보안 취약점 분석･평가에 대해 알아보겠습니다.

 

Ⅰ. 보안 취약점 분석･평가란 ?

 정보 시스템이나 네트워크의 취약점을 식별하고 평가하여 잠재적인 보안 위협을 최소화하는 과정을 의미하며, 조직의 정보 자산을 보호하고, 보안 사고를 예방하기 위해 중요한 절차입니다.보안 취약점 분석･평가란, 전자금융기반시설의 안전성과 신뢰성을 저해하는 사이버 위협에 대응하기 위해 잠재된 보안 위협을 찾고 이를 개선하기 위한 사전 예방 활동을 의미합니다.

 

* 전자금융기반시설은 금융 기관과 관련 서비스 제공자들이 전자적으로 금융 서비스를 제공하기 위해 사용하는 시스템과 네트워크를 의미합니다. 이는 주로 인터넷 뱅킹, 모바일 뱅킹, 자동화된 지불 시스템, 금융 거래 처리 시스템 등을 포함하며, 이러한 시스템들이 안전하고 효율적으로 운영되도록 하기 위한 기반 인프라를 의미합니다. ​

 

Ⅱ.보안 취약점 분석･평가하는 대상

금융회사 및 전자금융업자(이하 금융회사)는 관계 법령에서 정한 내용에 따라 전자금융 업무를 처리하기 위한 정보처리시스템(전자금융기반시설1))을 대상으로 취약점을 분석하고 이를 평가합니다.

​

Ⅲ. 평가하는 주기

공개용 홈페이지 점검은 연 2회 이상, 전자금융기반시설 점검은 연 1회 이상 평가하게 됩니다.

​

Ⅳ. 평가 순서 평가 단계 주요 행위

① 사전 분석 평가계획 수립 및 업무현황 파악 등

                                      ▼

② 취약점 분석 자산분석, 취약점 분석 등

                                      ▼

③ 취약점 평가 정보보호 분석･평가 지수 산출 등의 종합평가

                                      ▼

④ 대책 수립 발견된 취약점에 대한 보안대책 수립 등

                                      ▼

⑤ 사후 관리 발견된 취약점에 대한 조치계획 수립 등

​

Ⅲ. 평가대상 및 절차 관련

- 전자금융거래법 제21조의3 (전자금융기반시설의 취약점 분석･평가)

- 전자금융거래법 시행령 제11조의4 (전자금융기반시설 취약점 분석･평가의 내용), 제11조의5

(전자금융기반시설 취약점 분석･평가의 절차 및 방법 등)

 

[ 평가주기 관련 ]

- 전자금융감독규정 제37조의2(전자금융기반시설의 취약점 분석･평가 주기, 내용 등)

- 전자금융감독규정시행세칙 제7조의2(전자금융기반시설의 취약점 분석･평가의 내용)

​

Ⅴ. 순서 평가 단계별 주요 활동

① 「사전 분석 단계」에서의 주요 활동

(계획 수립) 취약점 분석⋅평가를 실시하기 위해 수행 방법, 수행 절차, 소요 예산 등이 포함된

실행 계획을 수립

(환경 파악) 평가대상에 대한 자산 현황, 업무 현황 등 시스템 운영 및 업무환경을 파악2)

② 「취약점 분석 단계」에서의 주요 활동

– (자산 분석) 자산이 업무 및 서비스에 미치는 영향을 파악하여 자산의 가치(중요도 등)를 산출하는 과정

– (자산 분류) 보유 또는 운영하고 있는 자산의 업무 목적을 파악하여 업무 특성별로 자산을 분류

– (자산 평가) 자산이 가지고 있는 정보의 성격, 자산의 가용성 수준을 복합적으로 평가하여 자산의 중요도를 결정

※ 자산 중요도 : 각 자산에 대한 상대적 중요도를 기준으로 구분

③ 「취약점 평가 단계」에서의 주요 활동

(취약점 평가) 식별된 취약점이 금융회사에 미치는 영향을 파악하기 위해 각 취약점에 대한

위험도와 자산의 가치를 고려하여 분야별로 취약 수준을 평가

(평가 지수 산출) 식별된 취약점에 대한 자산 가치, 취약점, 재발생률 등을 종합적으로 분석하여

금융회사의 전반적인 정보보호 관리 상황을 정량적으로 평가

④ 「대책 수립 단계」에서의 주요 활동

(우선순위 산정) 식별된 취약점을 목록화하고 금융회사 업무 및 서비스 환경을 고려하여 조치

우선순위를 산정

(보안대책 수립) 금융회사의 보안정책, 인터뷰 내용, 우선순위 산정 값 등을 활용하여 종합적인

보안대책을 수립

⑤ 사후 관리 단계에서의 주요 활동

(이행 계획 수립) 보안대책 수립 내용을 참고하여 취약점에 대한 조치 이행 계획을 수립하고,

이행 결과를 최고경영자에게 보고

(위험 수용) 보안대책 수립 내용을 참고하여 취약점에 대한 조치 이행 계획을 수립하고, 이행

결과를 최고경영자에게 보고

 

역할	점수(등급)	서버	네트워크 장비	정보보호시스템	영향
1그룹	4	중요 DB 등	인터넷연결구간 네트워크 장비 등	IPS(침입차단시스템), 인터넷차단 등	금전적 손실
2그룹	3	인터넷뱅킹 서버 등	1. 뱅킹서버 구간 2. 대외구간연결 등	1. 침입차단시스템 (뱅킹/대외 등) 2. 암호화 장비 등	정보유출
3그룹	2	메일, DNS서버 등	DMZ구간	침입탐지시스템	손실이 경미
자원설비	1	개발 서버, 타서버	내부구간 네트워크 장비		테스트 용도

정보 성격 : 위험성이 커지는 정보의 특성과 정보 자체가 가지고 있는 민감성을 고려하여 정보 성격을 구분

가용성 수준 : 업무 연속성 측면에서 업무 또는 서비스가 지속적으로 지원되어야 할 성질의 정도를 산정

취약점 분석 자산의 중요도 및 업무 목적 등을 고려하여 자산에 내재된 보안 취약점을 분석합니다.