증권사, 4월15일 이전 허점·취약점 즉시 수정해야

오늘 오후, 정보보호부(정보통신부)는 정보시스템의 네트워크 보안 강화와 관련하여 증권회사들에 공식 문서를 보냈습니다.

정보 보안 부서 부국장인 Tran Dang Khoan 씨에 따르면, 최근 들어 여러 증권사 시스템에서 네트워크 정보 보안 사고가 발생하여 증권업계에 심각한 피해를 입히고 공황 상태를 초래했으며, 특히 베트남 증권거래소와 전반적인 금융 시장의 안전에 대한 신뢰가 떨어졌습니다.

네트워크 정보 보안에 대한 국가 관리 기능을 수행하는 정보 보안부는 증권회사에 자신이 관리하는 정보 시스템에 대한 네트워크 정보 보안 보장 구현을 검토하고 정리하도록 요청하며, 주요 업무는 다음과 같습니다.

따라서 증권회사에서는 관리하는 정보시스템의 정보보안을 보장하기 위해 검토, 검사 및 평가를 실시하고, 특히 온라인 증권거래를 담당하는 고객계좌관리정보시스템의 위험, 취약성, 약점을 극복하기 위한 대책을 즉시 이행해야 합니다. 이 작업은 4월 15일까지 완료되어야 합니다.

또한, 증권회사는 정보통신부의 정보시스템 보안 수준 보장에 관한 정부령 85/2016/ND-CP호 및 통지문 12/2022/TT-BTTTT에 따라 정보 보안 보증 이행을 검토하고 조직합니다.

법적 규정을 준수하고 모든 계층의 정보시스템 보안을 강화하며, 특히 통계를 정리하고 관리 중인 정보시스템을 분류합니다. 정보시스템 보안을 보장하기 위한 규정을 수준별(월별 진행 상황별)로 구현하고 완료하기 위한 계획을 수립합니다. 늦어도 2024년 9월까지 운영 중인 정보시스템의 100%가 정보시스템 보안수준 승인을 받도록 하고, 늦어도 2024년 12월까지 승인된 수준 제안에 따른 정보보안 보장계획을 전면적으로 이행하도록 한다.

4계층 모델에 따라 정보보안 보장 업무를 효과적이고 실질적이며 정기적이고 지속적으로 실시하고, 특히 전문적 모니터링 및 보호 계층의 역량을 향상시키고 국가 사이버보안 모니터링 센터(정보보안부)와 지속적이고 안정적인 연결 및 정보 공유를 유지합니다. 베트남 기업이 생산하거나 기술을 습득한 네트워크 정보 보안 제품, 솔루션 및 서비스의 사용을 우선시합니다.

위협을 사냥하고 침입 징후를 신속히 감지합니다.

또한, 증권회사는 정보통신부의 전국적 네트워크 정보보안 사고에 대한 조정 및 대응을 규정하는 순환공고 제20/2017/TT-BTTTT호에 규정된 대로, 자사가 관리하는 정보시스템에 대한 사고 대응 계획을 수립해야 합니다. 데이터가 암호화된 경우 신속히 복원할 수 있도록 시스템 및 중요 데이터를 주기적으로 백업하는 계획을 구현하고, 규정에 따라 정보보안부서에 사고를 보고합니다. 국가 사이버 보안 사고 대응 네트워크에 참여합니다.

주기적으로 위협 사냥을 수행하여 시스템 침입 징후를 신속히 감지합니다. 심각한 보안 취약점이 발견된 시스템의 경우, 취약점을 수정한 후 즉시 위협 사냥을 수행하여 이전 침입 가능성을 확인해야 합니다.

정보보안부 및 관계기관, 단체의 경고에 따라 중요 시스템에 대한 정보보안 패치를 점검하고 업데이트합니다. 주기적으로 점검, 평가 및 검토를 실시하여 시스템에 존재하는 정보 보안 취약점과 약점을 신속히 감지합니다.

정보보안부는 기업들에게 4월 15일 이전에 검토를 조직하고 전문가 교류를 위한 중심점을 지정하며 구현 결과를 정보보안부에 보고하여 종합하고 유관 당국에 보고할 것을 요청했습니다.