전자금융거래법고시전자금융감독규정 2 절 ~6 절 < 전자금융거래의안전성확보 & 이용자보호규정 > 의 4 대의의 의의의의 1 가장기술중심적인법으로금융플랫폼혁신의중심이되는법 2 가장구체적으로 CEO 의무, 조직, 예산을규정 핀테크, 인터넷은행, 비트코인, 월렛, 간편결제,

Size: px

Start display at page:

Download "전자금융거래법고시전자금융감독규정 2 절 ~6 절 < 전자금융거래의안전성확보 & 이용자보호규정 > 의 4 대의의 의의의의 1 가장기술중심적인법으로금융플랫폼혁신의중심이되는법 2 가장구체적으로 CEO 의무, 조직, 예산을규정 핀테크, 인터넷은행, 비트코인, 월렛, 간편결제,"

상태 부
5 years ago
Views:

Privacy Report 2018.01 전자금융거래법고시전자금융감독규정 2 절 ~6 절 < 전자금융거래의안전성확보 & 이용자보호규정 >1 2016.10 월개정시행전자금융감독규정원문보기 2017.

1 Privacy Report 전자금융거래법고시전자금융감독규정 2 절 ~6 절 < 전자금융거래의안전성확보 & 이용자보호규정 > 월개정시행전자금융감독규정원문보기 월발간전자금융감독규정해설서원문보기 적용대상 < 금융회사 > < 전자금융업자 > 의모든 < 전자금융거래 > < 전자금융거래 > < 금융회사 > or < 전자금융업자 > 가전자적장치로금융상품제공 & 이용자가 < 금융회사 > or < 전자금융업자 > 종사자와대면 or 의사소통없이자동화거래 < 전산자료 > 중중요정보는개인정보 ( 특히고유식별정보, 개인신용정보 ) 전자금융거래에사용하는모든데이터 < 전산자료 > 금융회사 전자금융업자 핀테크, 비트코인등금융플랫폼이혁신되면서범위확대중 ( 법적인정의 ) 전자화폐, 전자자금이체, 직불전자지급수단, 선불전자지급수단전자지급결제대행업자등 전자금융보조업자 ( 전자금융거래의수탁자 ) ( 동일한안전조치기준적용 ) 전자금융거래와관련하여전자금융보조업자의고의나과실은금융회사 or 전자금융업자의고의나과실로본다. 전체구성 출처 ) 전자금융감독규정해설서 18page 2 절. 인력조직예산 (8) 인력 & 조직운용 (5) 인력 & 예산 (2) 인력 & 예산규정미이행시공시규정 (1) 3 절. 시설 (25) 건물 (6) 전원공조등설비 (7) 전산실 (12) 개인정보중심규정 4 절. IT 부문 (69) 단말기보호 (4) 전산자료보호대책 (20) < 정보처리시스템 > 보호대책 (10) 비중요 < 정보처리시스템 > 보호대책 (5) 해킹등방지대책 (11) 악성코드감염방지대책 (4) 공개용웹서버관리대책 (10) IP 주소관리대책 (5) 5 절. IT 부문내부통제 (72) 계획서 (2) 교육 (3) 계약 (9) 감리 (4) 비상대책 (10) 비상대응훈련 (3) 성능관리 (1) 직무분리 (8) 전산원장통제 (5) 거래통제 (2) 프로그램통제 (10) 일괄작업에대한통제 (5) 암호프로그램 & 키관리통제 (2) 내부사용자 PW 관리 (3) 이용자 PW 관리 (5) 6 절. 전자금융업무 (18) 전자금융거래 (5) 이용자주의사항공지 (4) 자체보안성심의 (8) 인증방법사용기준 (1)

2 전자금융거래법고시전자금융감독규정 2 절 ~6 절 < 전자금융거래의안전성확보 & 이용자보호규정 > 의 4 대의의 의의의의 1 가장기술중심적인법으로금융플랫폼혁신의중심이되는법 2 가장구체적으로 CEO 의무, 조직, 예산을규정 핀테크, 인터넷은행, 비트코인, 월렛, 간편결제, 크라우드펀딩등금융플랫폼이혁신되면서전자금융거래의범위가확대 <CEO 의무 > 임직원의보안법규위반시제재기준 & 절차를마련, 운영정보보호위원회의심의 의결사항을준수 < 조직 > IT 인력은총임직원수의 100 분의 5 이상, 정보보호인력은 IT 인력의 100 분의 5 이상 < 예산 > 정보보호예산은 IT 부문예산 100 분의 7 이상 출처 ) 전자금융감독규정해설서 10page 의의3 세계금융의메카뉴욕의금융규정 <NYCRR500> 보다 10 년을선도 시행전자금융거래법 시행 NYCRR500 금융기관 & 전자금융업자 & 수탁자적용대상뉴욕주모든금융기관 & 제 3 자제공자 전자금융거래에사용되는데이터및데이터가포함된정보시스템 보호대상 금융거래에사용되는데이터및데이터가포함된정보시스템 개인정보를포함한 < 전산자료 > 로광범위보호데이터개인정보를포함한 < 비공개정보 > 로광범위 금감원, 금융위의감사사전규제 < 보안준수확인서 > 를뉴욕금융감독기관에제출 의의 4 개인정보측면에서라이프사이클에따른 < 현황파악 > < 접근통제 & 접속기록관리 > < 유출통제 > 를가장중시한법 개인정보중심규정 제 4 절. IT 부문 (69) 단말기보호 (4) 전산자료보호대책 (20) < 정보처리시스템 > 보호대책 (10) 비중요 < 정보처리시스템 > 보호대책 (5) 해킹등방지대책 (11) 악성코드감염방지대책 (4) 공개용웹서버관리대책 (10) IP 주소관리대책 (5) 데이터 전자금융감독규정의데이터 < 전산자료 > 보호대책 (20) 정의 ) 전산장비에의해입력 보관 출력된자료, 자료가입 출력된 < 매체 > 를포함 데이터가포함된정보시스템 < 정보처리시스템 > 보호대책 (10) 단말기보호규정 (4) 해킹등방지대책 (11) 악성코드감염방지대책 (4) 공개용웹서버관리대책 (10) < 비중요정보처리시스템 > 보호대책 (5) IP 주소관리대책 (5)

