금융보안원 - FINANCIAL SECURITY INSTITUTE

FSI FINANCIAL SECURITY INSTITUTE 금융미래를 열어가는 금융보안파트너 안전하고 편리한 금융미래,
금융보안원이 열어가겠습니다.

주요업무 취약점 분석 · 평가

취약점 분석 · 평가

contentsPage : 03010000000000000000.jsp

금융보안원의 "취약점 분석·평가" 업무를 소개합니다.

취약점 분석·평가

참가기관의 전자금융기반시설, 주요정보통신기반시설 등에 대한 자산분석, 취약성 분석 등을 통해 해당 시설의 전자적 위협 요인을 파악한 후, 위협요인에 대한 취약점을 식별하고 파급 영향을 분석하여 정보보호 대책 수립을 지원

1. 취약점 분석평가 절차

매년 실시하는 취약점 분석평가 수요조사 시 참가기관은 업무유형을 선택하여 신청서를 제출하고, 이를 근거로 실시계획 수립 및 취약점 분석평가를 수행

취약점 분석 평가 수행 과정은 다음과 같습니다.
먼저, 참가기관의 취약점 분석평가 수요를 파악한 후, 참가기관에서 신청을 하게됩니다. 이후, 취약점 분석평가 실시계획을 수립하고 신청기관에 대한 취약점 분석평가를 실시한 후 결과 설명회를 개최합니다. 마지막으로, 취약점 분석평가 결과에 기초하여 정보보호대책 수립을 지원하게 됩니다. 취약점 분석 평가 수행 과정은 다음과 같습니다.
먼저, 참가기관의 취약점 분석평가 수요를 파악한 후, 참가기관에서 신청을 하게됩니다. 이후, 취약점 분석평가 실시계획을 수립하고 신청기관에 대한 취약점 분석평가를 실시한 후 결과 설명회를 개최합니다. 마지막으로, 취약점 분석평가 결과에 기초하여 정보보호대책 수립을 지원하게 됩니다.
2. 취약점 분석평가 유형
구분, 주요내용, 시기를 알수 있는 표 입니다.
구분 주요내용 시기
전자금융 기반시설 취약점 분석평가 (종합점검) 전자금융거래의 안전성과 신뢰성 확보를 위한 전자금융기반시설, 주요정보통신기반시설 등에 대한 종합적 취약점 분석평가
[전자금융거래법 제21조의3, 정보통신기반보호법 제9조]
연중
공개용 홈페이지 취약점 분석평가 공개용 홈페이지 등에 대한 취약점 분석평가
[전자금융거래법 제21조의3]
연중
정보기술부문 사업평가 정보기술부문 관련 사업의 실시 또는 기능개선·변경 시 서비스 개시 전 취약점 분석평가
[전자금융거래법 제21조의3]
연중
이행점검 취약점 분석평가 결과에 대한 보완조치 확인 점검 취약점 분석평가 실시 후
3. 분야별 중점 점검 사항
점검분야, 중점 점검 사항을 알수 있는 표 입니다.
점검분야 중점 점검 사항
정보보호 관리체계
  • - 정보보호 관리 체계의 적정성
서버
  • - 운영체제 보안 설정의 적정성
  • - DBMS, 애플리케이션 등 보안 설정의 적정성
네트워크
  • - 네트워크 구성의 적정성
  • - 네트워크 장비 보안 설정의 적정성
정보보호 시스템
  • - 정보보호정책 설정의 적정성
  • - 관리·기능 부분에 대한 보안설정
웹 애플리케이션
  • - OWASP TOP10 등 웹애플리케이션 취약점
  • - 전자금융거래 관련 웹애플리케이션 취약점
모바일애플리케이션
  • - 전자금융거래 관련 모바일 애플리케이션 취약점
모의해킹
  • - 시스템, 웹애플리케이션 등 각 분야별 취약점을 통한 침투 가능성
기 타
  • - 시스템, 웹애플리케이션 등에 대한 모의 해킹
  • - HTS(Home Trading System)의 보안 취약점 등
4. 세부 점검절차

취약점 분석·평가 세부 점검 절차

  • 01 사전단계
    • 요구분석
      • - 평가업무 자료분석
      • - 업무협의
      • - 적수 산정
    • 범위산정
      • - 현황파악
      • - 핵심 업무 선정
      • - 업무구성도 작성
      • - 평가범위 확정
    • 평가 결과물 정의
      • - 평가 결과물 정의
    • 평가 시작회의
      • - 자료준비
      • - 참석 대상 선정
      • - 회의 결과 정리
  • 02 취약점 분석 단계
    • 자산분석
      • - 자산분류
      • - 자산평가
    • 취약점 점검
      • - 분야별 상세점검
      • - 관리체계
      • - 웹 어플리케이션
      • - 서버 및 DBMS
      • - 모바일 애플리케이션
      • - 네트워크
      • - 모의해킹
      • - 정보보호시스템
      • - HTS 애플리케이션
  • 03 취약점 평가 단계
    • 점검 결과 분석
      • - 점검 결과 분석
    • 위협 분석
      • - 위협 식별
      • - 위협 평가
    • 취약점 평가
      • - 취약점 식별
      • - 취약점 평가
    • 정보보호 수준평가
      • - 정보보호수준평가
      • - 정보보호지수 산출
  • 04 대책수립 단계
    • 점검 결과 분석
      • - 보안 대책 수립 지원
      • - 평가 결과 전달
    • 평가 설명회
      • - 평가 설명회
      • - Q&A
    • 보안 교육(필요시)
      • - 분야별 보안교육
      • - 취약점 점검 방법 교육
      • - 기타 신규 취약점 교육
  • 05 사후관리 단계
    • HOT Fix 보완조치 및 확인
      • - 취약점 즉시 제거(HOT Fix) 확인
      • - 취약점 제거 여부 확인
    • 보완조치(이행 점검)
      • - 이행점검 안내
      • - 재발방비 방법지원
    • 평가 결과 관리
      • - 관계 법령에 따라 관리 및 처리
5. 특징
  • 보안관제센터, 침해사고대응센터, 금융보안교육센터 등과 연계하여 종합적인 지원이 가능
  • 다년간의 금융권 취약점 분석평가 경험 및 전문노하우 보유
  • 관계법령에 근거한 금융분야 보안전담기구로서 전문성, 공정성 확보 및 비밀유지

※ 문의 : 평가총괄팀 02-3495-9511~2, sapt@fsec.or.kr