□ 금융보안원은 대한민국 금융권에 도입된 각종 소프트웨어 및 솔루션에 대한 다수의 보안 취약점을 발굴하여 대한민국 금융권 보안업무를 수행하고 있습니다.
□ 또한, 법적으로 금융권 침해사고대응기관으로 지정되어 CERT의 역할을 수행하고 있으며 다양한 분야의 전문역량을 보유하고 있습니다.
□ 금융권에서 공통적으로 사용되는 소프트웨어 및 솔루션에 대한 취약점 관리를 통해 대한민국 전자금융 서비스의 안전성을 강화하고자 합니다.
□ 제보된 취약점은 영향도와 위험도 평가 및 취약점을 보완하는 제품 개발(보안 업데이트 개발)에 활용됩니다.
□ 취약점 신고 후에도 어떠한 목적으로도 금융보안원 이외의 제3자(제조사 포함)에게 공개할 수 없습니다.
□ 공개(적극적인 악용 포함)에 대한 명확한 증거가 없는 경우, 공급업체가 수정 사항을 조사하고 개발할 수 있도록 합리적인 비공개 기간을 제공하며, 조치가 완료된 후 상호 합의에 따라 취약점 정보를 공개합니다.
□ 신고 내용이 사실과 다른 경우, 금융보안원 이외의 제3자에게 취약점이 노출되는 경우, 비밀유지 의무를 위반한 것으로 확인되는 경우에는 불이익이 발생할 수 있습니다.
□ 입수단계: 내부 입수, 신고포상제, 유관기관 공유 등을 통해 취약점 접수
□ 분석단계: 신고자의 신고 내용(보고서, 이메일 등)을 바탕으로 취약점 분석(신규취약점 여부, 취약점 파급도 등)
□ 대응단계: 제조사에 취약점 조치를 요청하고, 보안 패치 개발 및 검증,
해외 제품의 취약점인 경우 해외CERT 또는 해당 제조사에 취약점 관련 정보 전달
□ 공유단계: 국내 파급력이 높다고 판단되는 취약점의 경우 유관기관 정보공유 및 대국민 보안공지
(정보공유) 취약한 제품 사용하는 기관 중 민간, 공공, 교육기관이 존재하는 경우, 취약점 관련 정보를 전달
(보안공지) 피해 규모 및 위험도를 고려하여 일반 사용자가 다수 포함되어 있는 경우 대국민 긴급 보안공지