전자금융업 논리적.물리적 망분리

< 전자금융감독규정 > 제15조(해킹 등 방지대책)

★ 전자금융감독규정시행세칙 [시행 2021. 1. 1.] 개정내용 반영 ★

① 금융회사 또는 전자금융업자는 정보처리시스템 및 정보통신망을 해킹 등 전자적 침해행위로부터 방지하기 위하여 다음 각 호의 대책을 수립･운용하여야 한다.

1. 해킹 등 전자적 침해행위로 인한 사고를 방지하기 위한 정보보호시스템 설치 및 운영
2. 해킹 등 전자적 침해행위에 대비한 시스템프로그램 등의 긴급하고 중요한 보정(patch)사항에 대하여 즉시 보정작업 실시
3. 내부통신망과 연결된 내부 업무용시스템은 인터넷(무선통신망 포함) 등 외부통신망과 분리･차단 및 접속 금지(단, 업무상 불가피하여 금융감독원장의 확인을 받은 경우에는 그러하지 아니하다)

   ● 내부통신망과 연결된 본점･영업점 PC 및 프린터 등 주변 기기는 물리적 또는 논리적 방식으로 망분리(제1항3호) ● 외부기관과 내부통신망 연결시 유의사항(제3호, 제5호) 업무 특성상 내부통신망과 외부통신망의 연결이 불가피한 경우 침입차단시스템 등 정보보호시스템의 통제에 의해 필요한 서비스포트의 접근만 허용하고 그 외의 서비스는 차단하여 외부통신망에서 내부통신망으로 인가되지 않은 접근을 통제 외부통신망 연결에 따른 보안취약성 해소를 위하여 접속 로그를 주기적으로 분석하고 수시로 보안도구를 이용한 정보통신망의 취약성을 점검   < 본점･영업점 망분리 예외(시행세칙 제2조의2제1항) > 시행세칙 제2조의2 (망분리 적용 예외) ① 규정 제15조제1항제3호에서 금융감독원장의 확인을 받은 경우란 다음 각 호와 같다. 내부 통신망에 연결된 단말기가 업무상 필수적으로 외부기관과 연결해야 하는 경우(다만, 이 경우 필요한 서비스번호(port)에 한하여 특정 외부기관과 연결할 수 있다) 규정 제12조의 보안대책을 적용한 단말기에서 전용회선과 동등한 보안수준을 갖춘 통신망을 이용하여 외부망으로부터 내부 업무용시스템으로 원격접속 하는 경우 ● 업무상 불가피한 경우 내부망의 서버에서 특정 외부기관(참고1)과의 연결가능(세칙 제2조의2제1항제1호) (참고1) 특정 외부기관의 범위 행정자치부, 금융협회, 금융결제원, 예탁결제원, 코스콤, 금융보안원, 공인인증기관 등의 정부 또는 금융 유관기관 그 외 업무상 연결이 필요한 전자금융보조업자 ※ 시행세칙 제2조의2의 취지는 망분리로 인한 업무의 비효율을 완화하고자 일부 필수적인 외부기관과의 연결을 허용하는 것으로, 불특정 다수가 접속하는 인터넷 포탈 등은 제한 ● 정보보호 통제사항을 준수하는 경우 상시 재택근무를 위한 원격접속을 허용(세칙 제2조의2제1항제2호)

4. 내부통신망에서의 파일 배포기능은 통합 및 최소화하여 운영하고, 이를 배포할 경우에는 무결성 검증을 수행할 것
5. 전산실 내에 위치한 정보처리시스템과 해당 정보처리시스템의 운영, 개발, 보안 목적으로 직접 접속하는 단말기에 대해서는 인터넷 등 외부통신망으로부터 물리적으로 분리할 것(단, 업무 특성상 분리하기 어렵다고 금융감독원장이 인정하는 경우에는 분리하지 아니하여도 된다)

