▲ (출처 : 금융보안원 제공)

금융보안원(원장 김영기)은 오는 2021년 1월 1일 개정 시행 예정 ‘전자금융감독규정 시행세칙’에 따라 금융권이 컴플라이언스를 준수하면서 안전하게 재택근무 환경을 구축할 수 있도록 안내하는 ‘금융회사 재택근무 보안 안내서’를 발간, 배포한다고 지난 18일 밝혔다.

이 안내서는 관계기관(금융위•금감원) 및 금융회사 등 의견수렴을 거쳐 재택근무 시 준수해야 할 정보보호 통제사항 등을 알기 쉽게 설명한 내용이 담겨 있다. 

이에 따라 안내서는 재택근무 시 보안 고려사항을 ▲외부(재택) 단말기 보안관리 ▲통신회선 ▲내부망 접근통제 ▲인증 등으로 구분하고 이를 '의무 사항'과 '권고 사항'으로 나눠 제시했다. 

먼저, ‘외부 단말기 보안관리’ 관련, 재택근무자가 사용하는 외부 단말기는 백신 프로그램 설치, 윈도 7 등 기술지원이 종료된 운영체제 사용 등을 금지한다. 

안내서는 다만, 외부 단말기로 PC가 아닌 모바일 기기 사용 시 운영체제 탈옥(모바일 기기의 모든 권한을 획득하기 위해 임의로 운영체제를 수정하는 행위를 의미) 여부를 사전 검사하는 등 추가적인 보안대책 적용을 권고했다. 

덧붙여 외부 단말기가 내부망에 ‘직접 접속’ 하는 경우 USB 등 외부 저장장치 사용 금지, 단말기 분실에 대비한 하드디스크 암호화 등 보호조치를 적용해 업무 자료 유출위협에 대비토록 해야 한다. 

‘통신회선’ 관련, 외부 단말기의 내부망 접속 시에는 전용회선과 동등한 보안수준을 갖춘 가상사설망(VPN)을 사용토록 하고 누구나 접속 가능한 개방형 통신회선 사용을 제한했다.

‘내부망 접근통제 및 인증’에 대해 금융회사 내부망에 접속 가능한 IP주소 등은 최소한으로 제한하고 비인가자의 접속을 방지하기 위해 이중인증(Multi-Factor Authentication)을 적용토록 한다. 

‘이중인증’에는 예컨대, 지식(ID/Password 등), 소유(OTP, 기기 인증 등), 특징(바이오 등) 기반 인증 수단 중 서로 다른 방식에 속하는 인증 수단을 2개 이상 조합한 인증 방식을 적용해야 한다.

아울러, 재택근무 환경 구축 단계를 ①시작 → ②설계 → ③구현 → ④운영 및 유지 보수 → ⑤폐기의 5단계로 정의하고 각 단계별 보안 고려사항도 제시해야 한다. 

금융보안원은 금융권이 이 안내서를 참조, 재택근무 시 필요한 보안통제 대책을 마련해 안전한 재택근무 환경을 제공할 수 있을 것으로 기대한다고 덧붙였다.

<김동기 기자>kdk@bikorea.net