[SK shieldus Rookies 16기][클라우드 보안 컨설팅 실무] 금융보안

Jina·2024년 1월 25일
SK shieldus Rookies클라우드 보안 컨설팅 실무클라우드기반 스마트융합보안
0

SK shieldus Rookies 16기

목록 보기
59/59
post-thumbnail
post-custom-banner

1. 보안동향

  1. Financial Policy 디지털 금융 정책 :
    • 자율보안체계
    • 탄력성, 사이버 복원력
    • 클라우드 마이그레이션
  2. Security Threat 보안 위협 :
    • 공격채널 다양화, 하이브리드 위협
    • SW 공급망 공격
    • SBOM의 중요성
    • 피싱범죄에 딥페이크 기술 악용
  3. IT Innovation IT 혁신 :
    • 디지털 지갑
    • AI 안전성, 신뢰성 확보
    • 사물인터넷(IoT) + 디지털 금융 = 금융사물인터넷(FoT)

2. 법률 동향

금융권 정보보호 정책/지침 문서체계

  • 법령 :
    • 전자금융 거래법 - 동법 시행령
    • 신용정보법
    • 금융실명법(은행/증권 등)
    • 여신전문금융업법(카드)
    • 보험업법(보험)
  • 행정규칙 :
    • 전자금융감독규정 - 동 규정 시행세칙
      • 행정지도 : 금융회사 정보기술(IT) 부문 보호 업무 이행지침
  • 사규 :
    • 규정
    • 지침
    • 매뉴얼
    • 가이드
    • 전산정보 업무규정
    • 전산정보보안업무지침
    • 매뉴얼 제5편 제1장 정보보안
    • PC 보안관리 가이드

2.1. 법규/컴플라이언스 상의 취약점 분석평가 강제 조항

  • 전자금융 기반시설 :
    • 정보통신기반 보호법 제9조(취약점 분석·평가)
    • 전자금융거래법 제21조의3(전자금융기반시설의 취약점 분석·평가)
    • 전자금융감독규정 제37조의2(전자금융기반시설의 취약점 분석평가 주기, 내용 등)
  • 정보보호 관리체계 :
    • 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제47조(정보보호 관리체계의 인증)
    • 동법 시행령 제49조(정보보호 관리체계 인증 대상자의 범위)
    • 정보보호관리체계 인증에 관한 고시 제14조(인증 의무대상자 범위)
  • 정보보호관리체계 ISO27001 :
    • 인증 규격 상의 8.2정보보호 위험 평가
  • 정보보호 권고사항(망법) :
    • 정보보호조치에 관한 지침(방통위고시 제2013-3호)
  • 개인정보보호법 :
    • 법 제29조(안전조치의무)
    • 개인정보의 안전성 확보조치 기준 제5조(접근통제)
    • PMS 9.22 기술적 점검 > 기술적 보안점검 정기 수행

3. 보안취약점 분석평가

3.1. 정의

전자금융기반시설에 안전성과 신뢰성을 저해하는 사이버 위협에 대응하기 위해 잠재된 보안 위협을 찾고 이를 개선하기 위한 사전 예방 활동을 의미

3.2. 평가 대상

금융회사 및 전자금융업자는 관계 법령에서 정한 내용에 따라 전자금융업무를 처리하기 위한 정보처리시스템 대상으로 취약점을 분석하고 평가함

3.3. 평가 주기

  • 공개 홈페이지 연2회 이상
  • 전자금융기반시설 연1회 이상

3.4. 분석평가 방법

취약점 평가 수행 시 금융회사가 자체전담반을 구성하여 운영하는 방안과 외부 평가 전문기관에 위탁하는 방안으로 구분

  1. 금융회사가 자체전담반을 구성하여 운영하는 방안
  2. 금융회사가 평가전문기관에 위탁하는 방안

3.5. 분석평가 절차

  1. 사전 분석 : 평가계획 수립 및 업무 현황 파악등
  2. 취약점 분석 : 자산분석, 취약점 분석 등
  3. 취약점 평가 : 전보보호분석·평가 지구 산출 등의 종합평가
  4. 대책 수립 : 발견된 취약점에 대한 보안대책 수립 등
  5. 사후 평가 : 발견된 취약점에 대한 조치계획 수립 등

