.svg)
AI 솔루션 문의하기
보안 감리는 정보 시스템이 관련 법규와 보안 기준을 준수하는지 검증하는 절차입니다. 금융기관의 eKYC 시스템은 고객의 신분증 이미지, 얼굴 사진, 주민등록번호 같은 민감한 개인정보를 처리하므로 엄격한 보안 감리 대상입니다. 금융감독원의 정기 검사, 한국인터넷진흥원의 정보보호 관리체계 인증 심사, 개인정보보호위원회의 점검 등이 진행될 수 있습니다. eKYC 보안 감리 준비 항목을 미리 점검하고 정비하면 실제 감리에서 지적 사항을 줄이고, 시스템의 보안 수준을 높일 수 있습니다.
보안 감리에서는 시스템이 어떤 법규를 준수하는지 확인합니다. 전자금융거래법, 개인정보 보호법, 특정금융정보법, 정보통신망법 같은 관련 법률의 조문을 파악해야 합니다. 금융감독원의 전자금융감독규정, 개인정보보호위원회의 안전성 확보조치 기준, 금융보안원의 보안 가이드도 검토합니다. 이런 법규와 기준을 정리한 문서를 준비하고, 각 요구사항에 대해 시스템이 어떻게 대응하고 있는지 설명할 수 있어야 합니다. 법무팀과 협력해 최신 법령 개정 사항을 반영하는 것도 중요합니다.
개인정보 보호법은 개인정보 처리 방침을 공개하고, 정보 주체의 동의를 받도록 요구합니다. eKYC 시스템에서 수집하는 정보의 종류, 수집 목적, 보유 기간, 제3자 제공 여부를 명확히 기재해야 합니다. 생체정보는 민감정보이므로 별도 동의가 필요합니다. 동의 화면이 법적 요구사항을 충족하는지 점검합니다. 필수 동의와 선택 동의를 구분하고 각 항목에 대해 구체적인 설명을 제공하는지 확인합니다. 동의 철회 방법도 안내되어 있어야 합니다. 개인정보 처리 방침은 변경 사항이 있을 때마다 업데이트하고, 고객에게 고지해야 합니다.
▲ eKYC 시스템과 데이터베이스에 접근할 수 있는 사람을 최소화합니다.
▲ 역할 기반 접근 통제를 적용해 직무에 따라 필요한 권한만 부여합니다.
▲ 특권 계정 관리 정책을 수립하고, 사용 내역을 기록합니다.
관리자 계정 목록과 권한 설정을 문서화해야 합니다. 퇴사자나 부서 이동자의 권한이 적시에 회수되었는지 확인합니다. 계정은 개인별로 발급하며 공용 계정은 사용하지 않습니다. 비밀번호 정책도 점검합니다. 최소 길이, 복잡도, 변경 주기 같은 기준을 정하고 준수하는지 확인합니다. 다중 인증을 적용해 보안을 강화했는지도 검토 대상입니다.
개인정보 보호법과 전자금융감독규정은 개인정보를 암호화하도록 요구합니다. 저장 시 암호화와 전송 시 암호화를 모두 적용했는지 점검합니다. 신분증 이미지, 얼굴 사진, 주민등록번호 같은 민감 정보가 암호화되어 있는지 확인합니다. 사용한 암호화 알고리즘이 안전한지 검토합니다. 취약한 알고리즘이나 오래된 프로토콜은 사용하지 않아야 합니다. 암호화 키 관리 정책도 중요합니다. 키는 어떻게 생성하고, 어디에 보관하며, 얼마나 자주 교체하는지 문서화합니다. 키 관리 시스템이 별도로 운영되는지도 확인합니다.
전자금융거래법은 거래 기록을 최소 5년간 보존하도록 하고, 개인정보 보호법은 접속 기록을 최소 6개월 이상 보관하도록 합니다. eKYC 시스템의 접속 기록, 인증 시도 기록, 개인정보 조회 기록이 제대로 수집되고 있는지 점검합니다. 로그에는 일시, 사용자, 수행 작업, 결과가 포함되어야 합니다. 로그가 위변조될 수 없도록 보호되고 있는지도 확인합니다. 실시간 모니터링 체계가 구축되어 있는지, 이상 징후를 자동으로 탐지하고 경고를 발생시키는지 검토합니다. 로그 분석 도구를 활용해 정기적으로 보안 점검을 수행하는지도 감리 항목입니다.
