최근 잇따른 해킹 사고로 금융보안 중요성이 커지고 있는 가운데 금융보안원이 금융회사 스스로 금융보안 수준을 진단하고 개선할 수 있는 서비스를 개발했다. 글로벌 금융회사에서는 이미 시행 중이지만 국내에서는 최초로 개발·시행되는 것이다.

금융보안원(원장 박상원, 금보원)은 금융회사가 자사 보안 수준을 정밀하게 진단하고 부족한 부분을 체계적으로 개선해 나갈 수 있도록 ‘금융보안 수준진단 프레임워크’를 개발해 배포했다고 10일 밝혔다.

금융보안 수준진단 프레임워크는 △거버넌스 △식별 △보호 △탐지 △대응 △복구 △공급망의 총 7개 분야 45개 항목, 127개 세부 원칙으로 구성돼 보안 전 분야에 대한 종합적 수준 진단이 가능하다.

금보원은 “150여개 해외 금융회사 등이 참여한 글로벌 금융보안 표준 진단 도구인 ‘CRI Profile’ 등을 참조했다”며 “약 5개월간 20개 금융회사와 작업반을 구성해 심도 있는 논의와 시범 테스트를 거쳐 개발했다”고 밝혔다. 보안 수준은 초기 → 기반 → 발전 → 고도화의 4단계로 평가된다. 금융회사가 평균 수준의 보안 체계를 갖추고 있는 경우 2단계인 ‘기반’ 등급을 받을 수 있도록 설계됐다. 보안 수준을 높이면 ‘발전’, ‘고도화’로 등급이 상향된다.

금보원 시범테스트 결과, 국내 대형 금융회사는 평균 3단계(발전) 수준인 것으로 파악됐다. 글로벌 금융회사는 3.5단계 이상으로 보고 있다.

금보원은 “기존 보안 진단이 대부분 체크리스트 기반으로 이행 여부를 예·아니오(Y/N) 방식으로 단순 점검하는 데 반해, 금융보안 수준 진단은 현재의 보안 수준을 진단하고 이를 토대로 목표를 설정하고 개선 방안을 제시한다는 점이 차별화됐다”고 설명했다. 금보원은 보안 전문가 7인으로 구성된 전담 조직을 신설했으며, 3월부터 현장 방문 진단 서비스를 본격 제공할 계획이다.

박상원 금융보안원장은 “망분리 규제 완화와 AI 전환(AX) 등 급변하는 금융 IT 환경 속에서 새로운 보안 위협에 선제적으로 대응하기 위해서는 금융회사가 주도적으로 보안을 계획하고 실천하는 자율보안 역량 확보가 무엇보다 중요하다”고 밝혔다.

이경기 기자 cellin@naeil.com