‘금융보안 수준진단 프레임워크’는 △거버넌스 △식별 △보호 △탐지 △대응 △복구 △공급망 등 총 7개 분야 45개 항목 127개 세부 원칙으로 구성돼 보안 전 분야에 대한 종합적 수준의 진단이 가능하다.
보안 수준은 ‘초기→기반→발전→고도화’의 4단계로 평가한다. 금융회사가 평균 수준의 보안 체계를 갖추고 있는 경우 2단계인 ‘기반’ 등급을 받도록 설계했으며, 보안 수준을 높이면 ‘발전’, ‘고도화’로 등급이 상향된다. 이에 따라 금융회사가 더 높은 보안 수준을 목표로 개선해 나가도록 유도하는 것이 특징이다. 금융보안원의 시범테스트 결과 국내 대형 금융회사는 우수한 보안 체계를 갖추고 있어 평균 3단계인 발전 수준인 것으로 파악됐다.
기존 보안 진단이 대부분 체크리스트 기반으로 이행 여부를 예·아니오 방식으로 단순 점검하는데 반해, 금융보안 수준진단은 현재의 보안 수준을 진단하고 이를 토대로 목표를 설정하고 개선 방안을 제시한다는 점이 차별점이다.
금융보안원은 금융보안 수준 진단 프레임워크가 금융권에 성공적으로 안착할 수 있도록 정책·기술 분야 보안 전문가 7인으로 구성된 전담 조직(자율보안연구팀)을 신설했으며 오는 3월까지 희망하는 금융회사를 중심으로 현장 방문 진단 서비스를 본격적으로 제공할 계획이다.
아울러 금융회사가 프레임워크를 효과적으로 활용할 수 있도록 세부 진단 방법과 보안 모범사례 등을 담은 가이드도 함께 제공한다.
금융보안원은 앞으로 현장 방문 진단, 모범사례 수집 등을 통해 프레임워크를 고도화하는데 주력하고 내년부터 금융회사가 외부의 도움 없이 자체적으로 보안 수준을 진단·개선해 나갈 수 있도록 그간의 업무 노하우를 바탕으로 자문이나 검증, 교육 등 보다 다각적인 지원 체계를 구축해 나가는 등 자율보안 체계가 금융권에 정착해 나가는데 일조할 계획이다.
박상원 금융보안원장은 “망분리 규제 완화와 AI(인공지능) 전환(AX) 등 급변하는 금융 IT 환경 속에서 새로운 보안 위협에 대응하기 위해서는 금융회사가 주도적으로 보안을 계획하고 실천하는 자율보안 역량 확보가 무엇보다 중요하다”며 “금융보안원은 금융회사 스스로 보안 수준을 진단하고 개선하는 선진화된 자율보안 문화가 금융 현장에 뿌리내릴 수 있도록 최선을 다하겠다”고 밝혔다.
금융보안 수준진단 프레임워크 및 가이드 전문은 금융보안 레그테크 포털에서 확인할 수 있다.
