금융회사의 자율보안 체계 강화 및 안전한 오픈소스 활용 지원
[보안뉴스 박미영 기자] 최근 금융권에서 오픈소스를 활용한 디지털 혁신이 가속화되고 내년부터 연구·개발 분야의 망분리 규제 개선 등이 시행됨에 따라 오픈소스 관리 미흡 등에 따른 보안사고를 사전 예방하고 안전한 오픈소스 활용 환경을 조성할 필요성이 증대됐다. 이에 따라 금융감독원과 금융보안원은 금융업계(국민은행, 카카오뱅크, 신한라이프, 네이버파이낸셜)와 함께 ‘오픈소스 소프트웨어 활용관리 안내서’ 제정 작업을 진행했다.
안내서는 비규제 성격으로 금융회사의 자율보안 체계 강화 및 안전한 오픈소스 활용을 지원하기 위해 최초로 제정됐다. ‘오픈소스 소프트웨어 활용관리 안내서’의 주요 내용은 다음과 같다.
오픈소스 소개 오픈소스의 개념과 종류·특징 등을 안내해 금융회사의 이해도를 제고하고, 오픈소스 선택 시 기능성·보안성·공유 플랫폼(예: GitHub 등)의 활성화 수준 등에 대한 검토 필요성을 제시했다.
오픈소스 보안성 관리 소스코드가 공개되는 오픈소스의 특성에 따라 악의적인 목적으로 취약점을 활용한 공격 사례를 예방하기 위해 오픈소스를 활용한 시스템 개발 단계별 금융회사의 보안 고려 사항(사전 기능 및 보안성 테스트, 라이선스 검토, 취약점 최소화, 모니터링 및 보안패치 등)을 제시해 정보보안 리스크를 최소화한다.
오픈소스 세부 관리 절차 식별·이슈 파악 및 해결·사용승인·관리 등 최소한의 보안 관리 절차를 안내하고, 금융회사의 오픈소스 거버넌스 체계 구축을 지원하기 위해 관리 조직 구성 및 운영·역할 등에 대한 사례를 제시한다.
자가점검 체크리스트 등 금융회사의 오픈소스 활용·관리 시 참고할 수 있도록 자가점검 체크리스트를 마련한다. 또한 오픈소스 라이선스 관리 필요성 및 금융회사의 오픈소스 활용관리 체계 우수 사례(Best-Practice)도 안내한다. 오픈소스는 라이선스의 종류에 따라 대외 고지의무 및 코드공개 등의 요구 사항이나 제약 조건이 상이함에 따라 라이선스 미준수 시 서비스 중단 등의 사고가 발생할 우려가 있다.
향후 금융감독원은 동 안내서가 폭넓게 활용될 수 있도록 금융감독원 및 금융보안원 홈페이지에 게시하고, 금융보안원 레크테크 포털에서 제공하는 금융보안 자문서비스를 이용해 FAQ를 제공하는 등 동 안내서와 관련한 지원을 계속해 나갈 예정이다.
내년부터 연구·개발 분야에 대한 망분리 규제 완화 등 전자금융감독규정 개정안이 시행됨에 따라 금융 분야의 오픈소스 활용이 보다 확대될 것으로 예상된다. 금융권은 안내서를 통해 오픈소스 활용 관련 이해도를 제고하고 관련 보안 절차 등을 마련함으로써 자체 보안역량 강화와 안정적인 디지털 전환에 도움이 될 것으로 예상된다. 또한 오픈소스 기반의 디지털 신기술의 활용이 확대돼 혁신적인 금융시스템 개발에도 일조할 수 있을 것으로 기대된다.
[박미영 기자(mypark@boannews.com)]
[보안뉴스 박미영 기자] 최근 금융권에서 오픈소스를 활용한 디지털 혁신이 가속화되고 내년부터 연구·개발 분야의 망분리 규제 개선 등이 시행됨에 따라 오픈소스 관리 미흡 등에 따른 보안사고를 사전 예방하고 안전한 오픈소스 활용 환경을 조성할 필요성이 증대됐다. 이에 따라 금융감독원과 금융보안원은 금융업계(국민은행, 카카오뱅크, 신한라이프, 네이버파이낸셜)와 함께 ‘오픈소스 소프트웨어 활용관리 안내서’ 제정 작업을 진행했다.
안내서는 비규제 성격으로 금융회사의 자율보안 체계 강화 및 안전한 오픈소스 활용을 지원하기 위해 최초로 제정됐다. ‘오픈소스 소프트웨어 활용관리 안내서’의 주요 내용은 다음과 같다.
오픈소스 소개 오픈소스의 개념과 종류·특징 등을 안내해 금융회사의 이해도를 제고하고, 오픈소스 선택 시 기능성·보안성·공유 플랫폼(예: GitHub 등)의 활성화 수준 등에 대한 검토 필요성을 제시했다.
오픈소스 보안성 관리 소스코드가 공개되는 오픈소스의 특성에 따라 악의적인 목적으로 취약점을 활용한 공격 사례를 예방하기 위해 오픈소스를 활용한 시스템 개발 단계별 금융회사의 보안 고려 사항(사전 기능 및 보안성 테스트, 라이선스 검토, 취약점 최소화, 모니터링 및 보안패치 등)을 제시해 정보보안 리스크를 최소화한다.
오픈소스 세부 관리 절차 식별·이슈 파악 및 해결·사용승인·관리 등 최소한의 보안 관리 절차를 안내하고, 금융회사의 오픈소스 거버넌스 체계 구축을 지원하기 위해 관리 조직 구성 및 운영·역할 등에 대한 사례를 제시한다.
자가점검 체크리스트 등 금융회사의 오픈소스 활용·관리 시 참고할 수 있도록 자가점검 체크리스트를 마련한다. 또한 오픈소스 라이선스 관리 필요성 및 금융회사의 오픈소스 활용관리 체계 우수 사례(Best-Practice)도 안내한다. 오픈소스는 라이선스의 종류에 따라 대외 고지의무 및 코드공개 등의 요구 사항이나 제약 조건이 상이함에 따라 라이선스 미준수 시 서비스 중단 등의 사고가 발생할 우려가 있다.
향후 금융감독원은 동 안내서가 폭넓게 활용될 수 있도록 금융감독원 및 금융보안원 홈페이지에 게시하고, 금융보안원 레크테크 포털에서 제공하는 금융보안 자문서비스를 이용해 FAQ를 제공하는 등 동 안내서와 관련한 지원을 계속해 나갈 예정이다.
내년부터 연구·개발 분야에 대한 망분리 규제 완화 등 전자금융감독규정 개정안이 시행됨에 따라 금융 분야의 오픈소스 활용이 보다 확대될 것으로 예상된다. 금융권은 안내서를 통해 오픈소스 활용 관련 이해도를 제고하고 관련 보안 절차 등을 마련함으로써 자체 보안역량 강화와 안정적인 디지털 전환에 도움이 될 것으로 예상된다. 또한 오픈소스 기반의 디지털 신기술의 활용이 확대돼 혁신적인 금융시스템 개발에도 일조할 수 있을 것으로 기대된다.
[박미영 기자(mypark@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
_TH.jpg)
 TH.jpg)
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
