금융보안원

제목 : 금융보안원, 2026년도 취약점 분석·평가기준 개정

- 퍼블릭 클라우드·가상자산 거래소 등 취약점 평가기준 신규 개발

□ 금융보안원(원장 박상원)은 클라우드 및 디지털자산 관련 서비스가 확산되는 등 IT 환경이 급변함에 따라 2026년도 취약점 분석·평가기준을 개정

  ㅇ 취약점 분석·평가는 금융회사의 전산시스템과 운영환경 전반을 점검해 사이버 공격으로 악용될 수 있는 위험 요소를 사전에 식별하고 개선하는 제도로 분야별 세부 평가 항목을 제시

  ㅇ 기존 전자금융기반시설 대상 평가기준을 개정하고, 신규 평가기준을 개발하는 한편,

  ㅇ 전자금융기반시설에 포함되지 않는 가상자산 거래소 대상 평가기준을 신설한 것이 특징

□ 전자금융기반시설 분야에서는 IT 운영환경 변화에 대응하기 위해 평가 체계를 전반적으로 정비

  ㅇ 금융권의 퍼블릭 클라우드 이용 확산에 따라 ‘클라우드 관리체계’분야를 신설하고, 가상화 시스템 도입 다변화에 따라 ‘OS·컨테이너 가상화시스템’ 분야의 평가대상을 확대

  ㅇ 또한, 보안 패치 지원이 만료된 시스템 및 장비에 대해서도 위험을 지속적으로 관리·점검할 수 있도록 평가기준을 강화

  ㅇ 전자금융감독규정 개정 사항은 ‘정보보호 관리체계’분야에 반영하였으며, 기존 ‘서버’ 분야를 운영체제(서버)와 미들웨어(웹서버-WAS)로 분리하여 점검 기준의 정합성과 실효성 향상

□ 가상자산의 제도권 유입 및 시장 확대에 따라 가상자산 거래소에 대한 평가기준을 신설

  ㅇ 가상자산 거래소의 업무환경이 기존 전자금융기반시설을 운영하는 금융회사와 상이하기 때문에 업무 특성을 반영한 신규 평가기준 마련 필요

  ㅇ 가상자산 규제 등 리스크를 선제적으로 관리하기 위한 ‘가상자산 컴플라이언스’ 분야와 더불어 ‘블록체인’, ‘월렛’, ‘스마트 컨트랙트’ 분야를 신설하여 가상자산 운영·관리·활용에 대한 보안성 평가 시 적용

□ 2026년도 취약점 분석·평가기준 안내서는 금융회사에 배포하고, 레그테크 홈페이지(https://regtech.fsec.or.kr)에 게시

□ 금융보안원 박상원 원장은 “이번 평가기준 개정은 변화하는 디지털 금융 환경을 반영해 취약점 분석·평가의 실효성을 높이기 위함”이며,

  ㅇ“평가 기준을 정밀화하고 적용 대상을 확대함으로써, 해킹사고로 이어질 수 있는 취약 요소를 사전에 점검하고 금융소비자가 안전하게 금융 서비스를 이용할 수 있는 신뢰 기반을 강화할 수 있을 것으로 기대한다.”고 밝힘. 끝.

[참고] 2026년도 주요 취약점 분석·평가 분야