금융회사의 상시 재택근무가 가능해집니다- 「전자금융감독규정시행세칙」개정 예정

금융회사의 상시 재택근무가 가능해집니다- 「전자금융감독규정시행세칙」개정 예정

 

등록일2020-09-17

 

 

제 목 : 금융회사의 상시 재택근무가 가능해집니다.
(「전자금융감독규정시행세칙」개정 예정 )

◈ 금융회사가 신속하고 안전하게 재택근무로 전환할 수 있도록 망분리 규제를 개선합니다.

◦금융회사의 상시 재택근무를 위한 원격접속을 허용하였습니다.

◦다만, 재택근무로 인해 발생 가능한 보안사고를 사전예방하기 위하여 원격 접속 시 준수하여야 하는 정보보호 통제사항을 강화하였습니다.

1. 개 요

□금융회사는 전자금융거래법상 망분리 규제로 인하여 재택근무를 위한 원격접속이 사실상 불가능하였음

◦장애‧재해 발생 등 비상상황 시 신속한 조치를 위하여 전산센터에 대해서만 예외적으로 허용하고 일반 임직원의 경우는 불가

 

<망분리 제도>

 

* 외부 사이버공격, 정보유출 등을 방지하기 위하여 금융회사의 통신회선을 업무용(내부망), 인터넷용(외부망)으로 분리하여 운영토록 하는 제도 (’13.12.3)
-(물리적망분리)

통신망을 물리적으로 업무용과 인터넷용으로 분리하고 별도 PC 사용 하는 것으로 전산센터에 적용
-(논리적망분리)

통신망을 소프트웨어적으로 업무용과 인터넷용으로 분리하고 논리적으로 분리된 PC를 사용하는 것으로 전산센터 외 일반업무 환경에 적용

□코로나19로 금융회사 임직원의 재택근무가 불가피해짐에 따라 비조치의견서를 통하여 원격접속을 한시적으로 허용(’20.2월~)

◦대체자원 확보 곤란 등 업무상 불가피한 경우에 한하여 회사의 비상대책 절차에 따라 필수 인력에 대해서만 허용

※ 보도자료 “코로나19 관련 상황 발생 시에도 금융회사가 재택근무 등을 통해 업무연속성을 유지할 수 있도록 조치하였습니다.”(’20.2.27.) 참조

□ 그러나, 금융회사의 충분한 준비기간 없이 급히 재택근무로 전환됨에 따라 사전 위험검토 및 보안 조치 등이 미흡할 우려가 있고

◦ 코로나19가 장기화되고 언택트 문화가 지속되고 있어, 재택근무의 확대·일상화를 고려한 제도 개선이 필요하게 되었음

⇨ 금융회사가 안전한 재택근무 체계를 준비하여 필요시 신속 전환할 수 있도록 망분리 제도 개선 추진(「전자금융감독규정시행세칙」개정 )

 

<재택근무 관련 망분리 제도 개선사항>

 

 

 

2. 망분리 제도 개선 주요내용

? (적용범위)금융회사 임직원의 상시 원격접속을 허용

◦콜센터 업무(외주직원)는 포함되나 전산센터의 시스템 개발·운영·보안 업무와 원격 시스템 유지보수 업무는 미포함

?(원격접속 방식) 각 금융회사 사정에 따라 자율적으로 선택가능

◦사내 업무망에 직접 연결하는 방식과, 가상데스크탑(VDI) 등을 경유하여 간접 연결하는 방식 모두 가능

<직접 연결 방식 예시>

 

<간접 연결 방식 예시>

 

?(정보보호)재택근무 시에도 사내근무 환경에 준하는 보안수준 유지

◦단말기:직접 연결 방식은 간접 연결 방식보다 강화된 보안 적용

-직접 연결:보안 프로그램을 설치하여 회사가 지급한 단말기만 사용 가능하고 인터넷 연결을 항상 차단

-간접 연결:백신 등 기본적인 보안수준을 갖춘 개인 단말기도 사용 가능하며 내부망과 전산자료 송수신을 차단하고, 업무망 연결 시 인터넷을 차단
<접속 방식에 따른 보안 통제사항 비교>

보안 정책
직접 연결
간접 연결
허용되는 단말기의 종류
회사 지급 단말기만 가능
개인 단말기도 가능
인터넷 차단
항상 차단
업무망 연결시 차단
백신 설치,최신 운영체제 유지,비밀번호 설정
사내 근무시와 동일
사내 근무시와 동일
파일 송수신
허용
차단*
단말기 설정 변경, 외부저장장치 사용
차단
허용
내부 전산자료 출력, 화면 캡쳐
차단
차단*
내부 전산자료 저장
암호화 저장
차단*

* 원격 접속용 단말기가 아닌 내부 시스템에서 차단

◦이중인증:내부망 접속 시 아이디·패스워드 외 일회용 비밀번호 등을 이용하여 추가로 인증

◦접근통제:재택근무 시 최소한의 업무시스템만 외부에서 접근할 수 있도록 업무·조직별로 통제

◦통신회선:가상사설망(VPN) 등을 이용하여 통신구간 암호화

◦기록관리:원격접속 사용자, 일시, 작업 내역 기록·저장

◦기타:공공장소에서 원격접속하지 않도록 직원교육 실시 등

※ 상세 보안통제 사항은「전자금융감독규정시행세칙」개정(안)의 “[별표7] 망분리 대체 정보보호통제” 참조

3. 추진일정 및 향후 계획

□ 사전예고 : ’20.9.18. ∼ ’20.10.8.(20일간)

□ 이해관계자의 의견수렴 과정을 거쳐 ’20.10월 중 시행 예정

※ 세부 개정내용은 다음에서 확인 가능
: 금융감독원(www.fss.or.kr) → 법규정보 → 금융감독법규 → 세칙제개정예고

☞ 본 자료를 인용하여 보도할 경우에는 출처를 표기하여 주시기 바랍니다.(http://www.fss.or.kr)

참 고

망분리 개념 및 현황

 

1. 망분리 개념 및 특징

□ 망분리란 사이버위협, 정보유출 등을 방지하기 위해 금융회사 통신회선을 업무용(내부망), 인터넷용(외부망)으로 분리하는 것

◦업무망과 인터넷망에서 2대의 PC를 사용하는 ‘물리적 망분리’와 1대 PC를 각각의 망에서 구분 사용하는 ‘논리적 망분리’로 구분

 

2. 망분리 현황

□(공공) ‘10년 이후 국가정보원 ｢국가정보보안 기본지침｣에 근거, 정부·공공기관은 물리적 망분리 환경을 구축·유지중

□ (ICT) ‘12년, 개인정보 유출 방지를 위해 일정 규모 이상 정보 통신서비스제공자의 망분리(논리적 망분리로도 충족)를 의무화*

* 개인정보 100만명 이상 또는 매출액 100억원 이상 정보통신서비스 제공자를 대상으로 개인정보처리시스템 접속시 외부 인터넷 망을 차단토록 규정(정보통신망법)

□(금융) ‘13년, 금융회사 및 전자금융업자의 망분리를 의무화
☞ 전산센터 : 물리적 망분리, 영업점 등 : 논리적 망분리로도 충족