SK 쉴더스에서 하는 보안취약점 분석평가 절차

  1. 요구 분석
  2. 범위 선정
  3. 자산 분석
  4. 위협 분석
  5. 취약성 분석
  6. 기존대책 분석
  7. 위험 평가
  8. 개선대책 권고
  9. 개선이행 점검
    ⇒ 금융회사 보안 취약점 분석 · 평가 결과 보고서 작성

결과보고서 및 보완조치 이행계획서를 분석평가 종료 후 30일 이내 금융감독원에 제출하여야 한다.

3.6. 분석평가 기준

전자금융기반시설 보안 취약점 평가기준은 「금융 IT 보안 컴플라이언스 가이드」 (2017.10, 금융보안원) 를 준용하여 11개 통제분야 및 280개 세부항목으로 구성

4. 금융 회사 · 기관 분류

  • 은행
    • 일반은행
    • 특수은행
  • 비은행예금취급기관
    • 종합금융회사
    • 상호저축은행
    • 신용협동기구
    • 우체국 예금
  • 증권회사, 자산운용회사
    • 증권회사
    • 자산운용회사
    • 산물회사
    • 증권금융회사
    • 투자자문화사
  • 보험회사
    • 생명보험회사
    • 손해보험회사
    • 우체국보험
    • 공제기관
    • 한국수출보험공사
  • 기타 금융회사
    • 여신전문금융회사
    • 벤처캐피탈회사
    • 신탁회사
  • 금융 보조기관
    • 금융감독원
    • 예금보험공사
    • 금융결제원
    • 신용보증기관
    • 신용평가회사
    • 한국자산관리공사
    • 한국주택금융공사
    • 한국거래소
    • 자금중개회사

5. 환경적 보안

  • 물리적 환경적 보안
    • 전산실 보안
  • 관리/물리영역
    • 단말기 보호대책
    • 전산자료 보호대책
    • 악성코드 감염 방지대책
    • 공개 서버 보안
    • IP주소 관리
    • 암호 프로그램 및 암호키 관리
    • 취약점 분석 · 평가
    • 계정 및 권한 관리
    • 정보처리시스템 관리자 통제
    • 내부사용자 비밀번호 관리
    • 이용자 비밀번호 관리
    • 일괄작업 통제
    • 업무 지속성 확보 방안
    • 위기대응 행동 메뉴얼 수립
    • 전자금융거래 시 준수사항
    • 이용자 정보보호
    • 외부주문 계약 준수사항
    • 외부주문 시 보호 대책
    • 외부주문 등에 대한 기준
    • 침해사고 대응
    • 정보기술 부문 및 전자금융 사고보고
    • 손해배상
    • 정보기술부문 및 전자금융 사고보고

6. 보안컨설팅 사업

6.1. 사업 유형 분류

  1. 대중성 :
    • 트렌드 및 이슈, 전통성에 의거한 분류
    • 보안 컨설팅 기업의 일반적 분류법
  2. 컴플라이언스 :
    • 법적인 강제성 보유 유무에 의한 분류
  3. 정형 vs 비정형 :
    • 평가/점검 기준이 존재, 산출 문서가 틍정되어 있음.
    • 경우에 따라 결과보고서 포맷이 정해져 있음.
    • 과거 산출물을 참고하여 작성
    • 일반적인 분류 기준이 아닌 의미상의 분류
  4. 신기술영역, 융합보안영역 :
    • 특정 신기술 영역 여부에 의한 분류
    • 재조명된 영역 여부

6.2. 컨설팅 유형

  1. 보안시스템 도입/구축 컨설팅
  2. 보안시스템 운영 컴플라이언스 준수 점검 컨설팅
  3. 보안시스템 운영관리 수준 점검 컨설팅
  4. 보안시스템 아키텍처 수립 컨설팅
  5. 보안시스템별 심화 모의해킹

6.3. 보안컨설턴트 vs 아키텍트

  • People
  • Process
  • Technology

7. 정보보호 컨설팅 방법론(ISCM)

