- 버전
- 다운로드 52
- 파일 크기 32.00 KB
- 파일 수 1
- 생성 날짜 2023년 3월 27일
- 마지막 업데이트 2024년 2월 7일
[금융보안원] 연구·개발 목적의 망분리 예외 적용에 따른 보안 유의사항
금융보안원이 발간한
연구·개발 목적의 망분리 예외 적용에 따른
보안 유의사항입니다.
업무에 참고 바랍니다.
○ 자료명 : 「연구ㆍ개발 목적의 망분리 예외 적용에 따른 보안 유의사항」
○ 발행일 : 2023년 3월 27일
○ 주관부처 : 금융보안원
[개요]
- 연구·개발 목적인 경우 망분리 적용 예외가 적용되어 금융회사 등의 新기술 활용 및 금융혁신의 기회가 확대될 것으로 보이나, 소스코드 유출 등 보안사고 발생 가능성도 증가될 것이 우려됨
- 본 유의사항은 망분리 예외에 따라 예상되는 위험을 식별하고, 이를 완화하기 위한 보안대책 등을 검토하여 권고함으로써 금융 회사 등의 안전한 연구·개발 업무를 지원하기 위함
[망분리 예외에 따른 변화와 예상 위험]
- 연구·개발 목적으로 망분리 예외 적용 시 외부 인터넷 상시 연결, 오픈소스 반입 및 활용의 증가 등으로 인해 ①소스코드 등 정보 유출 ②취약한 소스코드 사용으로 인한 보안사고 ③내부망으로 침해위협 확산 등의 위험이 예상됨
[소스코드 등 정보유출]
□ 금융회사 등의 소스코드를 보관·처리하는 개발 시스템 등이 외부 인터넷에 상시 연결됨에 따라 소스코드 유출 위험이 가중
□ 공격자는 유출된 소스코드를 분석하여 보얀 취약점을 파악하고, 전자금융 서비스에 대한 공격을 수행할 가능성이 존재
[취약한 오픈소스 사용으로 인한 보안사고]
□ 보안 취약점이 존재하는 오픈소스를 활용하여 개발한 전자금융 서비스 등에 대한 보안사고 발생 우려 증대
- 누구나 수정 가능한 오픈소스의 특성상 취약점이 존재할 가능성이 높아 이를 검증 없이 활용 시 보안 위협에 노출
- 오픈소스는 전 세계 프로젝트의 97%에서 활용되고 있으며, 이 중 81%는 알려진 오픈소스 취약점을 하나 이상 가지고 있는 것으로 조사
□ 최근 활용도가 높은 오픈소스를 대상으로 악성 코드를 삽입하여 배포하는 방식의 공격도 증가하는 추세
[내부망으로 침해위협 확산]
□ 연구·개발망 망분리 예외로 인터넷 등 외부통신망에 상시 연결됨에 따라 악성코드 등이 내부망에 유입될 가능성이 존재
- 연구·개발망과 내부망 간 정보 송수신이 가능하거나 망 연계시스템 등의 보안관리가 미흡할 경우 연구·개발망으로 유입된 악성코드 등이 내부망까지 전이될 우려
[연구·개발 목적의 망분리 예외 가능 범위]
□ 금융회사 등이 대고객 금융서비스 제공이나 내부 업무 등을 위해 소프트웨어 등을 연구·개발 하는 경우 망분리 예외 가능
- 망분리 예외가 적용된 시스템을 통해 연구·개발 목적 外 대고객 금융 서비스 등 실제 업무를 처리하는 것은 금지
- 이용자를 식별할 수 있는 계좌번호 등의 실제 데이터가 연구·개발 망에서 처리되지 않도록 조치(가상데이터 등으로 변환 활용)
[자체 위험성 평가]
□ 금융회사 등은 자사의 업무 환경 등을 고려하여 연구·개발 목적의 망분리 예외에 따른 자체 위험성 평가를 시행
- 망분리 예외에 따라 예상되는 보안위협을 빠짐없이 식별하고 그에 따른 위험성을 평가
□ 위험성 평가 시 최근 보얀취약점 및 보안 사고 사례 등을 고려하여 망분리 예외에 따른 보안 사고 발생 가능성을 다각도로 검토
[보안대책 적용]
□ 망분리 예외 적용 시 전자금융감독규정 시행세칙에 명시된 망 분리 대체 정보보호통제를 이행
□ 보안대책 적용 시 자체 위험성 평가에서 도출된 위험이 충분히 완화되었는지 확인하고 필요시 추가 보안대책을 적용
함께 읽으면 좋은 글