3 가장개인정보와밀접한규정 1 페이지로보는 4 절 IT 부문 of < 전자금융거래의안전성확보 & 이용자보호규정 > 핵심은라이프사이클에따른데이터 < 현황파악 > < 접근통제 & 접속기록관리 > < 유출통제 > 현황파악 접근통제 & 접속기록관리 유출통제 전산자료 < 전산자료 > 보유현황관리 & 책임자지정 운영 중요도에따라 < 전산자료 > 정기백업 < 전산자료 > 입력 출력 열람시접근권한통제 외부자에게 ID 부여시최소권한할당 & 통제장치 ID,PW 개인별부여, < 전산자료 > 등록 변경 폐기를체계적관리 < 전산자료 > & 전산장비의반출 반입을통제 DB, 서버단 엔드포인트 유출경로 ( 네트워크, 매체, 출력물 ) 현황파악 전산자료가 < 정보처리시스템 > < 정보자산중요도평가기준 > 수립 < 중요정보처리시스템 > 지정 ( 고유식별정보와개인신용정보가있는경우 < 중요정보처리시스템 > 임 ) < 중요정보처리시스템 > 내역은정보보호위원회심의를거쳐금감원에제출 < 단말기 > < 공개용웹서버 > < 중요단말기 > 지정, 보호대책강화 단말기에이용자정보등주요정보보관금지 ( 불가피할경우보관사유, 기간 &PW 등을책임자승인 ) DMZ 구간내에이용자정보등주요정보저장 & 관리금지 ( 거래로그관리목적시예외로하되반드시암호화저장 ) 포함된 정보시스템 접근통제 & 접속기록관리 < 정보처리시스템 > < 단말기 > < 유해사이트 > < 정보처리시스템 > 가동기록은 1 년이상보존, 접속성공여부와상관없이다음자동기록 유지 1. < 정보처리시스템 > 접속일시, 접속자 & 접근을확인할수있는접근기록 2. < 전산자료 > 사용일시, 사용자 & 자료의내용을확인할수있는접근기록 3. < 정보처리시스템 > 내 < 전산자료 > 처리내용을확인할수있는로그인, 액세스로그등접근기록 (5 회내에서 ) 규정이상의접속오류시 < 정보처리시스템 > 접속제한 이용자중요원장에직접접근 / 조회 / 수정 / 삭제 / 삽입시작업자 & 작업내용을 5 년보존 단말기를통한이용자정보조회시다음을 < 정보처리시스템 > 에자동기록 & 1 년이상보존 사용자, 사용일시, 변경 조회내용, 접속방법 단말기에서음란, 도박등비업무프로그램 or 인터넷접근에대한통제대책마련 내부 외부 IP 의인터넷접속내용을 1 년이상별도로기록 보관 유출통제 ( 출력물매체 ) 단말기에서 < 매체 > & 휴대용전산장비접근을통제 ( 유출, 악성코드방지목적 ) < 전산자료 > 출력시접근권한통제 망분리예외상황시단말기와네트워크보안을강화해야함 단말기보안강화메일보안강화외부망보안강화원격접속통제 망분리대체 단말기 < 전산자료 > 암호화저장 PC 사용자의관리자권한제거, 승인된프로그램만설치 / 실행토록대책수립 메일을통한 < 전산자료 > 외부전송시정보유출탐지 / 차단 / 사후모니터링수립 본문과첨부파일포함하여메일을통한악성코드감염예방대책 외부망을통한 < 전산자료 > 외부전송시정보유출탐지 / 차단 / 사후모니터링수립 지능형해킹 (APT) 차단대책수립 원격접속시 모든작업내역기록매일이상여부점검책임자가확인실행

4 Privacy Report 전자금융거래법고시전자금융감독규정 2 절 ~6 절 < 전자금융거래의안전성확보 & 이용자보호규정 > 월개정시행전자금융감독규정원문보기 월발간전자금융감독규정해설서원문보기 전체구성 제 2 절. 인력조직예산 (8) 인력 & 조직운용 (5) 인력 & 예산 (2) 인력 & 예산규정미이행시공시규정 (1) 제 3 절. 시설 (25) 건물 (6) 전원공조등설비 (7) 전산실 (12) 개인정보중심규정 제 4 절. IT 부문 (69) 단말기보호 (4) 전산자료보호대책 (20) < 정보처리시스템 > 보호대책 (10) 비중요 < 정보처리시스템 > 보호대책 (5) 해킹등방지대책 (11) 악성코드감염방지대책 (4) 공개용웹서버관리대책 (10) IP 주소관리대책 (5) 제 5 절. IT 부문내부통제 (72) 계획서 (2) 교육 (3) 계약 (9) 감리 (4) 비상대책 (10) 비상대응훈련 (3) 성능관리 (1) 직무분리 (8) 전산원장통제 (5) 거래통제 (2) 프로그램통제 (10) 일괄작업에대한통제 (5) 암호프로그램 & 키관리통제 (2) 내부사용자 PW 관리 (3) 이용자 PW 관리 (5) 제 6 절. 전자금융업무 (18) 전자금융거래 (5) 이용자주의사항공지 (4) 자체보안성심의 (8) 인증방법사용기준 (1) 4 절 IT 부문 조전자금융감독규정내용전자금융감독규정해설서내용 12 조 단말기보호대책 1. 업무담당자이외사람이단말기를무단으로조작하지못하도록조치 2. < 정보처리시스템 > 접속단말기에대해정당한사용자여부를확인할수있는기록유지 3. < 강화된보호대책 > 이적용되는 < 중요단말기 > 지정 4. 단말기에서 < 매체 > & 휴대용전산장비접근을통제 ( 유출, 악성코드방지목적 ) 단말기접근통제 로그인 PW 설정 일정시간사용중지시화면보호기능설정 & PW 재입력, 취급자지정 < 정보처리시스템 > 사용자의정당성확인을위해사용자인가정보조회가가능하도록조치 기술적보호조치 Privacy-i DB-i < 중요단말기 > : < 정보처리시스템 > or DB 에직접접근가능한단말기 Privacy-i < 강화된보호대책 > : 외부반출금지, 인터넷접속금지, 그룹웨어접속금지 외주개발직원의단말기에도동일수준의접속통제를적용 용도에따라 USB 쓰기 / 읽기기능차단 USB 사용시책임자의사전승인 보안정책에따른 USB 관리기록 망분리 WebKeeper Privacy-i (Media Control)