△ 방화벽이 적절히 설정되어 있는지 점검합니다.
△ 외부 네트워크와 내부 네트워크가 분리되어 있는지 확인합니다.
△ DMZ 구간이 설정되어 있고, 중요 시스템은 별도 네트워크에 배치되어 있는지 검토합니다.
침입 탐지 시스템과 침입 방지 시스템이 운영되고 있는지, 최신 보안 패치가 적용되어 있는지 확인합니다. DDoS 공격 대응 체계가 마련되어 있는지도 점검 대상입니다. VPN을 통한 관리자 접속 정책이 있는지, 원격 접속 시 다중 인증을 거치는지도 확인합니다. 네트워크 장비의 설정 파일을 백업하고 있는지, 변경 사항을 기록으로 남기는지도 검토합니다.
서버와 애플리케이션의 보안 취약점을 정기적으로 점검하는지 확인합니다. 자동화된 취약점 스캐닝 도구를 사용하는지, 점검 결과를 어떻게 처리하는지 검토합니다. 발견된 취약점의 우선순위를 어떻게 정하는지, 조치 기한을 설정하는지 확인합니다. 보안 패치 관리 절차가 문서화되어 있는지 점검합니다. 패치를 적용하기 전에 테스트 환경에서 검증하는지, 적용 후 모니터링을 수행하는지 확인합니다. 금융보안원의 취약점 정보를 정기적으로 확인하고 대응하는지도 감리 항목입니다.
eKYC 시스템의 데이터를 정기적으로 백업하는지 점검합니다. 백업 주기, 보관 장소, 보관 기간이 정책에 따라 관리되는지 확인합니다. 백업 데이터도 암호화되어 있는지, 접근 권한이 제한되어 있는지 검토합니다. 재해 복구 계획이 수립되어 있는지, 복구 목표 시간과 복구 시점 목표가 정의되어 있는지 확인합니다. 정기적으로 복구 훈련을 실시하는지, 훈련 결과를 문서로 남기는지도 감리 대상입니다. 클라우드 기반 백업을 사용한다면 서비스 제공자와의 계약서에 데이터 보호 조항이 포함되어 있는지 검토합니다.
정보보호 관리체계 인증 기준은 직원에 대한 보안 교육을 요구합니다. eKYC 시스템을 운영하는 직원들이 정기적으로 보안 교육을 받는지 확인합니다. 교육 내용에는 개인정보 보호, 접근 통제, 비밀번호 관리, 피싱 메일 식별, 보안 사고 대응 절차가 포함되어야 합니다. 교육 이수 기록을 문서로 남기고 있는지 점검합니다. 보안 서약서를 징구하는지, 내부 보안 정책을 공지하고 준수하도록 관리하는지도 확인합니다. 보안 사고 대응 훈련을 실시하는지, 비상 연락망이 구축되어 있는지도 검토 대상입니다.
정보보호 관리체계 인증이나 개인정보보호 관리체계 인증을 취득했는지 확인합니다. 인증서와 심사 보고서를 준비해둡니다. ISO 27001 같은 국제 인증도 있다면 함께 제시합니다. 외부 보안 감사를 받은 적이 있다면 감사 보고서와 조치 결과를 정리합니다. 이런 인증과 감사 기록은 시스템의 보안 수준을 입증하는 객관적 자료가 됩니다. 알체라의 eKYC 솔루션도 관련 보안 인증을 고려해 설계되어 있으며, 금융기관이 감리를 준비할 때 필요한 기술 문서를 제공할 수 있습니다.
개인정보 보호법은 개인정보 내부 관리 계획을 수립하도록 요구합니다. eKYC 시스템의 개인정보 처리 절차, 보안 정책, 사고 대응 절차가 문서로 정리되어 있어야 합니다. 조직도에서 개인정보 보호 책임자와 담당자가 지정되어 있는지 확인합니다. 보안 정책이 최신 상태로 유지되고 있는지, 정기적으로 검토하고 업데이트하는지 점검합니다. 시스템 구성도, 네트워크 다이어그램, 데이터 흐름도 같은 기술 문서도 준비합니다. 변경 관리 절차가 있는지, 시스템 변경 사항을 기록으로 남기는지도 확인합니다. 이런 문서들은 감리에서 시스템의 전반적인 구조와 관리 체계를 설명하는 데 사용됩니다.
.svg)
.svg)