   ● 전산센터 내에 위치한 정보시스템의 운영, 개발, 보안 목적으로 정보처리시스템(서버)에 직접 접속하는 단말기(전산센터 단말기)는 인터넷 등 외부통신망과 물리적으로 분리해야함(제1항제5호) ● 물리적 망분리란 통신회선을 업무용과 인터넷용으로 물리적으로 분리하고 별도 단말기를 사용하여야 하는 것으로 방화벽 정책 설정만으로 분리하는 방식은 물리적 망분리라고 할 수 없음 또한, 단일 단말기에서 가상화 솔루션을 이용하여 망을 분리한 경우에도 물리적 망분리라고 할 수 없음(그림1) (그림1) 방화벽 정책만을 이용한 전산센터 단말기의 망분리 ● 망분리를 완료한 시스템과 망분리를 적용하지 않은 시스템이 같은 내부망에 있는 경우, 망분리가 되지 않은 단말기를 통해 내부망에 악성코드 유입 등이 발생할 수 있으므로, 전산실 내에 위치한 정보처리시스템(서버)은 인터넷 등 외부통신망으로부터 물리적으로 분리할 것(제1항제5호) 망분리 미적용 단말기를 통해 망분리를 적용한 시스템과 망분리를 적용하지 않은 시스템 사이는 방화벽 등의 네트워크 장비로 차단필요(그림2) (그림2) 전산센터 단말기의 물리적 망분리 구성 예시 ● 외부기관과 내부통신망 연결시 유의사항(제3호, 제5호) 업무 특성상 내부통신망과 외부통신망의 연결이 불가피한 경우 침입차단시스템 등 정보보호시스템의 통제에 의해 필요한 서비스포트의 접근만 허용하고 그 외의 서비스는 차단하여 외부통신망에서 내부통신망으로 인가되지 않은 접근을 통제 외부통신망 연결에 따른 보안취약성 해소를 위하여 접속 로그를 주기적으로 분석하고 수시로 보안도구를 이용한 정보통신망의 취약성을 점검   < 전산센터 망분리 예외(시행세칙 제2조의2제2항) > 시행세칙 제2조의2 (망분리 적용 예외) ② 규정 제15조제1항제5호에서 금융감독원장이 인정하는 경우란 다음 각 호와 같다. 「금융회사의 정보처리 업무 위탁에 관한 규정」에 따라 정보처리 업무를 국외 소재 전산센터에 위탁하여 처리하는 경우(다만, 해당 국외 소재 전산센터에 대해서는 물리적 방식 외의 방법으로 망을 분리하여야 하며, 이 경우에도 국내 소재 전산센터 및 정보처리시스템 등은 물리적으로 망을 분리하여야 한다) 업무상 외부통신망과 연결이 불가피한 다음의 정보처리시스템(다만, 필요한 서비스번호(port)에 한하여 연결할 수 있다) 가. 전자금융업무의 처리를 위하여 특정 외부기관과 데이터를 송수신하는 정보처리시스템 나. DMZ구간 내 정보처리시스템과 실시간으로 데이터를 송수신하는 내부통신망의 정보처리시스템 다. 