금융사 상시 재택근무 허용...보안요건은?

내년 1월 1일부터 금융회사는 상시 재택근무를 할 수 있다. 코로나19가 장기화되자 금융당국은 ‘전자금융감독규정 시행세칙’ 개정을 통해 금융사의 재택근무 규제를 완화했다.

따라서 금융사가 안전한 재택근무 체계를 준비해 필요시 빠르게 전환할 수 있도록 했다. 원격접속 방식은 자율적으로 선택할 수 있다. 단, 재택근무 시에도 사내 근무환경에 준하는 보안수준을 유지해야 한다는 조건이 달렸다.

금융사가 안전한 재택근무 체계를 갖추도록 하기 위해 지난 18일 금융보안원은 ‘금융회사 재택근무 보안 안내서’를 발간했다. 금융위원회, 금융감독원, 금융사 등의 의견수렴을 거쳐 재택근무 시 준수해야 할 정보보호 사항을 구체적으로 설명했다.

상시 재택근무 대상은 금융사의 임직원, 외주직원(콜센터 등) 등이다. 물리적 망분리 적용 대상자인 전산센터 시스템 개발·운영·보안 업무 담당자와 원격 시스템 유지보수 업무 담당자는 상시 재택근무 대상에 해당되지 않는다. 다만, 전산센터 인력은 금융사 자체 비상계획에 따라 장애, 재해 등의 긴급상황 발생 시 원격접속이 가능하다는 예외조항이 있다.

먼저, 원격접속을 통해 내부망에 접속하는 방식은 간접접속과 직접접속으로 구분할 수 있다. 간접접속은 외부 단말기에서 회사 내부의 업무용 단말기를 경유해 내부망에 접속하는 방식이다. 가상화데스크톱기반(VDI), 원격접속 프로그램 이용이 해당된다. 직접접속은 외부 단말기에서 내부망에 직접 접속하는 방식이다.

재택근무 시 외부 단말기를 사용할 경우 꼭 지켜야 할 보안사항이 있다. 외부 단말기의 인터넷 연결은 항상 차단해야 한다. 또 백신 프로그램 설치, 안전한 운영체제(OS) 사용, 정보유출 방지대책, 로그인 비밀번호, 화면보호기 설정을 의무적으로 해야 한다. 만약 외부 단말기가 모바일 기기일 경우, 모바일에 특화된 보안사항을 추가적으로 적용할 것을 권고하고 있다.

외부 단말기를 통해 ‘간접접속’을 한다면

외부 단말기를 통해 간접접속을 할 경우, 외부용·업무용 단말기 간 파일 송수신을 의무적으로 차단해야 한다. 원격접속 프로그램을 활용한다면, 외부 단말기에 추가적인 보안통제를 해야 한다. 외부 단말기에 업무 관련 자료 저장, 취약한 프로그램 사용, 기본 포트 사용, 업무용 단말기 보안설정 변경 등을 금지해야 한다.

만약 회사가 지급한 것이 아닌 개인 단말기를 사용할 경우, USB 등 휴대 접근매체를 활용할 것을 권고했다. 휴대 접근매체에는 부팅이 가능한 운영체제를 탑재하고 원격접속 전용 소프트웨어(SW), 보안프로그램 등 원격 접속에 필요한 SW를 사전에 설치하도록 권고했다.

금보원 관계자는 “노트북에 USB 연결을 통해 OS를 실행할 수 있다”며 “USB의 경우 보안성이 검증되어야 하며, 노트북 사용을 최소화했다는데 의미가 있다”고 설명했다.

외부 단말기를 통해 ‘직접접속’을 한다면

외부 단말기를 통한 직접접속은 업무 데이터가 외부 단말기에 저장되기 때문에 정보 유출 등 보안에 민감하다. 따라서 금보원은 직접접속 시, 외부 단말기에 추가 보안통제 대책을 의무적으로 적용하도록 했다.

의무 보안사항으로 악성코드 감염을 방지하기 위해 사내 보안정책에 따라 인가되지 않은 SW의 설치를 차단해야 한다. 외부 단말기 보안 설정을 임의로 변경하지 못하도록 해야 하며, 외부저장장치의 읽기·쓰기 기능을 차단한다. 외부 단말기 분실에 대비해 정보 유출 방지 대책을 적용해야 한다.

권고 사항으로는 민감한 업무 자료를 처리할 경우, 외부 단말기 내 가상머신(VM) 환경을 구성하고, 가상머신 디스크를 암호화 조치하도록 했다. 업무자료를 내부 서버로 전송 시 자료의 무결성을 검증할 것을 당부했다.