5 제 4 절 IT 부문 조전자금융감독규정내용전자금융감독규정해설서내용 13 조 전산자료보호대책 1 전산자료의 유실파괴 방지 1. ID, PW 를개인별로부여, 등록 변경 폐기를체계적관리 2. 외부사용자 ID 부여시최소권한할당 & 적절한통제장치 3. < 전산자료 > 보유현황관리책임자지정 운영 4. < 전산자료 > 의입력 출력 열람시사용자업무별로접근권한을통제 5. < 전산자료 > & 전산장비의반출 반입을통제 6. 비상대비, < 전산자료 > 안전지출 & 긴급파기계획수립 운용 7. 정기적으로 < 매체 > 보유현황 & 관리실태를점검하고책임자확인 8. 중요도에따라 < 전산자료 > 를정기백업, 원격안전지역에소산, 백업내역을기록 관리 9. 주요백업 < 전산자료 > 정기검증 10. 이용자정보조회출력통제 테스트시이용자정보사용금지 사용이불가피한경우 ( 부하테스트등 ) 변환사용 & 테스트종료시즉시삭제 퇴직, 계약종료시사용자계정삭제삭제가불가능할시 PW & 실사용자이름변경 모든계정은실사용자가확인될수있도록등록관리, 변경내용세부내역을기록관리 계약종료시해당시스템접속이차단되도록통제장치마련 고객정보 & 금융거래정보에대한조회는업무상관련성이없는경우에는엄격히제한 반출입사항을기록관리 - 권한구분 ( 읽기쓰기변경삭제등 ) 권한에따라접근자료한정 < 중요자료 > 변경삭제권한은최소한부여 반출된 < 전산자료 > 는목적외사용이되지않도록함 반출된 < 전산자료 > 는사용완료후즉시회수 or 파기조치 노트북 or PC 반출시, < 중요자료 > 수록여부확인 외부반입 PC or 보조기억장치내에악성코드, 해킹프로그램수록여부확인 < 매체 > 는보유현황, 사용자, 사용용도등파악을위해관리대장으로관리 < 매체 > 파기는매체에수록된정보의복구가불가능하도록완전파기조치함 ( 전산센터시스템의 ) 데이터 & 프로그램이완전파괴된경우에도시스템정상복구가가능한수준으로백업 & 관리 백업자료 ( 매체 ) 는식별이용이하도록보유현황관리 전산센터로부터원격지에보관 법을고려하여소산대상 & 보존기간결정프로그램 & 시스템프로그램과관련문서 ( 매뉴얼, 설계서 ) 포함 소산장소는환경유지 & 정기점검및접근통제필요 주요백업 < 전산자료 > 는비상사태발생시복구를위해사용될수있도록 < 전산자료 > 의무결성등을정기적으로점검 고객인적사항, 금융거래정보등이용자정보가포함된조회나출력시이용자가노출되지않도록이용자식별정보를통제 ( 마스킹등 ) - 법인인이용자정보는테스트목적, 기간, 정보항목등을사전고지후동의얻어사용가능 기술적보호조치 DB-i WAS-i App-i Privacy-i Server-i Privacy-i Privacy-i Server-i DB-i

제 4 절 IT 부문 조전자금융감독규정내용전자금융감독규정해설서내용 기술적보호조치 13 조 전산자료보호대책 1 전산자료의 유실파괴 방지 11. < 정보처리시스템 > 가동기록 1 년이상보존 12. 5 회내범위에서횟수이상의접속오류발생시 < 정보처리시스템 > 접속제한 13.

6 제 4 절 IT 부문 조전자금융감독규정내용전자금융감독규정해설서내용 기술적보호조치 13 조 전산자료보호대책 1 전산자료의 유실파괴 방지 11. < 정보처리시스템 > 가동기록 1 년이상보존 회내범위에서횟수이상의접속오류발생시 < 정보처리시스템 > 접속제한 13. 단말기에이용자정보등주요정보보관금지 ( 불가피할경우보관사유, 기간, 관리 PW 등을정하여책임자승인을거쳐보관 ). 단말기공유금지 출처 ) 전자금융감독규정해설서 18page 14. 전출 퇴직등인사조치시지체없이계정삭제, 사용중지, 공동계정변경 < 정보처리시스템 > 접속에실패한접근시도기록유지 5 회이내반복발생시시스템사용을제한하고중점점검 이용자정보가없는단말기도이용자정보보다넓은개념인 < 전산자료 > 보호를위해공유금지 이전계정 & 권한으로 < 정보처리시스템 > 에접속할수없도록통제 DB-i WAS-i App-i 2 ID 공동사용이불가피할경우개인별사용내역을기록 관리 3 단말기를통한이용자정보조회시사용자, 사용일시, 변경 조회내용, 접속방법을 < 정보처리시스템 > 에자동기록 & 1 년이상보존 4 < 정보처리시스템 > 가동기록시접속성공과상관없이다음을자동기록 5 < 정보처리시스템 > 관리자대상적절한통제장치마련 / 운용 ( 책임자가이중확인 & 모니터링 ) 공동사용계정 ( 예 : UNIX 의 root) 은추후에추적 & 확인할수있도록사용자 IP, 접근시간등개인별사용내역을기록유지 추후에추적 & 확인이가능해야함 1. < 정보처리시스템 > 접근기록 : 접속일시, 접속자및접근을확인할수있는접근기록 2. 전산자료접근기록 : 전산자료를사용한일시, 사용자및전산자료의내용을확인할수있는접근기록 3. < 정보처리시스템 > 내전산자료의처리내용을확인할수있는접근기록 : 사용자로그인, 액세스로그등 < 정보처리시스템 > 관리자가전산원장, 이용자정보등주요정보가저장된 < 정보처리시스템 > 에대한중요작업수행시책임자가이중확인 & 작업수행내역정기적모니터링

7 제 4 절 IT 부문 조전자금융감독규정내용전자금융감독규정해설서내용 14 조 정보처리시스템보호대책 1. 운영매뉴얼작성 ( 구동, 조작방법, 명령어사용법, 운용순서, 장애조치 & 연락처등 ) 2. 유지보수정기실시 (DBMS OS 웹프로그램등주요프로그램대상 ) < 유지보수관리대장 > 작성 보관 ( 작업일, 작업내용, 작업결과등기록 ) 3. < 장애상황기록부 > 작성 보관 ( 장애일시, 장애내용 & 조치사항등 ) 4. < 정보처리시스템 > 정상작동여부확인을위한모니터링시스템구축 ( 자원상태의감시, 경고 & 제어 ) 5. 시스템통합, 전환 & 재개발통제절차준수 6. < 정보처리시스템 > 책임자지정 운영 7. 긴급 & 중요패치사항 ( 운영체계, 시스템유틸리티등 ) 은즉시패치실행 8. OS & 설정내용등을정기백업, 원격안전지역에소산, 백업자료는 1 년이상기록 관리 < 정보처리시스템 > & 주요프로그램에대한운영매뉴얼을지정장소 ( 전산실 & 재해복구센터 ) 에보관 & 관리 < 정보처리시스템 > & 프로그램등주요프로그램변경시최신상태유지 < 정보처리시스템 > & 주요프로그램 (DBMS, 운영체체, Web & WAS 서버등 ) 은장애예방을위해정기적으로유지보수 외부업체가유지보수시중요정보가유출되지않도록주의하고유지보수내용을기록한유지보수관리대장을작성보관 < 정보처리시스템 > 의장애예방을위해시스템의모든장애발생은장애상황기록부에기록관리 시스템의정상작동여부확인이가능하도록시스템의자원상태를감시하고, 장애등이상징후발생시경고 & 제어가가능한모니터링시스템을구축 통합, 전환, 재개발시 < 정보처리시스템 > 운영에지장을초래하지않도록사전검증을실시하는등통제절차를마련하여운영 < 정보처리시스템 > 책임자는해당 < 정보처리시스템 > 에문제가발생하지않도록운영, 유지보수, 보안관리등의시스템관리업무총괄 < 정보처리시스템 > 책임자는주요 SW 에대한 patch 발표여부를주기적으로확인 발표시테스트시스템에우선적용 운영에지장을초래하지않을경우즉시실운영시스템에적용 비상시신속하게정상복구가가능하도록 < 정보처리시스템 > 의 OS & 설정내용등을정기적으로백업, 원격안전지역에소산, 백업자료는정기적검증을실시하며 1 년이상보관 기술적보호조치 14 조의 2 비중요정보처리시스템지정 9. OS 계정으로로그인시계정 & PW 이외에별도의추가인증시행 10. OS 계정사용권한, 접근기록, 작업내역상시모니터링체계수립. 이상징후발생시통제조치즉시시행 1 < 정보자산중요도평가기준 > 자체수립후 < 비중요정보처리시스템 > 지정 < 정보처리시스템 > 의 OS 계정에대한보안강화를위하여로그인시계정 & 비밀번호이외의별도안전한추가인증절차를반드시시행하고, OS 계정의작업수행에대한이상징후발생시필요한통제조치가즉시시행될수있도록모니터링체계수립 < 비중요정보처리시스템 > 으로지정가능한경우 클라우드컴퓨팅등을이용하기위하여고유식별정보 & 개인신용정보를제외한정보를처리하는시스템 고유식별정보와개인신용정보를비식별화조치한경우 < 비중요정보처리시스템 > 지정시적용되지않는규정 ( 제 11 조제 11 호 & 제 12 호, 제 15 조제 1 항제 5 호 ) & 전자금융감독규정시행세칙제 2 조의 2( 망분리예외적용시 ) 등을모두준수할경우비중요 < 정보처리시스템 > 의지정없이클라우드컴퓨팅서비스이용이가능 2 < 비중요정보처리시스템 > 지정시 ( 제 8 조의 2 에따라 ) < 정보보호위원회 > 의심의 의결을거침 3 < 비중요정보처리시스템 > 지정일로부터 7 일이내에 < 보고서 > ( 정보자산중요도평가기준, 지정결과, 관리방안등을포함 ) 를금감원에제출 4 금감원장은 < 보고서 > 검토결과, 적합하지않다고판단되는경우에는개선 보완을요구할수있다. Privacy-i Server-i 5 < 비중요정보처리시스템 > 만위치한전산실은전산실관련규정 (11 조 11 호 & 12 호, 15 조 1 항 5 호 ) 비적용 전산실 & 재해복구센터의국내설치 ( 제 11 조제 11 호 ), 무선통신망의설치금지 ( 제 11 조제 12 호 ) & 전산센터물리적망분리 ( 제 15 조제 1 항제 5 호 ) 규정의적용을받지않을수있음