다른 계열사(「금융회사의 정보처리 업무 위탁에 관한 규정」 제2조 제3항의 "계열사"를 말한다)와 공동으로 사용하는 정보처리시스템 규정 제23조의 비상대책에 따라 원격 접속이 필요한 경우 전산실 내에 위치한 정보처리시스템의 운영, 개발, 보안 목적으로 직접 접속하는 단말기와 외부통신망과의 연결 구간, 규정 제15조제1항제3호의 내부 업무용 시스템과의 연결 구간을 각각 차단한 경우 ● 정보처리 업무를 국외 소재 전산센터에 위탁하여 처리하는 경우, 국외소재 전산센터는 논리적 망분리 가능(세칙 제2조의2제2항제1호) ● 업무상 불가피한 경우 내부망의 서버에서 특정 외부기관(참고1)과 연결가능(세칙 제2조의2제2항제2호가목) (참고1) 특정 외부기관의 범위 행정자치부, 금융협회, 금융결제원, 예탁결제원, 코스콤, 금융보안원, 공인인증기관 등의 정부 또는 금융 유관기관 그 외 업무상 연결이 필요한 전자금융보조업자 ※ 시행세칙 제2조의2의 취지는 망분리로 인한 업무의 비효율을 완화하고자 일부 필수적인 외부기관과의 연결을 허용하는 것으로, 불특정 다수가 접속하는 인터넷 포탈 등은 제한 ● DMZ 내 인터넷 뱅킹 등 공개서버(Web 서버)와 내부서버(WAS) 연결 가능(세칙 제2조의2제2항제2호나목) ● 다른 계열사와 공동으로 사용하는 인트라넷, 이메일 시스템, 회계시스템과 내부 서버는 연결 가능(세칙 제2조의2제2항제2호다목) ● 비상시 제한적으로 외부망에서 내부망으로 원격 접속 가능(세칙 제2조의2제2항제3호) 금융회사는 대체인력 확보 곤란 등 업무상 불가피한 경우에 한해 ‘필수 인력’에 대해서 재택근무를 실시할 수 있는 바, ➊ 필수 인력의 범위는 금융회사가 기존에 수립한 자체 비상대책 및 대응 절차에 따라 판단·적용할 수 있으므로 향후 상황 변화에 따라 유연한 대응이 가능 ➋ 외부 원격 접속을 통한 재택근무시 내부통제절차를 거쳐 가상사설망(VPN)* 활용 등 보안대책을 적용토록 함으로써 해킹·정보유출 등의 위험은 방지 * Virtual private network : 암호화 통신 등으로 인터넷 망을 전용선과 유사하게 활용 (그림3) 원격접속을 통한 금융회사의 재택근무 환경 및 보안 조치 사항 다만, 중요단말기의 경우 정보유출 위험에 더욱 유의하여 강화된 보안정책*을 적용하여 운영 * 재택근무 직원 및 단말기 사전승인, 재택근무 단말기는 회사 단말기와 동일한 보안통제 적용, 원격접속시 통신 암호화 및 이중인증 적용, 원격접속 및 자료 반출입 이상징후 모니터링 강화 등 또한, 기 수립된 비상대책* 절차 및 「전자금융감독규정시행세칙」 제2조의2제3항에 따른 망분리 대체통제** 및 그 외 관계 법규를 모두 준수하고 비상상황 종료시 원격접속을 즉시 차단 * 긴급한 상황이 발생하더라도 업무가 중단되지 않도록 비상대책 등을 수립·준수해야 함(「전자금융감독규정」 제23조) ** 자체 위험성 평가를 실시한 후 망분리 대체 정보보호통제를 적용하고 정보보호위원회 승인을 받아야 함 ● 전산센터 단말기와 외부통신망 및 내부 업무용시스템과의 연결 구간을 각각 차단한 경우 등 예외 사유에 해당할 경우 관련 규정에 따라 물리적으로 분리하지 않을 수 있음(세칙 제2조의2제2항제4호) 전산센터 단말기를 내･외부망과의 연결구간이 각각 차단된 VDI로 구성하고, 내부망과 차단된 단말기로 위 VDI에 접속하더라도 내･외부망과는 여전히 차단되어 망분리 예외규정에 해당함

