4월 9일 오전에 열린 "증권업종의 정보 보안" 세미나에서 베트남 사이버 공간 비상 대응 센터(Vncert, 정보통신부 )의 레 콩 푸 부국장은 정보통신부 정보 보안국이 증권사들에게 4단계 모델에 따른 정보 보안 및 레벨별 정보 보안 구현 상황을 4월 15일까지 보고하도록 요청했다고 밝혔습니다. 구체적으로 이 4개 계층에는 현장 보안 인력이 포함되며, 이들은 전문 기관의 평가를 받고, 전문 기관의 모니터링을 받으며, 최종적으로 국가 사이버 보안 모니터링 센터에 연결됩니다.

푸 씨에 따르면, 최근 정보보안부가 이를 시행할 것을 촉구했고, 국가기관들은 매우 좋은 성과를 거두었다고 합니다. 하지만 기업과 금융기관의 상황은 그다지 좋지 않습니다.

"증권사들의 현재 사이버 공격 예방 역량에 대한 조사는 아직 진행하지 않았습니다. 그러나 최근 VNDirect에서 발생한 사이버 공격 사건 이후, 특히 대부분의 증권사와 일반 기업들이 모든 단계에서 사이버 보안 관련 정보를 준수하지 않는 것으로 나타났습니다."라고 푸 씨는 말했습니다.

베트남 사이버 비상 대응 센터(Vncert) 부소장 레콩푸 씨 사진: Trong Hieu.

2020년 투자법 부록 IV 제25조 및 법령 85/2016/ND-CP 제9조 제2항 b목의 규정에 따라, 증권 서비스를 제공하는 정보 시스템은 정보 시스템 보안을 수준에 따라 보장하는 것에 관한 정부 법령 85/2016/ND-CP(2016년 7월 1일자) 및 정보통신부 장관의 2022년 8월 12일자 회람 12/2022/TT-BTTTT에 규정된 수준에 따라 정보 시스템 보안을 보장해야 합니다.

따라서 증권회사에 보낸 공식 공문에 따르면, 수준에 따라 정보시스템 보안을 보장하지 못하는 것은 법률 위반이며, 우편, 전기통신, 무선주파수, 정보기술 및 전자거래 분야의 행정위반에 대한 제재를 규정하는 정부령 제15/2020/ND-CP호 제88조 및 제89조에 따라 행정 제재를 받을 수 있습니다.

동시에 푸 씨는 현재 정보보안 규정 위반에 대한 제재는 상당히 가볍고, 실제로는 위반이 발생했을 때의 피해보다 낮게 볼 수 있다고 강조했습니다.

하지만 최근 VNDirect에서 발생한 것과 같은 예상치 못한 사건이 발생한다면 벌금은 적겠지만 명예와 위신에 큰 타격을 입힐 수 있습니다. 앞으로 벌금이 인상될 가능성이 있으며, 기업은 네트워크 정보 보안을 강화해야 할 수도 있습니다.

사이버 보안 분야 위반에 대한 행정 제재에 관한 법령이 최근 검토되었으며, 곧 발표될 것으로 예상됩니다. 특히 개인정보보호 위반에 대해서는 이전 회계연도 총수입의 최대 5%에 해당하는 행정벌금을 부과하거나, 1~3개월간 영업허가를 취소하는 처분을 내릴 수 있다.

응오 뚜안 아인(Ngo Tuan Anh) 씨 - SCS 사이버 보안 회사 사장, 베트남 정보 보안 협회 부회장 사진: 트롱 히에우(Trong Hieu).

SCS 사이버 보안 회사의 대표이자 베트남 정보 보안 협회 부회장인 응오 투안 아인(Ngo Tuan Anh) 씨에 따르면, 정보 보안을 보장하기 위한 규정이 이제 회람을 통해 상당히 명확한 지침과 함께 제공되며, 각 수준에 따라 다른 수준의 요구 사항이 적용됩니다.

"예를 들어, 레벨 3 증권사의 경우, 관리 및 기술 운영에 대한 구체적인 내용이 명시되어 있습니다. 각 부서는 구체적인 사례를 참고하여 규정을 준수해야 합니다. 법적 규정을 올바르게 이행할 때는 규정 미준수로 인한 추가 제재 위험을 방지하기 위해 규정 준수를 확실히 해야 합니다."라고 투안 안 씨는 강조했습니다.

PwC의 수석 보안 전문가인 Tran Minh Quan 씨에 따르면, 국가별 경험을 공유한 연구에 따르면 영국과 미국 등 대부분 국가는 사이버 보안에 대한 국가 통계를 검토하고 수집하는 전문 부서를 설립했습니다. 이를 통해 보안 프레임워크를 포함한 보호 형태를 제공하고, 공격을 받았지만 무엇을 해야 할지 모르는 유닛을 지원합니다. 이 태스크 포스는 포털에 정보를 게시하고, 각 부대에 보고서를 보내 경고를 발행하여 정보 보안을 강화하고, 해커의 공격을 받았을 경우 복구를 위한 특정 조치를 취해야 함을 부대에 알립니다.