8 제 4 절 IT 부문 조전자금융감독규정내용, 전자금융감독규정해설서내용 ( 이하 [ 해 ] ), 전자금융감독규정시행세칙내용 ( 이하 [ 시 ] ) 1. 해킹사고방지를위한 < 정보보호시스템 > 설치 & 운영 [ 해 ] 침입차단 & 탐지, 암호화프로그램등정보보호시스템을설치 & 운영대내외에서 < 정보처리시스템 > 접속시정보보호시스템을우회접속하지못하도록보안정책적용 기술적보호조치 2. 해킹대비 < 정보보호시스템 > 프로그램은긴급 & 중요패치에대하여즉시패치 [ 해 ] 시스템프로그램의보안취약점개선등긴급하고중요한사항은즉시보정작업실시 15 조 해킹등방지대책 1 < 정보처리시스템 > & 정보통신망해킹방지 2 < 정보보호시스템 > 설치운영시준수사항 망분리예외 1 본점, 영업점단말기 3. 내부통신망과연결된내부업무용시스템은외부망과분리 차단 [ 시 ] 2 조의 2 1 업무상특정외부기관과연결시포트를한정 [ 해 ] 내부통신망과연결된본점영업점 PC, 프린터등주변기기는물리적 or 논리적망분리업무상불가피한경우내부망의서버에서특정외부기관과의연결가능 4. 내부통신망파일배포기능은통합 & 최소화운영, 배포시무결성검증수행 망분리예외 2 중요단말기 5. 전산실내 < 정보처리시스템 > 과 < 정보처리시스템 > 에직접접속하는중요단말기는외부망과물리적분리 하단 < 중요단말기 > 망분리예외규정전자금융감독규정시행세칙 2 조의 2 참고 2. 최소한의 Port 와기능만을적용, 업무목적외기능 & 프로그램제거 3. < 보안정책승인, 적용, 등록, 변경, 삭제이력 > 을기록 보관 4. 원격관리금지. 불가피한경우전용회선 (VPN 포함 ) 사용, < 원격접속보안대책 > 수립 운영 5. < 정보보호시스템 > 작동상태를주기적점검 6. 시스템장애, 가동중지등긴급사태에대비하여 < 백업 & 복구절차 > 등을수립 시행 망분리대체정보보호통제 망분리대체정보보호통제 전자금융감독규정해설서내용 메일시스템보안외부망보안단말기보안원격접속통제 망분리대체정보보호통제 메일을통한 < 전산자료 > 외부전송시정보유출탐지, 차단, 사후모니터링대책수립본문과첨부파일포함하여메일을통한악성코드감염예방대책수립외부망을통해 < 전산자료 > 외부전송시정보유출탐지, 차단, 사후모니터링대책수립지능형해킹 (APT) 차단대책수립 PC 사용자의관리자권한제거 - 승인된프로그램만설치, 실행토록대책수립단말기전산자료암호화저장원격접속기준및절차가포함된보안정책수립불법원격접속을방지하기위한사용자인증, 암호화등의보안대책을수립원격접속은승인받은사전등록자에한하여허용하며원격접속관리기록부를기록보관원격에서접속하는외부단말기와내부업무용시스템구간의암호화통신원격접속사용자는 ID,PW 이외에추가인증수단을적용원격에서접속하는외부단말기의악성코드감염예방대책수립적용원격접속가능한내부업무용시스템의접근통제수립적용원격접속하여수행한모든작업내역기록하고매일이상여부점검실시및책임자가확인 < 중요단말기 > 망분리예외규정전자금융감독규정시행세칙 2 조의 2 기술적보호조치 Network DLP Network DLP Privacy-i WebKeeper WebKeeper 1. 정보처리업무를국외전산센터에위탁처리시, 국외소재전산센터는물리적망분리이외방법으로망분리가능 2. 업무상외부통신망과연결이불가피한다음의정보처리시스템 ( 필요한포트에한하여연결 ) 가. 전자금융업무의처리를위하여특정외부기관과데이터를송수신하는정보처리시스템 나. DMZ 구간내정보처리시스템과실시간으로데이터를송수신하는내부통신망의정보처리시스템 [ 해 ] DMZ 내인터넷뱅킹등공개서버 (Web 서버 ) 와내부서버 (WAS) 연결 다. 다른계열사와공동으로사용하는정보처리시스템 [ 해 ] 계열사와공동사용하는인트라넷, 이메일, 회계시스템과내부서버연결 3. 전자금융감독규정 23 조의비상대책에따라원격접속이필요한경우비상시제한적으로외부망에서내부망으로원격접속가능 4. 전산실내에위치한정보처리시스템의운영, 개발, 보안목적으로직접접속하는단말기와외부통신망과의연결구간 특정외부기관의범위 - 행정안전부, 금융협회, 금융결제원, 예탁결제원, 코스콤, 금융보안원, 공인인증기관등의정부또는금융유관기관 - 그외업무상연결이필요한전자금융보조업자