   < 망분리 예외 적용 절차(시행세칙 제2조의2제3항) > 시행세칙 제2조의2 (망분리 적용 예외) ③ 제1항 및 제2항의 규정은 금융회사 또는 전자금융업자가 자체 위험성 평가를 실시한 후 <별표 7>에서 정한 망분리 대체 정보보호통제를 적용하고 정보보호위원회가 승인한 경우에 한하여 적용한다.   ● 세칙 제2조의2제1항 또는 제2항에 의하여 전산센터 및 본점 영업점 망분리 예외를 적용하는 경우 ①자체위험성 평가를 실시하고 ②세칙 <별표7>에서 정한 망분리 대체 정보보호 통제를 적용하고 ③정보보호위원회 승인 후 적용(세칙 제2조의2제3항) ● 규정 제15조제1항제5호의 물리적 망분리 적용 대상자는 해당되지 않고 세칙 제2조의2제2항제3호에 따라 전산실내 정보처리시스템에 대한 원격접속은 장애 등 비상상황에서만 가능하여, 재택근무나 유지보수 목적으로 정보처리시스템이나 중요 단말기는 원격접속이 허용되지 않음(다만, 중요 단말기는 처리 업무의 종류 및 데이터의 중요도 등 회사 자체 기준에 따라 지정할 수 있음)   <별표 7> 망분리 대체 정보보호통제 구분 통제 사항 공통 ◦ 외부망에서 내부망으로 전송되는 전산자료를 대상으로 악성코드 감염여부 진단·치료 ◦ 지능형 해킹(APT)차단 대책 수립·적용 ◦ 전산자료 외부전송 시 정보유출 탐지·차단·사후 모니터링 메일 시스템 ◦ 본문과 첨부파일 포함하여 메일을 통한 악성코드 감염 예방 대책 수립·적용 ◦ 메일을 통한 정보유출 탐지·차단·사후 모니터링 대책 수립·적용 업무용 단말기 ◦ 사용자의 관리자 권한 제거 ◦ 승인된 프로그램만 설치·실행토록 대책 수립·적용 ◦ 전산자료 저장 시 암호화 원격접속 외부 단말기 공통 ◦ 백신 프로그램 설치, 실시간 업데이트 및 검사 수행 ◦ 안전한 운영체제 사용 및 최신 보안패치 적용 ◦ 로그인 비밀번호 및 화면 보호기 설정 ◦ 화면 및 출력물 등으로 인한 정보유출 방지대책 적용 　 (마스킹 처리, 워터마크 적용 등 기타 방법으로 가능함) 간접접속 ◦ 외부 단말기와 업무용 단말기의 파일 송·수신 차단 직접접속 ◦ 인가되지 않은 S/W 설치 차단 ◦ 보안 설정 임의 변경 차단 ◦ USB 등 외부 저장장치 읽기/쓰기 차단 ◦ 전산자료 (파일, 문서) 암호화 저장 ◦ 단말기 분실 시 정보 유출 방지 대책적용 　 (하드디스크 암호화, CMOS비밀번호 적용 등) 내부망 접근통제 ◦ 업무상 필수적인 IP, Port에 한하여 연결 허용 ◦ 원격접속 기록 및 저장(예: 접속자 ID, 접속일자, 접속 시스템 등) 인증 ◦ 이중 인증 적용(예: ID/PW + OTP) ◦ 일정 횟수(예: 5회) 이상 인증 실패 시 접속 차단 통신회선 ◦ 안전한 알고리즘으로 네트워크 구간 암호화 ◦ 내부망 접속시 인터넷 연결 차단 　 (단, 직접 내부망으로 접속하는 외부 단말기는 인터넷 연결 상시 차단) ◦ 원격접속 후 일정 유휴시간 경과 시 네트워크 연결 차단 기타 ◦ 원격접속자에 대한 보안서약서 징구 ◦ 공공장소에서 원격 접속 금지

