최근 잇따른 개인정보유출 사태에 따라 국회의원 임수경 의원실에서는 현행 법률상 정보통신서비스 제공자에게 의무로 규정되어 있는 정보보호관리체계(Information Security Management System)의 인증의무 이행 여부를 조사해보았고, 금융권 업체 중 실제 인증을 획득한 업체는 단 두 곳 뿐이였다.(블로그, http://blog.naver.com/su_blog)
매출 100억원 이상, 혹은 1일 평균 이용자수 백만명 이상인 정보통신서비스 제공자는 정보보호관리체계(ISMS) 인증을 의무적으로 받아야 하지만 금융기업은 정보보호 관련 법률에 따라 자율적으로 정보보호관리체계(K-ISMS), ISO27001, 개인 정보 보호 관리체계 K-PIMS, BS10012 등 인증 획득 현황을 보고하고 있다.
한편 정보보호관리체계의 주관기관인 미래부와 금융권 내부 보안을 통제 관리하는 금융위는 갈등이 있었다. 미래부의 금융업체 K-ISMS 인증 의무대상 지정으로 금융위는 전자금융거래법에 의해 내부보안 사항을 분석·평가해 금융위에 보고하도록 되어있어, 정보통신망법에 근거한 ISMS 인증을 받을 필요성이 없다고 했다.(디데일리, http://www.ddaily.co.kr)
금융위는 지난해 발표된 "금융 전산 보안 강화 종합대책"발표에 2014년 금융 업무에 맞는 금융-ISMS를 적용하겠다고 발표하였다. 현시점에서 인증제도 도입을 앞둔 또는 도입한 금융 기업들의 애로사항인 각종 규제 또는 인증제도로 인한 중복성을 단일화하고 최소화하여 인증제도의 효율성을 높일 필요성이 있다고 판단하였고, 개인정보 보호와 정보보호를 해결할 수 있는 대안을 연구하게 되었다.
전자금융거래법 시행령 개정안(본조 신설 2013.11.22) 제21조 3(전자금융기반시설의 취약점 분석·평가)에 따라 "금융회사 및 전자금융업자는 전자금융거래의 안전성과 신뢰성을 확보하기 위하여 전자금융기반시설에 대한 사항들을 분석·평가하고 그 결과를 금융위원회에 보고하여야 한다"는 법률에 따라 금융 업체들은 취약성 분석평가를 의무적으로 하고 있다. 금융IT 취약성 분석 평가는 국제 인증 ISO27001과 국내 인증 K-ISMS와 유사하나, 개인정보 보호 통제 항목은 부족한 상황이다.
본 논문에서는 전자금융거래법에 신설된 금융IT 취약점 분석 평가를 K-PIMS, BS10012 등 국내외 정보보호 및 개인정보보호 인증제도와 중요 통제사항을 비교하여 필요 통제 항목에 대해 포괄적으로 포함 또는 제거시켜 중복을 최소화하고 도출된 결과를 적용 및 운영하기 위해 IT 통제 프레임워크인 코빗(COBIT)을 적용하여 금융기업이 지속적으로 평가, 개선할 수 있도록 개선된 "금융IT 취약점 분석 평가 기준 및 모델"을 제시하였다.
또한 2014년 중 금융 위원회에서 새롭게 준비해 금융권에 적용될 금융-ISMS 선정 기준 마련에 도움이 되고 금융업계에 관련 법률 충족 및 정보보호와 개인정보보호의 전반적인 효과성 측정에 도움을 제공하고자 한다.