금융회사 취약점 분석ㆍ평가-1

금융회사 보안담당자는 주기적으로 해야 하는 업무가 있다. 매년, 매월, 매일 등 법적으로 명시가 되어있기 때문에 반드시 해야 한다. 여러 가지 업무 중에서 첫 번째로 취약점 분석평가에 대해 설명하겠다.

취약점 분석평가는 전자금융거래의 안전성과 신뢰성을 확보하기 위해 위험들을 분석ㆍ평가하고 그 결과를 금융감독원에 보고하는 업무이다.

2017년 1월부터 금융위원회에서 금융감독원으로 제출처가 변경되어 금융정보교환망에 제출하면 된다.

취약점 분석ㆍ평가는 왜 하는 거예요?

전자금융거래법과 전자금융감독규정에 따라 전자금융기반시설 점검항목을 점검해야 하고, 만약 2000년도 초반에 정부에서 지정한 주요정보통신기반시설에 해당하는 경우 정보통신 기반보호법에 의해 주요정보통신기반시설 점검항목도 함께 점검해야 한다.

현재는 전자금융기반시설 점검항목 안에 주요정보통신기반시설 점검항목이 포함되어있다. 하지만 주요정보통신기반시설의 경우 6월 이내에 점검해야 하기 때문에 상반기내로 해당 업무를 수행해야 한다.

금융회사마다 취약점 점검을 줄여서 말한다. 기반시설, 전자금융, 주정통, 금취평 등등

                         

---

전자금융거래법 제21조의3(전자금융기반시설의 취약점 분석ㆍ평가) ① 금융회사 및 전자금융업자는 전자금융거래의 안전성과 신뢰성을 확보하기 위하여 전자금융기반시설에 대한 다음 각 호의 사항을 분석ㆍ평가하고 그 결과(「정보통신기반 보호법」 제9조에 따른 취약점 분석ㆍ평가를 한 경우에는 그 결과를 말한다)를 금융위원회에 보고하여야 한다.

전자금융감독규정 제37조의2(전자금융기반시설의 취약점 분석·평가 주기, 내용 등) ① 전자금융기반시설의 취약점 분석·평가는 총자산이 2조원 이상이고, 상시 종업원 수(「소득세법」에 따른 원천징수의무자가 근로소득세를 원천징수한 자를 기준으로 한다. 이하 같다) 300명 이상인 금융회사 또는 전자금융업자이거나 … 의 경우 연 1회 이상(홈페이지에 대해서는 6개월에 1회 이상) 실시하여야 한다.

정보통신기반보호법 제9조(취약점의 분석ㆍ평가) ①관리기관의 장은 대통령령으로 정하는 바에 따라 정기적으로 소관 주요정보통신기반시설의 취약점을 분석ㆍ평가하여야 한다.

정보통신기반보호법 시행령 제8조(주요정보통신기반시설보호대책의 수립) 법 제5조제2항 또는 제3항에 따라 관리기관의 장 및 지방자치단체의 장은 다음 연도의 법 제5조제1항에 따른 주요정보통신기반시설보호대책(이하 “주요정보통신기반시설보호대책”이라 한다)을 수립하여 매년 8월 31일까지 관계중앙행정기관의 장에게 제출하여야 한다.

정보통신기반보호법 시행령 제17조(취약점 분석·평가의 시기) ①관리기관의 장은 소관 정보통신기반시설이 주요정보통신기반시설로 지정된 때에는 지정 후 6월 이내에 법 제9조제1항의 규정에 의한 취약점의 분석ㆍ평가를 실시하여야 한다.

---

         

<출처: 국가법령정보센터>

전자금융기반시설의 점검항목은 전자금융감독규정 시행세칙에 나와있다. 크게 관리적 보안, 물리적 보안, 기술적 보안으로 나뉜다.

위 표에서 보듯 점검 항목이 몇 개 없어 보이지만 그렇지 않다. 상세 항목은 금융보안원에서 상세 리스트를 제공하는데 취약점 분석평가 서버 부문 점검항목만 150여 개나 된다. 기술적 보안을 들여다보면 서버뿐만 아니라 DB, Network 등 항목으로 나뉘고 서버 내에서도 Linux, Aix, Windows 등 OS별로 나뉘게 된다.

주요정보통신기반시설도 KISA에서 해당 내용을 가이드로 찾을 수 있다. (링크)

<출처: KISA>

이렇게 많은 수백 개 항목을 언제 다 점검해요?

시간도 물리적으로 부족하고 보고서 등 많은 것을 보안담당자가 확인하지 못하기 때문에 대부분의 금융회사에서는 취약점 점검 컨설팅을 받거나 전문 솔루션을 이용한다.

컨설팅을 하더라도 솔루션을 이용해서 점검한다. 담당자들은 점검 스크립트를 돌리고 컨설턴트에게 결과값을 던져주면 된다. 어플라이언스는 오픈 OS 기반이나 점검 스크립트가 제대로 돌아가지 않을 수 있다.

어떤 솔루션은 법적인 점검기준뿐만 아니라 CVE까지 점검해주기도 한다. CVE, CCE 등 차이는 여기로

스크립트를 통해 점검할 수 없는 항목도 있고, 시스템 담당자와 인터뷰를 통해 점검하는 항목도 있다. 컨설팅을 받게 되면 미팅 약속도 잡아줘야하고 보안담당자는 컨설턴트와 인프라 담당자, 개발자 사이에서 조율하는 역할을 하게 된다.

또한 컨설팅은 정해진 회사에서만 진행할 수 있다. 취약점 분석평가를 전문으로 하는 기관에게 위탁해서 진행해야 하며, 전문기관은 전자금융감독규정에 명시되어있다.

---

전자금융감독규정 제37조의3(전자금융기반시설의 취약점 분석·평가 전문기관의 지정 등) ① 전자금융기반시설의 취약점 분석·평가를 위한 평가전문기관은 다음 각 호의 자로 한다.

1. 「정보통신기반 보호법」 제16조에 따라 금융분야 정보공유·분석센터로 지정된 자

2. 「정보보호산업의 진흥에 관한 법률」 제23조에 따라 지정된 정보보호전문서비스 기업  

3. 침해사고대응기관

4. 금융위원장이 지정하는 자

전자금융감독규정 제37조의4(침해사고대응기관 지정 및 업무범위 등) ① 침해사고에 대응하기 위한 침해사고대응기관은 다음 각 호의 자로 한다.

1. 금융보안원  <개정 2015. 3. 18.>

2. 삭제  <2015. 3. 18.>

3. 금융위원장이 지정한 자

---

1호의 금융분야 정보공유분석센터는 금융보안원을 말한다. 2호의 정보보호전문 서비스기업은  KISA에서 확인이 가능하다. 그 외 금융위원장이 지정하는 자는 없다.

<출처: KISA>