   ※ 직접 접속 방식과 간접 접속 방식 □ 직접 접속 방식 : 외부 단말기가 가상사설망을 통해 내부망의 노드(Node)로 직접 연결 ◦ 외부 단말기는 회사가 보안 프로그램 설치, 보안 항목을 설정하여 직접 지급하여야 하며 인터넷 연결을 항상 차단하여야 함 □ 간접 접속 방식 : 외부 단말기가 업무용 단말기를 경유하여 내부망에 접속하는 것으로 외부 단말기는 업무용 단말기의 입력 및 화면 출력만 처리하고 업무용 단말기와 파일 송수신이 차단되어야 하며, 내부망 연결시 인터넷 연결을 차단하여야 함 ☞ ❹방식은 ❶~❸ 방식보다 보안상 취약할 수 있으므로 원격접속 프로그램에 대한 보안성 점검, 기본 접속 포트 변경, 업무용 단말기의 미인가 조작을 차단하는 등 보안통제를 철저히 할 필요

② 제1항제1호의 규정에 따른 정보보호시스템을 설치･운영하는 경우에는 다음 각 호의 사항을 준수하여야 한다.

1. 삭제
2. 최소한의 서비스번호(port)와 기능만을 적용하고 업무목적 이외의 기능 및 프로그램을 제거할 것
3. 보안정책의 승인･적용 및 보안정책의 등록, 변경 및 삭제에 대한 이력을 기록･보관할 것
4. 정보보호시스템의 원격관리를 금지하고 주기적으로 작동 상태를 점검할 것
5. 시스템 장애, 가동중지 등 긴급사태에 대비하여 백업 및 복구 절차 등을 수립･시행할 것

● 침입차단시스템(Firewall) 등 정보보호시스템 설치장소는 비인가자 출입통제 등 보안관리를 철저히 하고 다음 사항 준수 및 점검(제2항) 업무목적상 필요한 최소한의 서비스번호(port)와 기능만을 적용하고 업무목적 이외의 기능 및 프로그램을 제거 보안정책의 임의변경 금지(변경 통제절차 준용) 정보보호시스템의 원격관리를 금지하고 주기적으로 작동상태 점검 일반사용자계정 또는 제조사 설정 비밀번호 존재 여부 환경설정에 관련된 파일의 접근허용모드 정당 설정 여부 관리자 권한을 도용할 수 있는 프로그램 변경 및 은닉 여부 비인가자의 침입여부를 확인하기 위한 시스템 접근기록 등

③ 제1항 각 호의 정보보호시스템에 대하여 책임자를 지정･운영하여야 하며, 운영결과는 1년 이상 보존하여야 한다.

④ 금융회사 또는 전자금융업자는 해킹 등 전자적 침해행위로 인한 피해 발생시 즉시 대처할 수 있도록 적절한 대책을 마련하여야 한다.

● 규정 제23조의 비상대책 등 수립 시 해킹 및 사이버테러 발생에 즉시 대처 가능한 대응체계 및 비상연락망 등을 포함해야 하며, 정보처리시스템의 해킹 및 취약점에 대한 정기 진단 및 분석을 실시하고 분석결과 문제점에 대한 보완대책을 수립･시행하여 해킹 및 취약점에 의한 피해가 발생하지 않도록 조치(제4항)

⑤ 삭제

⑥ 금융회사 또는 전자금융업자는 무선통신망을 설치･운용할 때에는 다음 각 호의 사항을 준수하여야 한다.

1. 무선통신망 이용 업무는 최소한으로 국한하고 법 제21조의2에 따른 정보보호최고책임자의 승인을 받아 사전에 지정할 것
2. 무선통신망을 통한 불법 접속을 방지하기 위한 사용자인증, 암호화 등 보안대책을 수립할 것
3. 금융회사 내부망에 연결된 정보처리시스템이 지정된 업무 용도와 사용 지역(zone) 이외의 무선통신망에 접속하는 것을 차단하기 위한 차단시스템을 구축하고 실시간 모니터링체계를 운영할 것
4. 비인가 무선접속장비(Access Point : AP) 설치･접속여부, 중요 정보 노출여부를 주기적으로 점검할 것

● 무선통신망 설치 및 운용시 준수사항(제6항) 업무는 AP의 기능 단위가 아닌 분장 단위를 의미(청약업무, 민원처리 업무, 상담업무 등) 비인가자에 의한 무선AP 접근을 방지하기 위하여 무선AP의 SSID 브로드캐스팅을 금지하고 숨김 기능을 적용하여 비인가자에게 무선AP가 노출되지 않도록 하며, 사용자 인증 강화를 위하여 사용자 ID/패스워드 이외에 단말기 MAC주소 인증 등을 추가한 인증방식을 적용 내부의 비인가 무선AP 설치 및 접속여부를 주기적으로 점검하고 통제하여 악의적인 의도로 설치된 비인가AP에 의한 중요정보 유출 방지 무선통신은 특성상 데이터가 실린 전파신호의 도청이 가능하여 무선통신망에서 데이터 암호화가 매우 중요하므로 보안이 취약한 WEP(Wired Equivalency Protocol) 방식보다는 WPA(Wi-Fi Protected Access)/WPA2방식 적용을 권장