: 128비트 이상 (256비트 권장)

[암호키 저장]

- **데이터와 분리** 보관
- HSM (Hardware Security Module) 사용 권장
- 접근 통제

[암호키 변경]

- 정기적 변경 (연 1회 이상)
- 유출 의심 시 즉시 변경

[암호키 폐기]

- 안전한 방법으로 완전 삭제

양자내성암호 (PQC) - 2024년 추가

양자컴퓨터 위협 대비 :

- PQC (Post-Quantum Cryptography) 전환 계획 수립
- 단계적 도입 검토

4.4 제12조: 악성프로그램 방지

백신 소프트웨어

[설치 및 운영]

- 모든 시스템에 백신 설치
- 최신 버전 유지
- 정의 파일 자동 업데이트

[검사]

- 실시간 검사
- **주기적 전체 검사** (최소 주 1회)

백신 관리

- 백신 로그 보관
- 악성코드 탐지 시 즉시 조치

4.5 제13조: 보안관제

보안관제센터 (SOC)

[대형 금융회사]

- 자체 보안관제센터 구축·운영

[중소형 금융회사]

- 외부 전문기관 위탁 가능

관제 대상

- 침입탐지시스템 (IDS/IPS)
- 방화벽
- 웹방화벽 (WAF)
- 데이터베이스 접근통제 (DAC)
- 서버·네트워크 장비

관제 시간

24시간 365일 실시간 관제

이상 징후 탐지 및 대응

- 실시간 알림
- 즉시 조치
- 로그 기록

4.6 제14조: 침입차단 및 탐지

방화벽

[설치 위치]

- 인터넷 구간
- 네트워크 경계
- 내부 네트워크 분리 구간

[정책]

- 기본 차단 (Deny All)
- 필요한 트래픽만 허용 (Allow)
- 최소 권한 원칙

[관리]

- 방화벽 정책 정기 검토 (분기 1회)
- 불필요 정책 삭제

침입탐지·차단시스템 (IDS/IPS)

[설치]

- 네트워크 IDS/IPS
- 호스트 IDS/IPS

[탐지 규칙]

- 최신 공격 패턴 반영
- 정기 업데이트

웹방화벽 (WAF)

인터넷뱅킹, 전자금융 서비스에 WAF 필수 설치

[방어 대상]

- SQL Injection
- XSS (Cross-Site Scripting)
- CSRF
- DDoS

4.7 제15조: 취약점 점검 및 모의해킹

취약점 점검

주기 : 분기 1회 이상

[점검 대상]

- 서버 (OS, 미들웨어, DBMS)
- 네트워크 장비
- 보안 장비
- 애플리케이션

[점검 항목]

- 보안 패치 적용 여부
- 불필요한 서비스 실행 여부
- 계정 관리 (기본 계정, 불필요 계정)
- 취약한 설정

[조치]

- 발견된 취약점 **즉시 조치**
- 조치 불가 시 **보완 대책** 수립

모의해킹 (침투 테스트)

주기 : 연 1회 이상

[대상]

- 인터넷뱅킹
- 모바일뱅킹
- 전자금융 서비스
- 중요 시스템

[방법]

- **외부 전문기관** 수행
- 실제 해킹 기법 사용
- 시스템 안전성 확인

[결과]

- 취약점 보고서 작성
- 발견된 취약점 조치
- 조치 결과 검증

4.8 제16조: 망분리

망분리 의무

금융회사는 업무망과 인터넷망 분리 의무

망분리 방식

[물리적 망분리]

- PC 2대 사용 (업무용 + 인터넷용)

[논리적 망분리]

- 가상화 기술 사용 (VDI)
- 1대 PC에서 2개 망 접속

망분리 예외

[제한적 연계]

- 업무상 필요 시 **보안USB** 또는 **망연계 솔루션** 사용
- 자료 전송 시 **악성코드 검사**
- 전송 기록 보관

망분리 점검

[정기 점검]