9 제 4 절 IT 부문 조전자금융감독규정내용전자금융감독규정해설서내용 기술적보호조치 16 조 악성코드감염방지대책 1 악성코드감염방지대책수립 운용 1. 응용프로그램사용시악성코드검색프로그램으로진단 & 치료후사용 2. 악성코드검색 & 치료프로그램은최신상테유지 3. 악성코드감염대비복구절차를마련 4. < 중요단말기 > 는감염여부매일점검 2 악성코드감염발견시확산및피해최소화를위하여필요한조치를신속하게취하여야한다 1. 내부통신망과분리, "DMZ 구간 " 에설치, 네트워크 & 웹접근제어실시 - 출처, 경로, 제작자가불명확한응용프로그램은진단후사용 - 필요시악성코드검색서버설치, 외부메일사전검색체계구축 - 단말기, 서버군의감염여부정기점검실시 & 기록보관 - 악성코드검색프로그램의정기적업데이트예약설정 - 실시간감시기능을이용하여 < 정보처리시스템 > 보호백신 WebKeeper - 악성코드감염신고연락체계구축 - 악성코드감염시스템의사용중지 or 내부망에서분리 - 악성코드검색 & 치료프로그램을이용하여악성코드치료 - 확산방지를위해사용자에게관련사실 & 보안조치즉시전달 - 감염재발방지를위해원인분석 & 예방조치수행 외부유해트래픽이웹서버를경유해서내부네트워크로침입이불가능하도록침입차단시스템구성 17 조 1 대책 2. 업무관련자만접속할수있도록제한, ID PW 이외에추가인증수단적용 3. 제공서비스를제외한다른서비스 & 시험 / 개발도구등의사용을제한 웹서버에반영하기위한프로그램변경, 수정, 테스트는반드시별도개발, 테스트서버에서실시 < 공개용웹서버 > 4. DMZ 구간내에이용자정보등주요정보저장 & 관리금지 ( 거래로그관리목적시예외로하되반드시암호화저장 ) 1. 게시자료에대한사전내부통제실시 업무종류, 내용등에대하여포괄적으로적용 게시자료의개인정보포함여부에대한내부통제절차실시 WAS-i Server-i 관리대책 2 게재내용 2. 무기명 or 가명에의한게시금지 3. 홈페이지자료게시담당자지정 운용 4. 개인정보유출 & 위 / 변조방지보안조치 책임관계명확화 자료게시는지정된담당자로제한 개인정보등중요정보가유출, 위변조되지않도록게시기간만료정보삭제 개인식별정보는마스킹하여게재, 화면위변조방지조치 Server-i 3 삭제 4 < 공개용웹서버 > 가해킹공격에노출되지않도록대응조치 주기점검, 대응조치마련하여비인가자접근 or 서버내고객정보유출 & 웹서버의비정상적인동작을야기하는공격에대응 5 단말기에서음란, 도박등비업무프로그램 or 인터넷접근에대한통제대책마련 직원들이단말기로음란, 도박등업무와관련이없는인터넷사이트에접근할경우동사이트를통하여스파이웨어, 바이러스등악성코드에감염되고내부통신망을통해조직내에전파될우려가있으므로불필요한사이트의접근통제대책을강구 WebKeeper

10 제 4 절 IT 부문 조전자금융감독규정내용전자금융감독규정해설서내용 1. 내부통신망은사설 IP 주소사용등으로보안강화, 내부 IP 주소체계의외부유출금지 사설주소체계를사용하고, 공인 IP 를제외하여구성. 외부접속시 NAT 기능으로사설주소체계를공인주소로변환 기술적보호조치 2. 개인별로내부 IP 주소를부여하여유지 관리 반드시개인별로부여, 가능한고정 IP 를부여. 업무담당자가개인별로 IP 를부여하고개인별 IP 부여 & 변경현황을기록관리할경우 DHCP 방식도가능 18 조 IP 주소관리대책 대책 3. 내부 외부 IP 의인터넷접속내용을 1 년이상별도로기록 보관 4. 업무 ( 예 < 정보처리시스템 > 운영, 개발, 외부직원 ) 별로네트워크를분리하여 IP 사용. ( 네트워크분리가어렵다고금감원장이정하는경우에한해 ) 업무별로접근권한을분리하여 IP 사용가능 내부직원이인터넷접속시기록보관항목접속일시, 출발지 & 목적지 IP, 접속포트 (Port), 사설 IP 주소등 각네트워크별업무특성에따른적절한접근권한통제등보안정책을적용하여보안강화 WebKeeper 5. 내부통신망은다른기관내부통신망과분리하여사용 다른기관이침입차단시스템을우회하여금융회사 & 전자금융업자의내부망에접속하는것금지

11 전자금융감독규정항목보기 제 2 절. 인력조직예산 (8) 인력 & 조직운용 (5) 인력 & 예산 (2) 인력 & 예산규정미이행시공시규정 (1) 제 3 절. 시설 (25) 건물 (6) 전원공조등설비 (7) 전산실 (12) 제 4 절. IT 부문 (69) 단말기보호 (4) 전산자료보호대책 (20) < 정보처리시스템 > 보호대책 (10) 비중요 < 정보처리시스템 > 보호대책 (5) 해킹등방지대책 (11) 악성코드감염방지대책 (4) 공개용웹서버관리대책 (10) IP 주소관리대책 (5) 제 5 절. IT 부문내부통제 (72) 계획서 (2) 교육 (3) 계약 (9) 감리 (4) 비상대책 (10) 비상대응훈련 (3) 성능관리 (1) 직무분리 (8) 전산원장통제 (5) 거래통제 (2) 프로그램통제 (10) 일괄작업에대한통제 (5) 암호프로그램 & 키관리통제 (2) 내부사용자 PW 관리 (3) 이용자 PW 관리 (5) 제 6 절. 전자금융업무 (18) 전자금융거래 (5) 이용자주의사항공지 (4) 자체보안성심의 (8) 인증방법사용기준 (1) 제 2 절인력, 조직 & 예산 8 인력, 조직, 예산 조 1 인력 / 조직운용 2 인력 / 예산 내용 1. < 정보처리시스템 > & 전자금융업무관련전담조직확보 2. 외부주문계약체결시계약검토 & 자체통제를위한내부조직과인력확보 3. 전산인력의자질향상 & 예비요원양성을위한교육 & 연수프로그램운영 4. <CIO 의무 > 임직원의보안법규준수여부를정기점검 CEO 보고 5. <CEO 의무 > 임직원의보안법규위반시제재기준 & 절차를마련, 운영 1. IT 인력은총임직원수의 100 분의 5 이상, 정보보호인력은 IT 인력의 100 분의 5 이상 2. 정보보호예산을 IT 부문예산의 100 분의 7 이상이되도록할것 3 제 2 항미이행시사유 & 이용자보호에미치는영향을사업연도종료후 1 달이내에홈페이지등에공시 1 중요정보보호에관한사항을심의 의결하는 < 정보보호위원회 > 를설치운영 2 위원회의장은 CIO, 위원은정보보호 or 전산운영 & 개발 or 준법업무관련부서장등으로구성 8 조의 2 정보보호위원회운영 3 심의 / 의결사항 1. ( 법제 21 조제 4 항에따른 ) <IT 부문계획서 > 2. ( 법 21 조 2 의 ) < 전자금융거래의안정성확보 & 이용자보호를위한전략 & 계획 > 수립 3. ( 법제 21 조의 3 에서정한 ) < 취약점분석 평가결과 & 보완조치 > 의이행계획 4. 전산보안사고 & 전산보안관련규정위반자의처리 5. 기타 < 정보보호위원회 > 의장이정보보안업무수행에필요하다고정한사항 4 CIO 는 < 정보보호위원회 > 심의 의결사항을 CEO 에게보고 5 CEO 는특별한사정이없는한정보보호위원회의심의 의결사항을준수

