국가증권위원회(SSC)는 증권회사와 펀드 운용회사에 증권거래 활동을 위한 네트워크 정보 보안을 강화할 것을 요청하는 공식 공문 제3351/UBCK-CNTT를 발표했습니다. 본 문서는 2024년 3월 25일자 국가증권위원회 공식 발표 제1837/UBCK-CNTT호에 대한 후속 문서로, 온라인 증권 거래 시스템의 보안에 대한 경고를 담고 있습니다.

이에 따라 네트워크 정보 보안을 강화하고, 긴급 상황 대응 조치를 취하고, 보안을 보장하고, 거래 시스템의 안전과 투자자 권리를 보장하기 위해 국가증권위원회는 4가지 요구 사항을 발표했습니다.

특히, 증권회사와 펀드운용회사는 정보통신부의 2022년 8월 12일자 회람 제12/2022/TT-BTTTT 제11조 및 제12조와 정부령 제85/2016/ND-CP에 따라 정보시스템에 대한 정보보안 검사 및 평가를 실시해야 합니다.

둘째, 국가증권위원회는 또한 기업이 각 등급의 정보시스템 보안 규정을 준수하고 법령 제85/2016/ND-CP호 제19조에 명시된 내용에 따라 정보 보안 요구 사항을 충족하기 위한 보호 조치를 이행할 것을 요구했습니다. 회람 제12/2022/TT-BTTTT의 제9조, 제10조 및 국가 표준 TCVN 11930:2017.

증권회사와 펀드운용사는 온라인 증권거래시스템의 보안사고 및 비상상황에 대응하기 위한 계획을 수립해야 합니다. 마지막으로, 국가증권위원회는 해당 기관이 임직원을 대상으로 정보 보안에 대한 인식을 높이기 위한 선전과 보급을 실시할 것을 요구합니다.

이전에는 2022년 3월 말에 VNDirect의 정보 기술 시스템에 심각한 공격이 가해져 이 증권 회사의 고객이었던 투자자들이 일주일 동안 거래 활동을 "중단"한 적이 있습니다.

3월 말 증권사 사이버 공격 직후, 정보통신부 산하 정보보호국은 증권사들에게 4계층 모델에 따른 정보보호 수준 및 정보보호 수준별 이행 현황을 보고하도록 요구했습니다.

증권회사에 보낸 공문에 따르면, 수준에 따라 정보시스템 보안을 보장하지 못하는 것은 법률 위반이며, 우편, 전기통신, 무선 주파수, 정보기술 및 전자거래 분야의 행정 위반에 대한 제재를 규정하는 정부령 15/2020/ND-CP 제88조 및 제89조에 따라 행정 제재를 받게 됩니다.

이는 투자법 2020 및 법령 85/2016/ND-CP에 규정된 보고 의무로, 증권 서비스를 제공하는 정보 시스템이 각 레벨에서 정보 시스템 보안 보증을 구축하도록 요구합니다. 현재 이러한 위반에 대한 행정 처벌은 매우 낮습니다. 그러나 금융 서비스 부문에서 운영되는 회사의 경우 평판, 신용, 고객 신뢰도가 손상되는 것은 심각한 문제입니다.