금융보안원, ‘금융권 SW 공급망 보안 플랫폼’ 2월 본격 가동

금융보안원은 2월부터 ‘금융권 소프트웨어 공급망 보안 플랫폼’을 가동한다고 2일 밝혔다.

이번 플랫폼은 금융권 소프트웨어(SW) 공급망 전반의 위협을 실시간으로 식별하는 보안 가시성을 확보하고 선제 대응을 지원한다. 핵심 기능은 금융권 취약점 통합관리, 소프트웨어 자재명세서(SBOM) 관리체계, 버그바운티 운영 효율화다.

금융권 취약점 통합관리는 주요 취약점에 대한 보안패치 개발부터 적용까지 과정을 원스톱으로 지원하는 방식이다. 금융보안원은 플랫폼을 통해 통제된 방식으로 취약점 정보를 빠르게 공유해 ‘패치 갭’ 최소화를 기대한다고 밝혔다. 패치 갭은 보안패치가 개발된 뒤 실제 적용까지 걸리는 시간 차이를 뜻한다.

SBOM 관리체계는 금융사가 사용하거나 금융소비자에게 배포하는 소프트웨어의 구성요소 정보와 의존관계를 관리하는 기능이다. 금융보안원은 새로운 취약점이 발견되면 금융권 영향 범위를 신속히 분석하고 대응할 수 있도록 지원한다고 설명했다. SBOM은 소프트웨어를 이루는 부품 정보와 공급자 정보를 정리한 자료다.

버그바운티는 취약점 제보자에게 보상을 지급하는 제도다. 금융보안원은 이를 통해 금융권 소프트웨어의 제로데이 취약점 식별을 지원하고 보안 사각지대를 줄이는 동시에 취약점 발굴 문화를 확산시키겠다고 밝혔다. 제로데이 취약점은 개발사가 아직 인지하지 못했거나 인지했더라도 패치가 나오기 전이라 공격자가 먼저 악용할 수 있는 취약점이다.

박상원 금융보안원 원장은 “플랫폼을 통해 금융회사는 자사 SW 취약점 현황과 영향범위를 한눈에 파악하고 대응 우선순위를 합리적으로 설정해 취약점 관리 효율성과 실효성을 강화할 수 있을 것”이라고 말했다. 이어 “금융당국도 플랫폼을 통해 금융권 공급망 보안 현황을 종합적으로 파악하고 정책 수립 등에 활용할 수 있도록 플랫폼을 지속 고도화하겠다”고 덧붙였다.

한편, 금융보안원은 지난 달 30일 여의도 금융투자협회 불스홀에서 ‘금융권 소프트웨어 공급망 보안 세미나’를 열고 플랫폼 운영 계획을 공개했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network