➰ 서론
최근 정보통신기술의 급속한 발전과 함께 AI, 블록체인 등 전자금융거래 환경이 다양해지고 있다. 그러나 이와 동시에 금융 시스템을 악용하려는 공격자들의 위협도 증가하면서 금융권 보안이 심각한 위기에 처해 있다는 경고가 나오고 있다.
또한 금융전산망 마비 사고와 고객 정보 유출 사건이 빈번하게 발생하면서 금융기관들은 큰 어려움에 봉착하고 있다. 최근 발생한 몇 가지 사례를 보면, 해커들은 점점 더 정교한 방법을 사용하여 금융 시스템의 취약점을 공략하고 있다.
그 결과, 금융권 내에서는 여러 규제들이 만들어졌고, 이로 인해 금융권 IT 종사자들은 관련 기술을 활용하는 데 제약을 받게 되었다.
또한 금융기관들의 보안 취약점에 대한 인식과 대응책을 강화하기 위해 아래와 같은 전자금융거래법 및 전자금융감독규정이 만들어졌다. 규정에 따라 금융기관들은 보안 취약점 점검을 매년 실시하게 되었다.
📍 대규모 시스템 마비와 막대한 금융적 손실을 막기 위해 금융기관들이 실시하는 전자금융기반시설 보안 취약점 점검 절차와 개요에 대해 알아보자.
🌱 실제로 필자는 보안 취약점을 찾고 대응책을 마련해주는 보안 컨설팅을 수행하는 업무를 했다.
보안 취약점 점검 절차 및 모의해킹 기법을 알아두면 개발자여도 개발할 때 잠재적 위험을 방지할 수 있고 이행점검이니 금취분평이라던지 용어에 익숙해져 정보보안팀과 소통도 잘 되기 때문에 알아두면 정말 좋다.
➰ 전자금융거래법
" 정보통신기술 발전에 따라 전자금융거래 환경이 다양해지고 이를 악용하여 금융적 이익을 취하려는 공격자로 인하여 금융 전산망 마비 사고 및 고객 정보 유출 사고와 같은 위험이 발생하고 있다. 이에 따라 금융사는 전자금융거래법 및 동법 시행령 전자금융감독규정 등에 의하여 금융 정보통신의 정보보호 규정에 따라 매년 취약점 분석·평가를 의무적으로 수행해야 한다."
"금융회사 및 전자금융업자는 「전자금융거래법」 제21조에 따라 전자금융거래의 안전성과 신뢰성을 확보하기 위하여 전자금융기반시설에 대하여 「정보통신기반보호법」 제9조에 근거한 취약점 분석·평가를 1년을 주기로 실시하여 그 결과를 금융위원회에 보고하여야 한다. 또한 취약점 분석·평가의 대상, 기간, 절차, 방법, 소요예산 편성 및 집행 등 취약점 분석·평가를 구체적으로 시행하기 위하여 필요한 계획을 수립·시행하여야 한다."
요약하면 아래와 같다.
-
은행과 같은 금융사는 그들이 운영하는 금융 시스템을 1년을 주기로 시스템의 보안 취약점을 분석하고 평가하는 것이 법적으로 의무화 되어 있다.
-
실제로 금융 회사들은 매년 취약점 분석 및 평가를 수행하고 있다. 만약 수행하지 않으면 벌금과 불이익이 어마어마한 걸로 알고 있다.
-
우리가 사용하는 은행의 뱅킹 앱, 뱅킹 사이트 들은 매년 보안 취약점 점검을 받아야 한다.
➰ 전자금융기반시설 보안 취약점 개요
전자금융감독규정 37조의2 (전자금융기반시설의 취약점 분석·평가 주기, 내용 등)
금융기관 또는 전자금융업자는 연 1회 이상 전자금융기반시설의 취약점 분석·평가를 실시하고, 이행계획을 수립·시행 하여야 한다.
금융 보안원은 보안 취약점을 참가기관의 전자금융기반시설, 주요정보통신기반시설 등에 대한 자산분석, 취약성 분석 등을 통해 해당 시설의 전자적 위협 요인을 파악한 후, 위협요인에 대한 취약점을 식별하고 파급 영향을 분석하여 정보보호 대책 수립을 지원한다고 정의한다.
➰ 보안 취약점 진단 목적
보안 취약점 진단은 고객사의 주요 정보시스템을 대상으로 취약점 평가 항목을 점검하여 내재되어 있는 보안 취약점을 도출하고, 그 발생 원인을 분석하여 보안 수준을 강화함으로써 서비스의 안전한 운영을 목적으로 하고 있다.
➰ 점검내역
-
점검기준: 전자금융기반시설 보안 취약점 평가기준 안내서 (금융보안원, 제2024-1호)
-
점검주기: 인프라 연1회, 모의해킹(웹/모바일) 연 2회
-
점검절차: ①점검대상 선정 → ②취약점 진단 → ③도출취약점 이행개선 → ④도출취약점 이행진단 → ⑤정보보호위원회 승인 → ⑥금융감독원 제출
-
진단 절차: ①현황분석 -> ②취약점 진단 -> ③위험 평가 및 분석 -> ④보호대책 수립 및 이행점검 -> ⑤보고서 작성
➰ 점검대상
*실제 점검 대상 개수를 정확히 기입해주셔야 합니다.
(이렇게 표로 정리되어 있는 걸 원했는데 공식 문서에는 이렇게 정리되어 있는게 없어서 https://smartari.tistory.com/4 여기에서 가지고 왔습니다)
(실제로 이런식으로 표로 몇대가 점검 대상인지 정리해서 공유해줍니다)
➰ 분야별 점검 사항
➰ 점검업체선정
금융회사 및 전자금융업자는 「전자금융거래법」 제21조에 따라 「정보통신기반보호법」 제9조 ③항에서 한국인터넷진흥원, 정보공유·분석센터(ISAC), 정보보호 전문서비스 기업 및 한국전자통신연구원(ETRI) 에 재직중인 인원 중 과학기술정보통신부에 기술인력으로 등재된 인원만 소관 주요정보통신기반시설의 취약점을 분석·평가하게 할 수 있다.
금융기관에서는 지정된 전자금융기반시설의 취약점 분석∙평가 전문기관 중에서 몇개를 선정하여 경쟁입찰을 진행하고 여러 요소를 고려하여 보안 컨설팅 업체를 선정한다.
➰ 전자금융기반시설 보안 취약점 평가 기준
정보보호업체마다 각각의 고유한 취약점 진단 기준이 존재한다. 하지만 전자금융기반시설 보안 취약점 평가 기준이 가장 기본이다.
각각의 고유한 취약점 진단 기준으로 보안 취약점을 찾아내고 대응 방안을 작성하여 평가 결과물을 전달한다.
📍 전자금융기반시설 분야별 보안 취약점 평가 기준은 2024년을 기준으로 개정된 부분이 몇가지 있습니다. 다음 포스팅에서 개정된 전자금융기반시설 취약점 분석 평가 기준(웹/모바일)에 대해서 자세히 다뤄보겠습니다.
➰ 이행 점검 후 완료
선정된 보안 컨설팅 업체에서 취약점 점검을 마친 후 발견된 취약점이 제대로 조치가 되었는지 확인하는 이행점검까지 완료하고 결과보고서를 작성하면 보안 취약점 점검 절차가 마무리 된다.
➰ 참고
