[featured_image]
다운로드
Download is available until [expire_date]
  • 버전
  • 다운로드 370
  • 파일 크기 32.00 KB
  • 파일 수 1
  • 생성 날짜 2023년 3월 27일
  • 마지막 업데이트 2024년 2월 7일

[금융보안원] 연구·개발 목적의 망분리 예외 적용에 따른 보안 유의사항

금융보안원이 발간한

연구·개발 목적의 망분리 예외 적용에 따른

보안 유의사항입니다.

 

업무에 참고 바랍니다.

 

○ 자료명 : 「연구ㆍ개발 목적의 망분리 예외 적용에 따른 보안 유의사항」

○  발행일 : 2023년 3월 27일

○ 주관부처 : 금융보안원


[개요]

  • 연구·개발 목적인 경우 망분리 적용 예외가 적용되어 금융회사 등의 新기술 활용 및 금융혁신의 기회가 확대될 것으로 보이나, 소스코드 유출 등 보안사고 발생 가능성도 증가될 것이 우려됨
  • 본 유의사항은 망분리 예외에 따라 예상되는 위험을 식별하고, 이를 완화하기 위한 보안대책 등을 검토하여 권고함으로써 금융 회사 등의 안전한 연구·개발 업무를 지원하기 위함

[망분리 예외에 따른 변화와 예상 위험]

  • 연구·개발 목적으로 망분리 예외 적용 시 외부 인터넷 상시 연결, 오픈소스 반입 및 활용의 증가 등으로 인해 ①소스코드 등 정보 유출 ②취약한 소스코드 사용으로 인한 보안사고 ③내부망으로 침해위협 확산 등의 위험이 예상됨

[소스코드 등 정보유출]

□ 금융회사 등의 소스코드를 보관·처리하는 개발 시스템 등이 외부 인터넷에 상시 연결됨에 따라 소스코드 유출 위험이 가중

□ 공격자는 유출된 소스코드를 분석하여 보얀 취약점을 파악하고, 전자금융 서비스에 대한 공격을 수행할 가능성이 존재

[취약한 오픈소스 사용으로 인한 보안사고]

□ 보안 취약점이 존재하는 오픈소스를 활용하여 개발한 전자금융 서비스 등에 대한 보안사고 발생 우려 증대

  • 누구나 수정 가능한 오픈소스의 특성상 취약점이 존재할 가능성이 높아 이를 검증 없이 활용 시 보안 위협에 노출
    • 오픈소스는 전 세계 프로젝트의 97%에서 활용되고 있으며, 이 중 81%는 알려진 오픈소스 취약점을 하나 이상 가지고 있는 것으로 조사

□ 최근 활용도가 높은 오픈소스를 대상으로 악성 코드를 삽입하여 배포하는 방식의 공격도 증가하는 추세

[내부망으로 침해위협 확산]

□ 연구·개발망 망분리 예외로 인터넷 등 외부통신망에 상시 연결됨에 따라 악성코드 등이 내부망에 유입될 가능성이 존재

  • 연구·개발망과 내부망 간 정보 송수신이 가능하거나 망 연계시스템 등의 보안관리가 미흡할 경우 연구·개발망으로 유입된 악성코드 등이 내부망까지 전이될 우려

[연구·개발 목적의 망분리 예외 가능 범위]

□ 금융회사 등이 대고객 금융서비스 제공이나 내부 업무 등을 위해 소프트웨어 등을 연구·개발 하는 경우 망분리 예외 가능

  • 망분리 예외가 적용된 시스템을 통해 연구·개발 목적 外 대고객 금융 서비스 등 실제 업무를 처리하는 것은 금지
  • 이용자를 식별할 수 있는 계좌번호 등의 실제 데이터가 연구·개발 망에서 처리되지 않도록 조치(가상데이터 등으로 변환 활용)

[자체 위험성 평가]

□ 금융회사 등은 자사의 업무 환경 등을 고려하여 연구·개발 목적의 망분리 예외에 따른 자체 위험성 평가를 시행

  • 망분리 예외에 따라 예상되는 보안위협을 빠짐없이 식별하고 그에 따른 위험성을 평가

□ 위험성 평가 시 최근 보얀취약점 및 보안 사고 사례 등을 고려하여 망분리 예외에 따른 보안 사고 발생 가능성을 다각도로 검토

[보안대책 적용]

□ 망분리 예외 적용 시 전자금융감독규정 시행세칙에 명시된 망 분리 대체 정보보호통제를 이행

□ 보안대책 적용 시 자체 위험성 평가에서 도출된 위험이 충분히 완화되었는지 확인하고 필요시 추가 보안대책을 적용


 

함께 읽으면 좋은 글

👉🏻인스타그램으로 온라인 행사할 때 참여자의 개인정보 수집이 가능할까?

👉🏻 캐치시큐에 개인정보보호 물어보기

메뉴
error: 컨덴츠는 보호됩니다.