금융보안원

제목 : 금융보안원, 금융권 소프트웨어 공급망 보안 플랫폼 구축 추진

- 유기적인 취약점 관리·정보공유로 금융권 자율보안 생태계 조성

□ 금융보안원은 올해 하반기에 「금융권 소프트웨어 공급망* 보안 플랫폼」을 구축하여, 2025년 말에 시범운영, 2026년부터 본격 운영할 예정

* 소프트웨어(이하 SW) 공급망: 소프트웨어 개발, 배포, 업데이트의 전 과정에 관여하는 사람, 조직, 기술 요소 등을 포함하는 상호 연결된 체계

  ㅇ IT 침해사고의 최초 진입점 또는 피해 확산점인 SW 취약점*을 통합 관리하고 정보를 공유함으로써, 사이버 위협에 선제적으로 대응 및 금융권 자율 보안 역량 강화를 목표로 함

* 가상사설망 장비(VPN)의 로그인 시도 횟수 무제한 취약점, 모바일 기기 관리 솔루션(MDM)의 인증우회 및 원격명령실행 취약점 등

□ 플랫폼은 SW 공급망 전반의 위협을 실시간으로 식별하는 보안 가시성을 확보하고, 선제적으로 위협에 대응할 수 있는 환경을 마련하기 위해, ▲금융권 취약점 통합관리, ▲SBOM 관리체계, ▲버그바운티 운영 효율화 기능 등을 제공

  ㅇ (금융권 취약점 통합관리) SW 주요 취약점에 대해 보안 패치의 개발부터 적용까지 전 과정을 원스톱으로 지원하며, 플랫폼을 통해 통제된 방식으로 취약점 정보를 신속하게 공유함으로써 ‘패치 갭(보안패치 적용까지의 시간 차이)’ 최소화를 기대

  ㅇ (SBOM 관리체계) 금융사가 사용하거나 금융소비자에게 배포하는 SW에 대한 SBOM* 관리체계를 마련하여, 새로운 취약점 발견 시 금융권 영향을 신속하게 분석 및 대응할 수 있도록 지원

* SBOM(Software Bill of Materials): SW를 구성하는 모든 부품과 그 공급자, 구성 요소 간의 의존관계 등을 기록한 정보로, 소프트웨어의 DNA와 같은 자료

  ㅇ (버그바운티 운영) 취약점 제보자에게 보상을 지급하는 버그바운티를 운영함으로써, 금융권 SW 제로데이 취약점* 식별, 보안 사각지대 최소화와 더불어 취약점 발굴 문화 활성화에 기여할 것으로 기대

* 제로데이 취약점: SW 개발사가 아직 인지하지 못했거나, 인지했더라도 패치나 해결책이 마련되기 전이어서 공격자가 먼저 악용할 수 있는 보안 취약점

□ 금융보안원은 금융사, SW 개발사, 화이트해커 등 모든 이해관계자가 ‘보안 파트너’로서 협력하고, 참여할 수 있는 오픈 플랫폼 형태의 ‘공급망 보안 자율 생태계 조성’을 기대하며,

  ㅇ 금융감독원, 한국인터넷진흥원 등 유관기관과도 SW 공급망 보안 정보 공유 및 협력을 지속 강화할 계획

□ 금융보안원 박상원 원장은 “디지털 금융의 안전은 더 이상 개별 회사의 노력만으로는 지킬 수 없으며, 공급망 전체가 협력하여 원팀(One-Team)으로 대응해야 한다.”며,

  ㅇ “안전한 금융권 SW 공급망 보안 생태계 조성을 위하여, 높은 전문성과 신뢰성을 바탕으로 참여사들이 자율적인 보안 역량을 높일 수 있도록 적극 지원하겠다.”고 밝힘. 끝.