- 망분리 정책 준수 여부
- 우회 시도 탐지

4.9 제17조: 보조저장매체 보안

보조저장매체 관리

[보조저장매체 종류]

- USB
- 외장 하드디스크
- CD/DVD
- SD 카드

[보안 조치]

- **승인된 보안USB**만 사용
- 일반 USB 차단 (DLP)
- 암호화된 보조저장매체 사용

반출입 관리

[반출 시]

- 승인 절차
- 암호화
- 반출 대장 기록

[폐기 시]

- 데이터 완전 삭제
- 물리적 파쇄

4.10 제18조: 보안성 검토

사전 보안성 검토

[대상]

- 신규 시스템 도입
- 주요 시스템 변경
- 외부 서비스 도입

[검토 시점]

- 개발 전 (설계 단계)
- 개발 중
- 개발 완료 후 (상용화 전)

[검토 내용]

- 보안 요구사항 반영
- 보안 취약점
- 암호화 적용
- 접근통제

시큐어 코딩 : 개발 단계에서 보안 고려, OWASP Top 10 대응

4.11 제19조: 침해사고 대응

침해사고 정의

- 해킹
- 악성코드 감염
- DDoS 공격
- 정보 유출
- 시스템 장애

사고 대응 체계

침해사고 대응팀 (CERT) 구성 :

- CISO 총괄
- 보안, IT, 법무, 홍보 등 유관 부서

사고 대응 절차 :

- 1. 탐지 및 인지
- 2. 분석 및 평가
- 3. 대응 조치 (차단, 격리, 복구)
- 4. 보고 (경영진, 금융감독원, 개인정보보호위원회)
- 5. 사후 분석 (원인 분석, 재발 방지)

신고

[금융감독원 신고]

- 중대 침해사고 발생 시 **즉시 신고**

[개인정보 유출]

- 개인정보보호위원회 신고 (지체 없이)
- 정보주체 통지 (지체 없이)

침해사고 대응 훈련

모의 훈련 :

- **연 1회 이상**
- 시나리오 기반
- 전 직원 참여

4.12 제20조: 재해복구

재해복구시스템 구축

[대형 금융회사]

- 재해복구센터 구축 의무

[중소형 금융회사]

- 재해복구 방안 수립

재해복구 목표

- **RTO (Recovery Time Objective)**: 목표 복구 시간 - 은행: **4시간 이내**
- **RPO (Recovery Point Objective)**: 목표 복구 시점 - 데이터 손실 최소화

백업

[정기 백업]

- **일일 백업**
- 중요 데이터 실시간 백업

[백업 보관]

- 원본과 **물리적으로 분리**된 장소
- 암호화 상태로 보관

[백업 테스트]

- **분기 1회 이상** 복구 테스트

재해복구 훈련

모의 훈련 :

- **연 1회 이상**
- 실제 재해 시나리오
- 복구 시간 측정

5. 제4장: 전자금융업무 운영관리

5.1 시스템 개발

개발 보안

시큐어 코딩 :

- OWASP Top 10 대응
- SQL Injection 방지
- XSS 방지
- CSRF 방지

소스코드 보안 점검 :

- 정적 분석 도구 (SAST)
- 동적 분석 도구 (DAST)

개발·운영 분리

[개발 환경 vs 운영 환경 분리]

- 개발망 / 운영망
- 개발 DB / 운영 DB

실 데이터 사용 금지 : 개발·테스트 시 마스킹 데이터 사용

5.2 변경관리

변경관리 절차

- 1. 변경 요청
- 2. 영향 분석
- 3. 승인 (변경자문위원회)
- 4. 테스트
- 5. 적용
- 6. 사후 검증

긴급 변경

[긴급 상황 - 보안 패치, 장애 복구]

- 사후 승인 가능
- 변경 기록 유지

5.3 외부위탁

위탁 계약

계약서 필수 포함 :

