[금융보안원] 금융보안원, 「금융회사 재택근무 보안 안내서」 발간

[금융보안원](보도자료)금융보안원, 금융회사 재택근무 보안 안내서 발간.hwp

0.11MB

[금융보안원](보도자료)금융보안원, 금융회사 재택근무 보안 안내서 발간.pdf

0.22MB

[붙임]금융회사 재택근무 보안 안내서.hwp

0.42MB

 

 

[1] 추진 배경

 

□ 금융보안원(원장 김영기)은 `21.1.1. 개정 시행 예정인 ｢전자금융감독규정 시행세칙｣에 따라 금융권이 컴플라이언스를 준수하면서 안전하게 재택근무 환경을 구축할 수 있도록,

 

 ㅇ 금융위·금감원 및 금융회사 등의 의견수렴을 거쳐 재택근무 시 준수해야 할 정보보호 통제사항 등을 알기 쉽게 설명한 ｢금융회사 재택근무 보안 안내서｣를 발간하여 배포함.

 

                   [ ｢전자금융감독규정 시행세칙｣ 주요 개정 내용 ]

□ (적용 범위) 금융회사 임직원의 원격접속(외부 → 내부망)을 상시 허용

 

□ (원격접속 방식) 금융회사별 여건에 따라 자율적으로 선택

 

□ (정보보호 통제사항) 재택근무 시에도 사내 근무환경에 준하는 보안수준 유지

  - 외부(재택) 단말기 보안통제 강화, 이중 인증 적용, 통신구간 암호화 등

 

 

[2] 주요 내용

 

□ 본 안내서는 재택근무 시 보안 고려사항을 ▲외부(재택) 단말기 보안관리 ▲통신회선 ▲내부망 접근통제 ▲인증 등으로 구분하고 이를 `의무 사항'과 `권고 사항'으로 나누어서 제시함.

 

 ㅇ (외부 단말기 보안관리) 재택근무자가 사용하는 외부 단말기는 백신 프로그램 설치, Windows 7 등 기술지원이 종료된 운영체제 사용 등을 금지하며,

 

   - 외부 단말기로 PC가 아닌 모바일 기기 사용 시 운영체제 탈옥* 여부를 사전 검사하는 등 추가적인 보안대책 적용을 권고함.

 

    * 탈옥 : 모바일 기기의 모든 권한을 획득하기 위해 임의로 운영체제를 수정하는 행위를 의미 

 

   - 아울러, 외부 단말기가 내부망에 `직접 접속' 하는 경우 USB 등 외부 저장장치 사용 금지, 단말기 분실에 대비한 하드디스크 암호화 등 보호조치를 적용하여 업무 자료 유출위협에 대비토록 함.

 

ㅇ (통신회선) 외부 단말기의 내부망 접속 시에는 전용회선과 동등한 보안수준을 갖춘 가상사설망(VPN*)을 사용토록 하고 누구나 접속 가능한 개방형 통신회선 사용을 제한함.

 

    * VPN(Virtual Privacy Network) : 암호화 기술을 이용하여 인터넷 등 공개망을 사설망처럼 사용하게 하는 기술로 전송 데이터를 안전하게 보호

 

ㅇ (내부망 접근통제 및 인증) 금융회사 내부망에 접속 가능한 IP주소 등은 최소한으로 제한하고 비인가자의 접속을 방지하기 위해 이중인증*(Multi-Factor Authentication)을 적용토록 함.

 

    * 이중 인증 : 지식(ID/Password 등), 소유(OTP, 기기 인증 등), 특징(바이오 등)기반 인증 수단 중 서로 다른 방식에 속하는 인증 수단을 2개 이상 조합한 인증 방식

 

 

□ 아울러, 재택근무 환경 구축 단계를 ①시작 → ②설계 → ③구현 → ④운영 및 유지 보수 → ⑤폐기의 5단계로 정의하고 각 단계별 보안 고려사항도 제시함.

 

 

[3] 향후 계획

 

□ 금융보안원은 금융권이 본 안내서를 참조하여 재택근무 시 필요한 보안통제 대책을 마련함으로써 안전한 재택근무 환경을 제공할 수 있을 것으로 기대함.

 

 ㅇ 금융보안원은 금융보안 전담기관으로서 언택트(untact) 시대에 금융권이 안전하게 재택근무 환경을 구축․운영할 수 있도록 지속 지원할 계획임. 끝.

 

 

 

※ ｢금융회사 재택근무 보안 안내서｣는 <붙임> 참조

 

 

 

 

 

출처 : 금융보안원(2020.11.18.) | http://www.fsec.or.kr/user/bbs/fsec/41/18/bbsDataView/1548.do