금융보안원이 금융회사가 자체 보안 수준을 진단하고 체계적으로 개선할 수 있도록 '금융보안 수준진단 프레임워크'를 개발해 배포했다.
이번 프레임워크는 150여개 해외 금융회사가 참여한 글로벌 금융보안 표준 진단 도구를 참고해 설계됐다. 금융보안원은 약 5개월간 20개 금융회사와 작업반을 구성해 논의와 시범 테스트를 거쳐 프레임워크를 완성했다.
프레임워크는 △거버넌스 △식별 △보호 △탐지 △대응 △복구 △공급망 등 7개 분야, 45개 항목과 127개 세부 원칙으로 구성됐다. 보안 수준은 초기, 기반, 발전, 고도화 등 4단계로 평가된다. 평균적인 보안 체계를 갖춘 금융회사는 2단계인 '기반' 등급을 받도록 설계됐다.
금융보안원 시범 테스트 결과, 국내 대형 금융회사는 평균 3단계(발전) 수준의 보안 체계를 갖춘 것으로 나타났다. 글로벌 금융회사는 3.5단계 이상 수준이 예상된다는 설명이다. 이번 진단은 현재 보안 수준을 분석하고 목표를 설정해 개선 방향을 제시하는 점이 특징이다.
금융보안원은 프레임워크의 안착을 위해 정책·기술 분야 보안 전문가 7명으로 구성된 전담 조직 '자율보안연구팀'을 올해 1월 신설했다. 오는 3월부터는 희망 금융회사를 대상으로 현장 방문 진단 서비스를 제공할 계획이며, 세부 진단 방법과 보안 모범사례를 담은 가이드도 함께 배포한다.
박상원 금융보안원 원장은 “AI 전환과 망분리 규제 완화 등 변화하는 금융 IT 환경에서 자율보안 역량 확보가 중요하다”며 “금융회사가 스스로 보안 수준을 진단·개선하는 문화가 정착될 수 있도록 지원하겠다”고 밝혔다.
박두호 기자 walnut_park@etnews.com
