본문 바로가기

Work & Study/Security

금융회사의 상시 재택근무를 위한 망분리 규제 개선

어제 금융감독원은 보도자료를 통해 금융회사의 상시 재택근무가 가능해지도록 "전자금융감독규정 시행세칙"을 개정한다고 게시하였다. 코로나 19로 인해 재택근무 필요성이 대두되면서 비 조치 의견서를 통해 한시적으로 허용했던 재택근무를 상시 전환하기 위한 조치로 보인다. 2011년 농협 사태로 인한 금융회사의 망분리 규제 시행 이후 사실상 재택근무를 위한 원격 접속이 불가능했었다. 예외적으로 업무 연속성을 제공하기 위해 비상상황 시 전산센터에 대해서만 예외적으로 원격 접속을 허용하는 조치를 시행해왔다.

 

개선사항에서 허용된 범위는 기존의 비상시에만 허용되던 개발/운영 업무 직원의 전산센터 접속 외에 사내 업무망에 존재하는 일반 업무용 시스템에 대한 임직원들의 원격 접속을 상시적으로 허용하고 있다. 예를 들자면 콜센터(외주) 직원까지 포함괴나 전산센터의 시스템 개발/운영/보안 업무와 원격 시스템 유지보수 업무는 포함되지 않는다. 접속 방식은 직접 연결 방식과 간접 연결 방식 중 금융회사가 자율적으로 선택 가능하도록 하였다. 

직접 연결 방식은 보안 프로그램이 설치된 회사에서 지급된 단말기로만 원격 접속이 허용되며 인터넷 연결을 항상 차단해야 하는 제한이 있다. 간접 연결 방식은 중간에 VDI 등 원격 접속 전용 시스템을 경유하여 업무용 시스템에 접속을 하게 된다. 이 경우 개인 단말기의 사용이 허용되지만 백신 등 기본적은 보안 수준을 갖춰야 하고, 내부망과 전산자료 송수신을 차단해야 한다. 간접 연결 방식에서는 업무망과 연결되었을 경우에만 인터넷 연결이 차단되도록 해야 하는 제한이 있다. 

그 밖에도 업무용 시스템 접속 시 OTP 등 2-Factor 인증이나 접근통제의 적용, 통신 구간 암호화, 기록관리 등의 내용을 포함하고 있다. 이 내용은 기존에 망분리 예외 규정 적용 시 참조하던 이른바 별표 7의 내용이 더욱 강화된다고 볼 수 있다.

별표 7의 내용을 지켜지지 않을 경우 추후에 금감원 감사 시 지적을 받을 수 있는데 해당 내용 중 특히 단말기 사용자의 관리자 권한 제거가 실무자들이 가장 어려워하는 부분이 아닐까 싶다. 회사 단말기를 제공하는 직접 연결 방식에서는 회사 정책에 따라 통제가 가능하지만 간접 연결 방식에서 그 대상이 개인 사용자의 단말기라면 사실상 적용이 불가능 한 부분이 발생할 수 있기 때문이다. 대부분의 금융회사의 망분리 도입이 끝나가는 시점에서 다시 원격 접속 시스템을 구축하기 위해 신규 사업과 같은 기회가 될 수도 있을 것 같다.