- 보안 요구사항
- 보안 책임
- 보안 사고 시 책임
- 재위탁 금지 또는 사전 승인

위탁 업체 관리

[선정 시]

- 보안 수준 평가
- 정보보호 인증 (ISMS-P, ISO 27001 등) 확인

[관리]

- 정기 보안 점검 (**연 1회 이상**)
- 보안 교육

[계약 종료 시]

- 데이터 반환 또는 삭제
- 삭제 증명서 제출

6. 금융회사 규모별 차등 적용

6.1 대형 금융회사

기준 :

- 총자산 2조원 이상 은행
- 총자산 10조원 이상 보험사
- 기타 금융위원회가 정하는 기준

적용 :

- CISO 임원급 (7년 이상 경력)
- 보안관제센터 구축
- 재해복구센터 구축

6.2 중소형 금융회사

완화 적용 :

- CISO 5년 경력
- 보안관제 외부 위탁 가능
- 재해복구 방안 수립 (센터 구축 선택)

7. 금융보안원 가이드라인

7.1 금융보안원

설립 : 금융위원회 산하 특수법인, 금융권 보안 전문기관

역할 :

- 금융권 보안 가이드라인 제공
- 보안 위협 정보 공유
- 보안 사고 대응 지원
- 보안 교육

7.2 주요 가이드라인

- 금융분야 클라우드 이용 가이드라인: 클라우드 도입 시 보안 고려사항
- 금융분야 주요 정보 유출 방지 가이드: DLP 구현 방안
- 전자금융 보안 가이드: 전자금융 서비스 보안 기준
- 모바일뱅킹 보안 가이드: 모바일 앱 보안 요구사항

8. 클라우드 보안 (2024년 강화)

8.1 클라우드 이용 시 고려사항

사전 검토

[보안성 평가]

- 클라우드 사업자 보안 수준
- 인증 (ISMS-P, ISO 27001, CSA STAR 등)

[계약]

- 보안 책임 명시
- SLA
- 데이터 소재지
- 데이터 반환·삭제

데이터 보호

[암호화]

- 클라우드 저장 데이터 암호화
- 암호키는 금융회사가 관리

[접근통제]

- 클라우드 관리자 계정 통제
- MFA 적용

모니터링

[로그 관리]

- 클라우드 접속 로그 수집
- 정기 검토

[보안 관제]

- 클라우드 환경 포함

8.2 멀티 클라우드 / 하이브리드 클라우드

- 보안 일관성: 모든 클라우드 환경에 동일한 보안 정책 적용
- 데이터 이동: 클라우드 간 데이터 이동 시 암호화

9. 제로 트러스트 (Zero Trust) - 2024년 추가

9.1 제로 트러스트 개념

“절대 신뢰하지 말고, 항상 검증하라”

[전통적 보안]

- 네트워크 경계 (내부 = 안전, 외부 = 위험)

[제로 트러스트]

- 내부도 신뢰하지 않음
- 모든 접근 검증

9.2 제로 트러스트 적용

- 신원 확인: 모든 사용자 인증, MFA
- 장치 확인: 보안 상태 확인 (백신, 패치 등)
- 최소 권한: 필요한 자원에만 접근
- 마이크로 세그멘테이션: 네트워크 세분화
- 지속적 모니터링: 모든 활동 로그 기록

10. AI 보안 (2024년 추가)

10.1 AI 시스템 보안

AI 모델 보안

[모델 탈취 방지]

- 접근통제
- 암호화

[적대적 공격 (Adversarial Attack) 방어]

- 입력 데이터 검증

AI 학습 데이터 보안

[개인정보 포함 시]

- 비식별화
- 암호화

[데이터 품질]

- 오염된 데이터 방지

10.2 AI 활용 보안

[AI 기반 보안 솔루션]

- 이상 탐지: AI로 비정상 거래 탐지
- 위협 인텔리전스: AI로 신종 위협 분석

11. 랜섬웨어 대응 (2024년 강화)

