전자금융기반시설 취약점 분석·평가 컨설팅

정보통신기술 발전에 따라 전자금융거래 환경이 다양해지고 이를 악용하여 금융적 이익을 취하려는 공격자로 인하여 금융 전산망 마비 사고 및 고객 정보 유출 사고와 같은 위험이 발생하고 있습니다. 이에 따라 금융사는 전자금융거래법 및 동법 시행령 전자금융감독규정 등에 의하여 금융 정보통신의 정보보호 규정에 따라 매년 취약점 분석·평가를 의무적으로 수행해야 합니다.

전자금융 기반 시설의 취약점 분석·평가

금융회사 및 전자금융업자는 「전자금융거래법」 제21조에 따라 전자금융거래의 안전성과 신뢰성을 확보하기 위하여 「정보통신기반보호법」 제9조의 소관 주요정보통신기반시설에 대한 최초 취약점 분석·평가를 실시한 때에는 1년을 주기로 실시하여 그 결과를 금융위원회에 보고하여야 한다. 또한 취약점 분석·평가의 대상, 기간, 절차, 방법, 소요예산 편성 및 집행 등 취약점 분석·평가를 구체적으로 시행하기 위하여 필요한 계획을 수립·시행하여야 한다.

전자금융 기반시설의 취약점 분석·평가 조직

금융회사 및 전자금융업자는 「전자금융거래법」 제21조에 따라 「정보통신기반보호법」 제9조 ③항에서 한국인터넷진흥원, 정보공유·분석센터(ISAC), 정보보호 전문서비스 기업 및 한국전자통신연구원(ETRI) 에 재직중인 인원 중 과학기술정보통신부에 기술인력으로 등재된 인원만 소관 주요정보통신기반시설의 취약점을 분석·평가하게 할 수 있다.

특징

  • 「정보보호산업의 진흥에 관한 법률」 제23조에 따라 지정된 ‘정보보호 전문서비스 기업’으로 전문 인력을 투입하여 컨설팅 진행
  • 전자금융거래법, 정보통신망보호법, 개인정보보호법, 신용정보의 이용 및 보호에 관한 법률, 금융회사 정보기술부문 보호업무 모범규준 등을 기준으로 보안사고 경향 및 신규 CVE(Common Vulnerability Exposure)등을 점검하여 컨설팅 수행
  • 주요 정보통신 및 전자금융 기반시설 등 다양한 산업 분야의 기술적 보안 진단 경험을 바탕으로 한 취약점 진단 체크리스트 사용
  • 전문적인 보안 컨설턴트에 의한 수동 진단 방식으로 도구(Tool)를 사용하는 자동 진단 방식에 비하여 시스템 영향력 및 오탐율을 최소화

목적

  • 주요 전자금융 기반시설의 중요 업무와 정보를 처리하고 있는 정보시스템(서버, PC, 네트워크, 데이터베이스, 보안 장비 등)에 대한 보안 설정 적용 상태를 파악하여, 취약점을 분석하고 조치 방안을 제시
  • 정보보호 목표인 정보의 기밀성, 무결성, 가용성을 실현 하기 위해 정보보호관리체계의 수립을 통해 관리적, 물리적, 기술적으로 체계적인 대응 방안을 제공

기대효과

| 정성적 효과

  • 금융 IT의 특수성을 고려한 정보보호 진단으로 보안 사고 발생 가능성 감소
  • 보안 사고 발생시 신속한 대처로 고객 신뢰도 향상

| 정량적 효과

  • 「전자금융거래법」 준수
  • 정보보호에 민감한 충성 고객 확보로 매출 상승 효과