전자금융기반시설 취약점 분석·평가 컨설팅
정보통신기술 발전에 따라 전자금융거래 환경이 다양해지고 이를 악용하여 금융적 이익을 취하려는 공격자로 인하여 금융 전산망 마비 사고 및 고객 정보 유출 사고와 같은 위험이 발생하고 있습니다. 이에 따라 금융사는 전자금융거래법 및 동법 시행령 전자금융감독규정 등에 의하여 금융 정보통신의 정보보호 규정에 따라 매년 취약점 분석·평가를 의무적으로 수행해야 합니다.
전자금융기반시설의 취약점 분석·평가
금융회사 및 전자금융업자는 「전자금융거래법」 제21조에 따라 전자금융거래의 안전성과 신뢰성을 확보하기 위하여 전자금융기반시설에 대하여 「정보통신기반보호법」 제9조에 근거한 취약점 분석·평가를 1년을 주기로 실시하여 그 결과를 금융위원회에 보고하여야 한다. 또한 취약점 분석·평가의 대상, 기간, 절차, 방법, 소요예산 편성 및 집행 등 취약점 분석·평가를 구체적으로 시행하기 위하여 필요한 계획을 수립·시행하여야 한다.
전자금융기반시설의 취약점 분석·평가 조직
금융회사 및 전자금융업자는 「전자금융거래법」 제21조에 따라 「정보통신기반보호법」 제9조 ③항에서 한국인터넷진흥원, 정보공유·분석센터(ISAC), 정보보호 전문서비스 기업 및 한국전자통신연구원(ETRI) 에 재직중인 인원 중 과학기술정보통신부에 기술인력으로 등재된 인원만 소관 주요정보통신기반시설의 취약점을 분석·평가하게 할 수 있다.
특징
- 엔시큐어는 「정보보호산업의 진흥에 관한 법률」 제23조에 따라 지정된 '정보보호 전문서비스 기업'으로써 전문 컨설팅 인력 투입
- 전자금융거래법, 정보통신망보호법, 개인정보보호법, 신용정보의 이용 및 보호에 관한 법률, 금융회사 정보기술부문 보호업무 모범규준 등을 기준으로 보안사고 경향 및 신규 CVE(Common Vulnerability Exposure)등을 점검하여 컨설팅 수행
- 주요 정보통신 및 전자금융 기반시설 등 다양한 산업 분야의 기술적 보안 진단 경험을 바탕으로 한 취약점 진단 체크리스트 사용
- 전문적인 보안 컨설턴트에 의한 수동 진단 방식을 사용하여 도구(Tool)를 사용하는 자동 진단 방식에 비해 시스템 영향력 및 오탐율 최소화
목적
- 주요전자금융기반시설의 중요 업무와 정보를 처리하는 정보시스템(서버, PC, 네트워크, 데이터베이스, 보안 장비 등)에 대한 보안 설정 적용 상태를 파악하여 취약점 분석 및 조치 방안 제시
- 정보보호 목표인 정보의 기밀성, 무결성, 가용성을 실현하기 위해 정보보호 관리체계의 수립을 통해 관리적, 물리적, 기술적으로 체계적인 대응 방안 제공
컨설팅 방법
취약점 분석·평가를 수행하기 위해 현황분석, 취약점 진단 및 분석, 위험평가, 보호 대책의 순서로 진행하며
정확한 취약점 진단과 도출된 취약점에 대한 세부적인 보호 대책 계획을 수립하는 것을 목표로 합니다.
정확한 취약점 진단과 도출된 취약점에 대한 세부적인 보호 대책 계획을 수립하는 것을 목표로 합니다.
기대효과
| 정성적 효과
- 금융 IT의 특수성을 고려한 정보보호 진단으로 보안 사고 발생 가능성 감소
- 보안 사고 발생 시 신속한 대처로 고객 신뢰도 향상
| 정량적 효과
- 「전자금융거래법」 준수
- 정보보호에 민감한 충성 고객 확보로 매출 상승 효과