11.1 예방

[백업 - 3-2-1 원칙]

- 3개 백업본
- 2종류 매체
- 1개는 오프사이트

[백업 격리]

- 네트워크 분리
- 읽기 전용

11.2 탐지

[이상 징후 모니터링]

- 대량 파일 암호화
- 특정 확장자 변경

11.3 대응

[격리]

- 감염 시스템 즉시 네트워크 차단

[복구]

- 백업으로 복구
- 랜섬 지불 금지 원칙

12. 실무 체크리스트

조직 및 인력

- [ ] CISO를 지정했는가?
- [ ] 정보보호 전담 조직을 구성했는가?
- [ ] 정보보호위원회를 분기 1회 운영하는가?

보안정책

- [ ] 정보보호정책을 수립했는가?
- [ ] 연 1회 정책을 검토·개정하는가?

접근통제

- [ ] 개인별 고유 ID를 부여하는가?
- [ ] 관리자 계정을 별도 관리하는가?
- [ ] 분기 1회 권한을 검토하는가?
- [ ] 퇴직자 계정을 즉시 삭제하는가?

암호

- [ ] 비밀번호를 해시(SHA-256 이상)로 저장하는가?
- [ ] 계좌번호, 카드번호를 암호화(AES-256)하는가?
- [ ] 전송 시 TLS 1.2 이상을 사용하는가?
- [ ] 암호키를 데이터와 분리 보관하는가?
- [ ] 암호키를 연 1회 변경하는가?

보안관제

- [ ] 24시간 365일 보안관제를 수행하는가?

취약점 관리

- [ ] 분기 1회 취약점 점검을 수행하는가?
- [ ] 연 1회 모의해킹을 수행하는가?
- [ ] 발견된 취약점을 즉시 조치하는가?

망분리

- [ ] 업무망과 인터넷망을 분리했는가?
- [ ] 보안USB만 사용하는가?

사고 대응

- [ ] 침해사고 대응팀(CERT)을 구성했는가?
- [ ] 연 1회 침해사고 대응 훈련을 하는가?

재해복구

- [ ] 일일 백업을 수행하는가?
- [ ] 백업본을 별도 장소에 보관하는가?
- [ ] 분기 1회 복구 테스트를 하는가?
- [ ] 연 1회 재해복구 훈련을 하는가?

변경관리

- [ ] 변경관리 절차가 있는가?
- [ ] 변경 전 테스트를 수행하는가?

외부위탁

- [ ] 위탁 계약서에 보안 조항이 있는가?
- [ ] 연 1회 위탁 업체 보안 점검을 하는가?

13. 위반 시 제재

13.1 금융감독원 제재

[검사]

- 정기 검사
- 수시 검사

[제재]

- 경고
- 주의
- 과태료
- 업무정지 (중대 위반 시)

13.2 실제 사례

- A은행: 망분리 미흡 → 경고 + 개선명령
- B카드사: 개인정보 암호화 미흡 → 과태료 5,000만원
- C증권사: 모의해킹 미실시 → 주의

학습 정리

오늘 학습한 핵심 내용 :

- 전자금융감독규정은 전자금융거래법의 구체적 시행 기준 (금융위원회 고시)
- 금융회사등 의무 적용
- CISO 지정 (임원급 7년 또는 5년 경력)
- 암호화: 비밀번호(해시), 계좌번호·카드번호(AES-256), 전송(TLS 1.2)
- 보안관제 24시간 365일
- 취약점 점검 분기 1회, 모의해킹 연 1회
- 망분리 의무
- 침해사고 대응팀 구성, 연 1회 훈련
- 재해복구: RTO 4시간, 일일 백업, 분기 1회 복구 테스트
- 2024년 개정: 클라우드, 제로 트러스트, AI, 랜섬웨어, PQC

다음 학습 주제

Day 28: 클라우드 보안 인증제도 (CSAP)