12 전자금융감독규정항목보기 제 2 절. 인력조직예산 (8) 인력 & 조직운용 (5) 인력 & 예산 (2) 인력 & 예산규정미이행시공시규정 (1) 제 3 절. 시설 (25) 건물 (6) 전원공조등설비 (7) 전산실 (12) 제 4 절. IT 부문 (69) 단말기보호 (4) 전산자료보호대책 (20) < 정보처리시스템 > 보호대책 (10) 비중요 < 정보처리시스템 > 보호대책 (5) 해킹등방지대책 (11) 악성코드감염방지대책 (4) 공개용웹서버관리대책 (10) IP 주소관리대책 (5) 제 5 절. IT 부문내부통제 (72) 계획서 (2) 교육 (3) 계약 (9) 감리 (4) 비상대책 (10) 비상대응훈련 (3) 성능관리 (1) 직무분리 (8) 전산원장통제 (5) 거래통제 (2) 프로그램통제 (10) 일괄작업에대한통제 (5) 암호프로그램 & 키관리통제 (2) 내부사용자 PW 관리 (3) 이용자 PW 관리 (5) 제 6 절. 전자금융업무 (18) 전자금융거래 (5) 이용자주의사항공지 (4) 자체보안성심의 (8) 인증방법사용기준 (1) 제 3 절시설 조 9 건물 10 전원, 공조등설비 11 전산실등 내용 1. 건물출입구는경비원에의하여통제하고 < 출입통제보안대책 > 을수립 운용 2. 비상시대피를위한비상계단 & 정전대비유도등설치 3. 번개, 과전류등고전압으로인한전산장비 & 통신장비등의피해예방을위하여피뢰설비설치 4. 서버, 스토리지등전산장비 & 통신장비등의중량을감안한적재하중안전대책을수립 운용 5. 화재예방안전대책수립 운용 : 소화기 & 자동소화설비, 배연설비설치등 6. 화재, 침수, 진동피해발생지역등은제외 1. 전원실, 공조실등주요설비시설에자물쇠등출입통제장치를설치 2. 전원, 공조, 방재 & 방범설비에대한적절한감시제어시스템을갖출것 3. 전산실의전력공급중단에대비하여자가발전설비를갖출것 4. 전력공급장애시전력선대체가가능하도록복수회선을설치, 전력공급의연속성을위한무정전전원장치 (UPS) 설치 5. 과전류차단기, 누전경보기등을설치, 정전압정주파수장치 (CVCF) 를갖출것 6. 전산실전원 & 공조설비는설비부분과분리설치, 공조설비점검을위한압력계, 온도계등을갖출것 7. 전산실에 24 시간동안적정한온도 & 습도를유지하기위해서자동제어항온 항습기설치 1. 화재 수해등의재해 & 외부위해 ( 危害 ) 방지대책을수립 운용할것 2. 상시출입문은한곳으로지정, 사전등록자에게만허용, 그외출입자는책임자승인을받아출입, 출입자관리기록부작성 3. 그외출입자가출입시에는무인감시카메라 or 출입자동기록시스템등조치를취하여사후확인이가능하도록할것 4. 출입문은이중안전장치로보호하며외벽이유리인경우유리창문을통하여접근할수없도록조치할것 5. 침수로인한장애가발생하지않도록외벽과전산장비와의거리를충분히유지하고이중바닥설치등방안을강구할것 6. 적정수준의온도 습도를유지하기위하여온도 습도자료자동기록장치 & 경보장치설치등적절한조치를취할것 7. 케이블이안전하게유지되도록전용통로관설치등적절한보호조치를강구할것 8. 정전에대비하여조명설비 & 휴대용손전등을비치할것 9. IDC 등다수기관이공동이용하는장소에 < 정보처리시스템 > 을설치하는경우미승인자가접근하지못하도록접근통제 10. 보호구역으로관리 가. 전산센터 & 재해복구센터나. < 전산자료 > 보관실다. < 정보보호시스템 > 설치장소라. 보안관리가필요한 < 정보처리시스템 > 설치장소 11. 국내에본점을둔금융회사의전산실 & 재해복구센터는국내에설치할것 12. 무선통신망을설치하지아니할것