ISCM (Infosec Security Consulting Methodology)은 금융, 통신, 제조, 공공 등 각 사업 분야에서 다년간 검증된 방법론

7.1. 수행절차

  1. 환경분석
  2. 현황분석
  3. 위험평가
  4. 보호대책수립
  5. 조치지원

8. 현황 분석

8.1. IT 인프라 취약점 점검 - 수행절차

  1. 사전준비
  2. 취약점 점검 수행
  3. 취약점 분석 및 조치지원
  4. 개선안 수립

8.2. 정보보호관리체계 평가 기준

  • 관리적 보안
    1. 정보보호 정책
    2. 정보보호 조직
    3. 인적 보안
    4. 업무 지속성 관리
    5. 외부주문 보안
  • 기술적 보안
    1. 운영관리
    2. 접근통제
    3. IT 도입 · 개발 · 유지보수 관리
    4. 전자금융거래 보안
    5. 보안사고 대응
  • 물리적 보안
    1. 물리적 · 환경적 보안

9. 위험분석 및 평가

9.1. 위험분석 평가 절차

  1. 자산 분석 : CIA 기준으로 자산별 중요도 산정
  2. 위협 분석 : 위협 시나리오 기반으로 위협 유형 정의 및 평가
  3. 취약성 분석 : 취약성 평가
  4. 위험도 분석 : 위헙도 산정 및 평가
    • 공통관리 위험
    • 접근 경로별 위험
    • 단위 시스템별 위험
  5. 보호대책 수립 : 조치이행에 따른 증적 수집

10. 개인정보보호법 주요 개정사항

  • 개인정보 전송요구권 :
    • 정보주체는 자신 또는 다른 개인정보처리자에게 개인정보 전송을 요구할 수 있음
    • 개인정보보호법 제35조의2(개인정보의 전송 요구)
  • 자동화된 결정 대응권 :
    • 정보주체는 자동화된 시스템으로 이루어지는 결정에 대해 거부 및 설명 요구 가능
    • 개인정보보호법 제37조의2(자동화된 결정에 대한 정보주체의 권리 등)
  • 국외 이전 중지 명령 :
    • 개인정보 국외 이전으로 정보주체의 피해가 우려 시 국외 이전 중지 명령 가능
    • 개인정보보호법 제28조의9(개인정보의 국외 이전 중지 명령)
  • 개인정보 처리방침 평가 :
    • 보호위원회는 개인정보 처리방침을 평가하고, 개선 권고 가능
    • 개인정보보호법 제30조의2(개인정보 처리방침의 평가 및 개선권고)
  • 재위탁 공개 및 동의 의무 :
    • 위탁사는 수탁사가 재위탁 시 공개하고, 수탁사는 최초 위탁자의 동의를 받아야 함
    • 개인정보보호법 제26조(업무위탁에 따른 개인정보 처리제한)
  • 민감정보 위험 고지 :
    • 민감정보가 공개될 위험이 있는 경우 공개 가능성 및 비공개 선택 방법을 알려야함
    • 개인정보보호법 제23조(민감정보의 처리제한)
  • 이동형 영상정보 처리기기 :
    • 이동형 영상정보처리기기 운영 요건 정의
    • 개인정보보호법 제25조의2(이동형 영상 정보처리기기의 운영제한)
  • 사전 실태점검 :
    • 침해사고 고위험, 취약점 점검이 필요한 개인정보처리자 대상 사전 실태점검 가능
    • 개인정보보호법 제63조의2(사전 실태점검)

10.1. 개인정보보호법 제26조에 따른 재위탁 제한에 관한 법률

  • 개인정보보호법 제19조(개인정보를 제공받은 자의 이용,제공 제한)
  • 개인정보보호법 제26조(업무 위탁에 따른 개인정보의 처리제한) 제 5항
  • 개인정보보호법 제26조(업무 위탁에 따른 개인정보의 처리 제한) 제6항
profile
Jina
공부 기록
이전 포스트

[SK shieldus Rookies 16기][클라우드 보안 컨설팅 실무] 클라우드 컴퓨팅서비스 보안

post-custom-banner

0개의 댓글