금융보안원, ‘금융보안 수준진단 프레임워크’ 개발

금융보안원은 금융회사가 자사 보안 수준을 정밀 진단하고 부족한 부분을 체계적으로 개선하도록 ‘금융보안 수준진단 프레임워크’를 개발해 배포했다고 10일 밝혔다.

금융보안원은 이 프레임워크를 만들기 위해 약 5개월 동안 20개 금융회사와 작업반을 구성해 논의하고 시범 테스트를 진행했다. 해외 금융회사 150여곳이 참여한 글로벌 금융보안 표준 진단 도구 ‘CRI 프로파일(CRI Profile)’ 등을 참고했다고 설명했다. ‘CRI 프로파일’은 금융회사가 보안 역량을 스스로 점검하는 데 쓰는 진단 도구를 뜻한다.

프레임워크는 ▲거버넌스 ▲식별 ▲보호 ▲탐지 ▲대응 ▲복구 ▲공급망 등 7개 분야로 구성했다. 전체는 45개 항목, 127개 세부 원칙이다. 공급망 분야에는 클라우드 등 제3자 리스크 관리 방안을 포함했다.

금융보안원은 보안 수준을 초기(Initial)·기반(Defined)·발전(Managed)·고도화(Advanced) 4단계로 평가한다. 평균 수준의 보안 체계를 갖춘 금융회사는 2단계 ‘기반’을 받도록 설계했다. 보안 체계를 끌어올리면 ‘발전’, ‘고도화’로 상향 평가하는 구조다. 금융보안원은 시범 테스트에서 국내 대형 금융회사가 평균 3단계(발전) 수준으로 파악됐다고 밝혔다.

금융보안원은 기존 진단이 대체로 점검표 기반으로 이행 여부를 예·아니오(Y/N) 방식으로 확인했다면, 이번 방식은 현재 보안 수준(As-is)을 진단한 뒤 목표(To-be)를 정하고 개선 방안을 제시하는 점이 다르다고 설명했다. ‘As-is’는 현재 상태, ‘To-be’는 목표 상태를 뜻한다.

금융보안원은 금융권 정착을 지원하기 위해 정책·기술 분야 보안 전문가 7인으로 전담 조직인 자율보안연구팀을 1월 신설했다. 3월부터 희망 금융회사를 중심으로 현장 방문 진단 서비스를 본격 제공할 계획이다. 세부 진단 방법과 보안 모범사례를 담은 가이드도 함께 제공한다.

박상원 금융보안원 원장은 “망분리 규제 완화와 인공지능 전환(AX) 등 급변하는 금융 IT 환경 속에서 새로운 보안 위협에 선제적으로 대응하려면 금융회사가 주도적으로 보안을 계획하고 실천하는 자율보안 역량 확보가 중요하다”며 “금융회사 스스로 보안 수준을 진단하고 개선하는 자율보안 문화가 금융 현장에 뿌리내리도록 최선을 다하겠다”고 말했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network