13 전자금융감독규정항목보기 제 2 절. 인력조직예산 (8) 인력 & 조직운용 (5) 인력 & 예산 (2) 인력 & 예산규정미이행시공시규정 (1) 제 3 절. 시설 (25) 건물 (6) 전원공조등설비 (7) 전산실 (12) 제 4 절. IT 부문 (69) 단말기보호 (4) 전산자료보호대책 (20) < 정보처리시스템 > 보호대책 (10) 비중요 < 정보처리시스템 > 보호대책 (5) 해킹등방지대책 (11) 악성코드감염방지대책 (4) 공개용웹서버관리대책 (10) IP 주소관리대책 (5) 제 5 절. IT 부문내부통제 (72) 계획서 (2) 교육 (3) 계약 (9) 감리 (4) 비상대책 (10) 비상대응훈련 (3) 성능관리 (1) 직무분리 (8) 전산원장통제 (5) 거래통제 (2) 프로그램통제 (10) 일괄작업에대한통제 (5) 암호프로그램 & 키관리통제 (2) 내부사용자 PW 관리 (3) 이용자 PW 관리 (5) 제 6 절. 전자금융업무 (18) 전자금융거래 (5) 이용자주의사항공지 (4) 자체보안성심의 (8) 인증방법사용기준 (1) 제 5 절 IT 부문내부통제 조 19 조 IT 부문계획서제출 19 조의 2 정보보호교육계획수립시행 내용 1 금융위에 <IT 부문계획서 > 를제출해야하는금융회사 or 전자금융업자는 < 장 단기 IT 부문계획 > 매년수립 운용 2 금융위원장은금감원장으로하여금 <IT 부문계획서 > 의적정성등을평가한후관련보고서를제출하게함 1 CPO 는매년교육계획을수립 시행 1. 임원 : 3 시간이상 ( 단, CIO 는 6 시간이상 ) 2. 일반직원 : 6 시간이상 3. IT 부문업무담당직원 : 9 시간이상 4. 정보보호업무담당직원 : 12 시간이상 2 CEO 는정보보호교육을실시한이후대상임직원에대해평가를실시 3 1 의교육프로그램개발과정보보호교육은정보보호전문교육기관에위탁할수있다. 20 조 < 정보처리시스템 > 구축 & 전자금융거래관련사업추진 1. 영향이크거나부서장전결금액이상의사업추진시사전에타당성검토실시 2. < 정보처리시스템 > 신규 통합 전환 재개발등사업에대하여비용대비효과분석실시 3. 타당성검토와비용대비효과분석결과는전산운영위원회등독립적인조직의승인 4. < 정보처리시스템 > 의안전성과신뢰성을확보하기위하여분석 설계단계부터보안대책을강구 1. 적합한업체를공정하게선정하기위하여객관적인 < 업체선정기준 & 절차 > 를마련 운용할것 21 조 < 정보처리시스템 > 구축 & 전자금융거래관련계약 22 조 < 정보처리시스템 > 감리 2. < 정보처리시스템 > 의안전성 & 신뢰성확보를위해 < 업체선정기준 & 절차 > 에정보보안포함 3. 공정하고합리적인 < 예정가격산출기준 > 을수립 적용할것 4. < 계약서작성기준 > 을수립 운용 ( 계약금액, 구축완료일자, 납품방법 & 대금지급방법등 ) 5. 구매, 개발제품의소유권, 저작권, 지적재산권등의귀속관계를명확히하여사후분쟁을막을것 6. 납품, 개발이완료된 SW 등에대하여공급업체파산등 < 비상사태대비대책 > 을마련 운용할것 7. 검수는개발자, 계약자등이해당사자를배제하여공정하게실시할것 8. 계약미이행사유가발생하였거나계약조항을변경할경우에는검사부서의승인을받을것 9. 내부감사규정에따라감사가정한금액이상의계약에대하여는자체감사실시 or 검사부서의승인 정보처리시스템 < 감리지침 > 작성 운용 1. 목적 & 대상, 시스템감리인, 감리시기 & 계획등일반기준 2. 기획, 개발 & 운용의감리실시기준 3. 지적사항 & 개선사항등감리후보고기준 4. 전자금융업무와관련된외부주문등에대한감리기준

14 제 5 절 IT 부문내부통제 조 23 조비상대책등의수립 / 운용 제 24 조비상대응훈련실시 1 긴급상황시 < 업무지속성확보대책 > 수립 준수 2 < 업무지속성확보대책 > 에는비상사태대비안전대책반영. 내용 1. 상황별대응절차 2. 백업 or 재해복구센터를활용한재해복구계획 3. 비상대응조직의구성 & 운용 4. 입력대행, 수작업등의조건 & 절차 5. 모의훈련의실시 6. 유관기관 & 관련업체비상연락체제구축 7. 보고 & 대외통보의범위와절차 1. 파업시비상지원인력확보 운영 2. < 정보처리시스템 > 운영에대한 < 비상지원인력 or 외부전문업체활용방안 > 을수립 운영 3. 비상지원인력이업무가능한수준으로 < 전산시스템운영지침서 >, < 사용자매뉴얼 > 작성 & 유지 4. 담당자부재시에도비상지원인력이업무를수행할수있도록비상지원인력에대한연수실시 3 1 의규정에따른 < 업무지속성확보대책 > 의실효성 적정성등을매년 1 회이상점검, 최신상태로유지, 관리 4 국가위기관리기본지침 에따라금융위가지정한금융회사는금융위 금융전산분야위기대응실무매뉴얼 에따라 < 위기대응행동매뉴얼 > 수립 준수, 금융위에알림 5 금융위가별도로지정하지아니한금융회사 or 전자금융업자는자연재해, 인적재해, 기술적재해, 전자적침해등으로인한전산시스템의마비방지와신속한복구를위한 < 비상대책 > 을수립 운영 6 < 위기대응행동매뉴얼 >(4 에따른 ) or < 비상대책 >(5 에따른 ) 에는 < 업무지속성확보대책 >(1 에따른 ) 반영 7 중앙처리장치, 데이터저장장치등주요전산장비에대하여이중화 or 예비장치확보 8 다음금융회사는재해복구센터를주전산센터와일정거리이상떨어진안전한장소에구축 운용 1. 은행 2. 한국산업은행, 중소기업은행, 농협은행, 수산업협동조합중앙회의신용사업부문 3. 투자매매업자 투자중개업자 4. 증권금융회사 & 한국예탁결제원 5. 거래소 6. 신용카드업자 7. 보험요율산출기관 8. 상호저축은행중앙회 9. 신용협동조합중앙회 10. 보험회사 1 < 행동매뉴얼 >< 비상대책 > 에따라비상대응훈련연 1 회실시, 금융위에결과보고. < 재해복구전환훈련 > 을포함하여실시할수있다. 2 금융위는금융회사 or 전자금융업자를선별하여 < 금융분야합동비상대응훈련 > 을실시 3 금융위는 < 합동비상대응훈련 > 때, 다음기관에게지원요청가능 1." 국가정보원 ( 국가사이버안전센터 )" 2." 경찰청 ( 사이버테러대응센터 )" 3. 침해사고대응기관 4. 금융위가필요하다고인정하는기관 25 조성능관리 장애예방 & 성능최적화를위하여 < 정보처리시스템 > 사용현황 & 추이분석등을정기실시 1. 프로그래머와오퍼레이터 5. 업무운영자와내부감사자 26 조직무의분리 2. 응용프로그래머와시스템프로그래머 6. 내부인력과전자금융보조업자 & 유지보수업자등을포함한외부인력 3. 시스템보안관리자와시스템프로그래머 7. IT 부문인력과정보보호인력 4. < 전산자료 > 관리자와그밖의업무담당자 8. 그밖에내부통제관련직무분리가요구되는경우 1 장애 or 오류등에의한전산원장의변경을위하여별도의변경절차를수립 운용 제 27 조전산원장통제 2 1 의포함사항 - 변경대상 & 방법, 변경권한자지정, 변경전후내용자동기록 & 보존, 변경내용의정당여부에대한제 3 자확인 3 대차대조표등중요자료의계상액과각종보조부 거래기록 전산원장파일의계상액에대한상호일치여부를전산시스템을통하여주기적으로확인 4 3 확인결과불일치가발견시원인 & 조치내용을 < 전산자료 > 의형태로 5 년간보존 5 이용자중요원장에직접접근, 조회 수정 삭제 삽입하는경우작업자 & 작업내용기록을 5 년보존

