금융보안원, 금융보안 수준 진단 서비스 본격 실시

금융보안 수준진단 프레임워크 개발･배포
보안 수준 스스로 진단(4단계)･개선

금보원

금융보안원은 10일 금융회사가 자사 보안 수준을 정밀하게 진단하고 부족한 부분을 체계적으로 개선해 나갈 수 있도록 ‘금융보안 수준진단 프레임워크’를 개발해 배포했다고 밝혔다.

프레임워크는 150여 개 해외 금융회사 등이 참여한 글로벌 금융보안 표준 진단 도구(CRI Profile) 등을 참조하였으며 금융보안원이 약 5개월간 20개 금융회사와 작업반을 구성해 심도 있는 논의와 시범 테스트를 거쳐 개발했다.

프레임워크는 △거버넌스 △식별 △보호 △탐지 △대응 △복구 △공급망의 총 7개 분야 45개 항목, 127개 세부 원칙으로 구성돼 보안 전 분야에 대한 종합적 수준 진단이 가능하다. 보안 수준은 초기(Initial) → 기반(Defined) → 발전(Managed) → 고도화(Advanced)의 4단계로 평가된다.

금융회사가 평균 수준의 보안 체계를 갖추고 있는 경우 2단계인 ‘기반‘ 등급을 받도록 설계했으며 보안 수준을 높이면 ’발전’, ‘고도화‘ 로 등급이 상향 되는 등 금융회사가 현실에 안주하지 않고 더 높은 보안 수준을 목표로 개선해 나가도록 유도하는 것이 특징이다. 금융보안원 시범테스트 결과, 국내 대형 금융회사는 평균 3단계(발전) 수준인 것으로 파악되며 글로벌 금융회사는 3.5단계 이상으로 예상된다.

특히 기존 보안 진단이 대부분 체크리스트 기반으로 이행 여부를 예･아니오(Y/N) 방식으로 단순 점검하는 데 반해 금융보안 수준 진단은 현재의 보안 수준(As-is)을 진단하고 이를 토대로 목표(To-be)를 설정하고 개선 방안을 제시한다는 점이 차별화된 점이다.

최근 롯데카드, SGI서울보증, 업비트 등 금융권에서 해킹 사고 및 개인정보 유출이 잇따르면서 금융권 보안 강화 필요성이 커진 상황이다.

금융보안원은 프레임워크가 금융권에 성공적으로 안착할 수 있도록 정책･기술 분야 보안 전문가 7인으로 구성된 전담 조직(자율보안연구팀)을 신설했으며 올 3월부터 희망하는 금융회사를 중심으로 현장 방문 진단 서비스를 본격적으로 제공할 계획이다.

내년부터는 금융회사가 외부의 도움 없이 자체적으로 보안 수준을 진단･개선해 나갈 수 있도록 그간의 업무 노하우를 바탕으로 자문이나 검증, 교육 등 보다 다각적인 지원 체계를 구축해 나가는 등 자율보안 체계가 금융권에 정착해 나가는 데 일조한다는 계획이다.

박상원 금융보안원 원장은 “망분리 규제 완화와 AI 전환(AX) 등급변하는 금융 IT 환경 속에서 새로운 보안 위협에 선제적으로 대응하기 위해서는 금융회사가 주도적으로 보안을 계획하고 실천하는 자율보안 역량 확보가 무엇보다 중요하다”며 “금융회사 스스로 보안 수준을 진단하고 개선하는 선진화된 자율보안 문화가 금융 현장에 뿌리내릴 수 있도록 최선을 다하겠다”고 밝혔다.

신중섭 기자 jseop@sedaily.com