전자금융기반시설 취약점 분석 평가

정보통신기술 발전에 따른 전자금융거래 환경의 다양화와 이를 악용한 금융적 이익을 취하려는 공격자로 인하여 금융권은 전산망 마비사고 및 고객정보유출사고를 빈번하게 겪고 있으며, 잠재적 위험을 안고 있습니다. 이에 따라 국가는 전자금융거래법 및 동법 시행령 전자금융감독규정 등을 통하여 금융 정보통신의 정보보호 규정을 강화하고 있습니다.

전자금융 기반 시설의 취약점 분석 평가

금융회사 및 전자금융업자는 「전자금융거래법」 제21조에 따라 전자금융거래의 안전성과 신뢰성을 확보하기 위하여 「정보통신기반보호법」 제9조의 소관 주요정보통신기반시설에 대한 최초 취약점 분석·평가를 실시한 때에는 1년을 주기로 실시하여 그 결과를 금융위원회에 보고하여야 한다. 또한 취약점 분석·평가의 대상, 기간, 절차, 방법, 소요예산 편성 및 집행 등 취약점 분석·평가를 구체적으로 시행하기 위하여 필요한 계획을 수립·시행하여야 한다.

전자금융 기반시설의 취약점 분석 평가 조직

금융회사 및 전자금융업자는 「전자금융거래법」 제21조에 따라 「정보통신기반보호법」 제9조 ③항에서 한국인터넷진흥원, 정보공유·분석센터(ISAC), 정보보호 전문서비스 기업 및 한국전자통신연구원(ETRI) 에 재직중인 인원 중 과학기술정보통신부에 기술인력으로 등재된 인원만 소관 주요정보통신기반시설의 취약점을 분석·평가하게 할 수 있다.

특징

  • 「정보보호산업의 진흥에 관한 법률」 제23조에 따라 지정된 ‘정보보호 전문서비스 기업’으로 전문 인력을 투입하여 컨설팅 진행

  • 전자금융거래법, 정보통신망보호법, 개인정보보호법, 신용정보의 이용 및 보호에 관한 법률, 금융회사 정보기술부문 보호업무 모범규준 등을 기준으로 보안사고 경향 및 신규 CVE(Common Vulnerability Exposure)등을 점검하여 컨설팅 수행

  • 주요 정보통신 및 전자금융 기반시설 등 다양한 산업 분야의 기술적 보안 진단 경험을 바탕으로 한 취약점 진단 체크리스트 사용

  • 전문적인 보안 컨설턴트에 의한 수동 진단 방식으로 도구(Tool)를 사용하는 자동 진단 방식에 비하여 시스템 영향력 및 오탐율을 최소화

목적

  • 주요 전자금융 기반시설의 중요 업무와 정보를 처리하고 있는 정보시스템(서버, PC, 네트워크, 데이터베이스, 보안 장비 등)에 대한 보안 설정 적용 상태를 파악하여, 취약점을 분석하고 조치 방안을 제시

  • 정보보호 목표인 정보의 기밀성, 무결성, 가용성을 실현 하기 위해 정보보호관리체계의 수립을 통해 관리적, 물리적, 기술적으로 체계적인 대응 방안을 제공

기대효과

정성적 효과

  • 금융 IT의 특수성을 고려한 정보보호 진단으로 보안 사고 발생 가능성 감소

  • 보안 사고 발생시 신속한 대처로 고객 신뢰도 향상

정량적 효과

  • 「전자금융거래법」 준수

  • 정보보호에 민감한 충성 고객 확보로 매출 상승 효과