15 제 5 절 IT 부문내부통제 조 제 28 조거래통제등 내용 1사고위험도높은거래는책임승인거래로처리하는등전산시스템에의한이중확인이가능하도록함 2 전산원장, 주요or이용자정보저장 < 정보처리시스템 > 에대한중요작업수행시책임자가이중확인 1. 적용대상프로그램종류 & 등록 변경 폐기방법을마련 29 조프로그램통제 < 프로그램등록 / 변경 / 폐기절차 > 를수립 / 운용 2. 프로그램변경전후내용을기록 관리 3. 프로그램등록 변경 폐기내용의정당성에대해제3자의검증을받을것 4. 변경필요시해당프로그램을개발 or 테스트시스템으로복사후수정할것 5. 프로그램에대한접근은업무담당자에한정할것 6. 처리정보의기밀성 무결성 가용성을고려, 테스트 & 책임자승인후운영시스템적용 7. 반출, 실행프로그램의생성 & 운영시스템등록은해당프로그램담당자외의자가수행 8. OS, DBMS 등의시스템프로그램도응용프로그램과동일수준으로관리 9. 유지보수에필요한문서작성 관리 ( 설명서, 입 출력레코드설명서, 프로그램목록 & 지침서등 ) 10. 전자금융거래전산프로그램은 < 정보처리시스템 > 에설치전에자체보안성검증실시 1. 일괄작업은작업요청서에의한책임자의승인을받은후수행 30 조일괄작업에대한통제 2. 일괄작업은최대한자동화하여오류를최소화 3. 일괄작업수행과정에서오류가발생하였을경우반드시책임자의확인을받을것 4. 모든일괄작업의작업내용을기록 관리할것 5. 책임자는일괄작업수행자의주요업무관련행위를모니터링할것 31 조암호프로그램 & 키관리통제 1 암호프로그램에대하여담당자지정, 담당자이외의이용통제 & 원시프로그램 (source program) 별도보관등을준수하여유포 & 부당이용이발생하지않도록하여야한다 2 암호 & 인증시스템에적용되는키에대하여주입 운용 갱신 폐기에대한절차 & 방법을마련하여안전관리 32 조내부사용자 PW 관리 내부사용자 PW 유출방지를위하여다음을 < 정보처리시스템 > 에반영 1. 담당업무외에는열람 & 출력을제한할수있는접근자의 PW 를설정하여운영 2. PW 는다음각목의사항을준수 가. ID, 생년월일, 주민번호, 전화번호를포함하지않은숫자와영문자 & 특수문자등을혼합하여 8 자리이상으로설정 & 분기별 1 회이상변경 나. PW 보관시암호화 다. 시스템마다관리자 PW 를다르게부여 3. PW 입력시 5 회이내에서미리정한횟수이상의입력오류가연속발생시즉시해당 PW 를이용하는접속을차단하고본인확인절차를거쳐 PW 를재부여 or 초기화 1 < 정보처리시스템 > & < 전산자료 > 에보관하고있는이용자의 PW 를암호화하여보관하며동 PW 를조회할수없도록하여야한다. 다만, PW 의조회가불가피하다고인정되는경우에는그조회사유 내용등을기록 관리 33 조이용자 PW 관리 2 이용자의 PW 유출을방지하기위하여다음각호의사항을 < 정보처리시스템 > 에반영 1. 주민번호, 동일숫자, 연속숫자등제 3 자가쉽게유추할수있는 PW 등록불가 2. 통신용 PW 와계좌원장 PW 를구분해서사용 3. 5 회이내에서미리정한횟수이상의입력오류발생시즉시해당 PW 이용거래를중지, 본인확인절차를거친후 PW 재부여 & 거래재개 ( 이체 PW 등동일 PW 가다양한전자금융거래에공통으로이용시, 입력오류횟수는이용되는모든전자금융거래를통산 ) 4. 금융회사가이용자로부터받은 PW 는거래전표, 계좌개설신청서등에기재하지말고핀패드 (PIN pad) 등보안장치를이용하여입력받을것

16 전자금융감독규정항목보기 제 2 절. 인력조직예산 (8) 인력 & 조직운용 (5) 인력 & 예산 (2) 인력 & 예산규정미이행시공시규정 (1) 제 3 절. 시설 (25) 건물 (6) 전원공조등설비 (7) 전산실 (12) 제 4 절. IT 부문 (69) 단말기보호 (4) 전산자료보호대책 (20) < 정보처리시스템 > 보호대책 (10) 비중요 < 정보처리시스템 > 보호대책 (5) 해킹등방지대책 (11) 악성코드감염방지대책 (4) 공개용웹서버관리대책 (10) IP 주소관리대책 (5) 제 5 절. IT 부문내부통제 (72) 계획서 (2) 교육 (3) 계약 (9) 감리 (4) 비상대책 (10) 비상대응훈련 (3) 성능관리 (1) 직무분리 (8) 전산원장통제 (5) 거래통제 (2) 프로그램통제 (10) 일괄작업에대한통제 (5) 암호프로그램 & 키관리통제 (2) 내부사용자 PW 관리 (3) 이용자 PW 관리 (5) 제 6 절. 전자금융업무 (18) 전자금융거래 (5) 이용자주의사항공지 (4) 자체보안성심의 (8) 인증방법사용기준 (1) 제 6 절전자금융업무 조 34 조전자금융거래 35 조이용자유의사항공지 36 조자체보안성심의 37 조인증방법사용기준 내용 1. 전자금융거래는암호화통신 ( 예외 - 전용선 + 자체보안성심의실시, 전화등암호화가불가능한경우 ) 2. 전자금융사고예방을위하여비대면전자금융거래를허용하지않는계좌개설, 이용자가문자 & 이메일통지요청시, 서비스를제공할수있도록시스템을갖출것 3. 전자금융거래에사용되는접근 < 매체 > 발급시실명확인후교부 4. 거래인증수단채택시안전성, 보안성, 이용편의성등을충분히고려할것 5. 전자금융거래프로그램 ( 거래전문포함 ) 의위 변조여부등무결성을검증할수있는방법을제공 전자금융거래의안전한수행을위하여이용자에게다음공지 1 다음경우금감원기준에따라 < 자체보안성심의 > 1. PW 유출위험 & 관리에관한사항 2. 금융기관 or 전자금융업자가제공하고있는이용자보호제도에관한사항 3. 해킹 피싱등전자적침해방지에관한사항 4. 본인확인절차를거쳐 PW 변경이가능하도록 < 정보처리시스템 > 구축, 같은 PW 재사용하지않도록할것 1. 정보통신망으로이용자대상신규전자금융업무를수행 2. 복수의금융회사 or 전자금융업자가공동으로전자금융거래관련표준을제정 2 < 자체보안성심의 > 후 1 항각호를수행한날부터 7 일이내에 < 자체보안성심의결과보고서 > 를금감원에제출. ( 예외 - 1 항 1 호에따른경우 + 과거 1 년간전자금융사고미발생기관 + 금감원기준에해당할경우 ) 3 금감원장은 < 자체보안성심의결과보고서 > 검토결과, 개선 보완을요구할수있다 4 다음기관은 < 자체보안성심의결과보고서 > 미제출가능 1. 우체국예금 보험에관한법률 에의한체신관서 2. 새마을금고법 에의한새마을금고 & 새마을금고중앙회 3. 한국수출입은행법 에따른한국수출입은행 4. 공공기관의운영에관한법률 제 4 조에따른공공기관 전자금융거래의종류, 성격, 위험수준등을고려하여안전한인증방법을사용하여야한다.

354-437-4..

354-437-4.. 357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%