11월 29, 2020

민감한 지급결제 정보의 저장

민감한 지급결제 정보의 저장, 감시, 추적 및 접근통제에 관한 절차에 대해서는 국내 법규에서도 전산자료

의 보호를 위한 보안수단과 통제절차를 요건으로 제시하고 있어 대응하는 내용을 확인할 수 있다. 그리고

핵심 업무의 정의 와 비상계획의 수립 및 주기적인 비상계획의 타 당성과 효율성 평가에 대해서는 국내법규

에서 재해에 대비한 비상대책의 수립과 백업과 복구에 필요한 장비․절차 등의 요건이 대응하였다. 마지막으

로 상세한 위험평가 및 보안위험으 로부터 서비스와 중요 정보를 보호하기 위한 보안수단에 대해서는 식별

된 보안위험에 대한 논리적․물리적․관리적 보안체계에 대해서 는 국내법규에서도 대응 요건을 확인할 수 있

으나, PSD2의 위험평가와 관련한 요건은 대응 하는 내용을 확인하기 어려웠다. 이처럼 PSD2에서 허가 또는

등록 단계에서 보유하도록 요구하는 구체적인 보안수단과 통 제절차에 대해서는 국내법규에서도 대부분 대

응하는 요건을 제시하고 있으나, PSD2에서 위 험을 파악하고 대응 수준과 방법을 판단하기 위한 위험평가

에 대한 요건에 관해서는 국내법 규와 분명한 차이가 발생하고 있다. 전자금융거래법은 제21조에서 전자금

융거 래의 안전성과 신뢰성을 확보하기 위한 금융위 원회의 기준을 준수하도록 규정하고 하위 규정 인 전자

금융감독규정 제7조부터 제37조까지에 서 이에 대한 상세한 요건을 제시하고 있으며, 아웃소싱(제60조)과

금융당국에 대한 사고보 고(제73조) 등 일부 사항은 그 외의 조항에서 대응하는 내용을 규정하고 있다. 먼저

PSD2의 거버넌스 항목에서는 보안위 험관리프레임워크의 요건, 위험관리 및 통제모 델의 기준, 아웃소싱

부문에 대한 요건 등을 제 시하고 있으며, 전자금융감독규정에서는 이에 대응하는 내용으로 정보보호최고

책임자의 직 무와 정보보호위원회의 구성 등의 항목을 통해 조직 구성과 수행 업무에 대한 구체적인 요건

을 직접 규정하고 있으며 별도 항목으로 정보 보호 인력․예산 보유 기준을 구체적으로 제시 하고 있다. 그리

고 정보기술부문계획서의 검토 의무를 부과하여 보안체계에 대한 주기적인 평 가․개선이 이루어지도록 규

정하고 있다. 여기 에 PSD2는 먼저 통제모델의 기준으로 ‘3선방 어체계’를 제시하고 추가 요건을 규정하였

다면, 전자금윰감독규정은 금융당국이 효과적인 보 안 통제체계에 필요하다고 판단한 조직의 구 성․업무․역

할 등을 분야별로 비교적 상세하 게 제시하고 규제 대상 기관이 이를 준수하여 보안체계를 확보하도록 하는

특징이 있으며, 아웃소싱에 대해서도 외부주문과 계약 항목을 통해 요건을 상세하게 제시하고 있다 다음으

로 PSD2는 보호와 탐지를 분리하여 보호에 대해서는 보안위험에 대한 ‘심층방어’ 체계 구성을 원칙으로 시

스템과 데이터 보호, 물리적 보안, 접근통제 등의 분야별 요건을 제 시하되 보호 대상 업무와 정보자산의 중

요도 등은 위험평가 항목에 근거하도록 규정하였으 며, 탐지에 대해서는 지속적인 모니터링, 보안 사고의

보고 등에 대한 요건을 제시하고 있다. 이와 달리 전자금융감독규정은 각 분야별로 하나의 조항에서 보호와

탐지 요건을 함께 제시 하고 있다. 분야별로 규제 대상 기관이 보유해야 할 암호화, 악성코드 대응 등 보안수

단과 프로그 램 변경통제, 암호키 통제 등 통제절차 및 직무분 리 등의 요건을 상세하게 규정하고 있으며, 보

안 수단과 통제절차에 대한 감시․추적이 필요한 경우 접속기록 보존 등을 분야별 규정에서 추가 로 제시하

고 있으며, 별도로 중요 사고에 대해서 는 금융당국에 대한 보고절차를 규정하고 있다

출처 : 토토사이트추천 ( https://ptgem.io/ )