총 자산이 2조원을 넘는 마이데이터 서비스 사업자는 앞으로 '신용정보관리·보호인'을
둬야 한다. 사이버보안을 책임지는 정보보호최고책임자(CISO)와 유사한 역할이다.
1만명 이상 개인정보 유출 시 15일 동안 인터넷 홈페이지에 개인정보 유출 사실을 공지해야
 하는 의무도 부여된다. 마이데이터 사업의 본격 개막을 앞두고 침입탐지시스템, 백신 소프트
웨어(SW), 정보보호관리체계(ISMS) 컨설팅을 중심으로 사이버 보안 특수가 기대된다. 정부는
 이 같은 내용을 골자로 한 '마이데이터 서비스 종합 보안대책'을 만든다. 이르면 다음 달 강력한
 보안 요건을 담은 시행 계획을 발표한다.

17일 본지는 금융 당국이 수립하고 있는 마이데이터 서비스 보안 대책 계획을 단독 입수했다.

대책 계획에 따르면 우선 데이터의 체계적 보안 관리와 사고 예방을 위해 신용정보관리·보호인
지정제가 도입된다. CISO처럼 모든 정보 제공과 활용, 보호·관리를 총괄한다. 총 자산 2조원 이상,
종업원 수 300명 이상인 기업은 임원 임명을 의무로 해야 한다.

신용정보관리·보호인은 △개인정보 보호 계획 수립·시행 △개인정보 관련 불만 처리 및 피해 구제
 △정보 누설, 오용 남용 방지를 위한 내부 시스템 구축 △개인신용정보 보호 교육 계획 수립
 △신용정보 보호 관련 법령, 규정 준수 여부 점검을 수행하게 된다.

관리 강화를 위한 '개인신용정보 활용체제 공시' 제도도 검토되고 있다.

신용정보 주체가 열람할 수 있도록 신용정보 활용 체제를 점포, 사무소에 갖추거나 인터넷 홈페이지에
 게시하는 방안이다. 유출 등을 막기 위해 전자 파일은 복원이 불가능하도록 영구 삭제하고 인쇄물이나
그 밖의 기록 매체는 파쇄와 소각을 의무화한다.

개인정보 데이터 유출 대응책도 마련됐다.

1만명 이상의 개인정보가 유출됐을 경우 해당 사업자는 15일 동안 인터넷 홈페이지에 그 사실을 게시해야
 한다. 또 7일 동안 주된 사무소가 있는 지역을 보급 지역으로 하는 일간신문·주간신문에 이 사실을 의무
게재하는 방안도 검토한다.

정부는 강력한 물리적 보안 대책도 수립했다.

우선 개인신용정보 처리시스템을 운영하는 전산 설비를 분리한다. 운영 장소는 물론 보호구역을 지정해
운영하고, 엄격한 출입통제시스템을 갖춰야 한다. 외부 공동전산시설(IDC)을 이용하는 경우 일정 수준
이상의 물리적·기술적 보호 조치를 갖춘 시설을 이용하는 별도의 가이드라인을 권고할 방침이다.
 정보보호관리체계(ISMS, ISO27001 등) 인증을 취득한 안전한 시설로 제한한다는 방안이다.

모든 개인정보는 암호화한다. 암호화 의무 적용 대상은 비밀번호와 바이오 정보, 개인 신용 정보, 주민등록
번호, 개인식별 정보 등이다. 특히 본인인증정보는 신용정보법에 따라 암호화 처리하고, 조회 자체가 되지
 않도록 조치한다.

업무용 단말기, 모바일 기기에 개인정보를 저장할 경우 상용 암호화 SW 또는 안전한 알고리즘을 채택해야 한다.
 정보통신망을 통해 개인신용정보, 인증정보를 송·수신할 때는 별도의 보안 서버를 구축, 암호화한다. 웹서버에
 전송계층보안(TLS) 인증서를 설치, 모든 구간의 암호화 송수신 체계를 확립키로 했다.

별도의 침입 탐지·차단 시스템을 설치 운영하고, 이상거래(IP 기록, 인증 실패 횟수, 과도한 API 요청 등)가 발생할
 경우 모든 기록을 지원 기관에 의무적으로 공유토록 했다.

금융보안 업계는 마이데이터발 특수에 기대를 걸고 있다. 정부의 강력한 마이데이터 보안 종합 대책이 시행될 경우
 후방산업인 보안업계에 훈풍이 불 것으로 전망된다. 다양한 인프라 도입과 전산 설비, 백신 SW, 침입탐지 시스템
도입 등 대형 사업 프로젝트 발주가 예고되고 있다.

한 금융사 관계자는 “마이데이터 라이선스를 획득하기 위해서는 강력한 정부 보안 지침을 수용할 수밖에 없다”면서
“대형 금융사의 경우 대규모 보안 투자는 물론 준비에 만전을 기하고 있다”고 분위기를 전했다.

길재식기자 osolgil@etnews.com