[금융보안원][정보보호] 연구·개발 목적의 망분리 예외 적용에 따른 보안 유의사항 (2023.03)

안녕하세요. 황컴플라이언스 입니다.

[금융보안원][정보보호] 연구·개발 목적의 망분리 예외 적용에 따른 보안 유의사항 (2023.03) 입니다.

업무에 참고하시기 바랍니다.

 

○ 자료명 : 연구·개발 목적의 망분리 예외 적용에 따른 보안 유의사항

○ 발행일 : 2023년 03월

○ 주관부처 : 금융보안원

---

[개요]

□ 추진배경

• 연구·개발 목적인 경우 망분리 적용 예외가 적용되어 금융회사등의 新기술 활용 및 금융혁신의 기회가 확대될 것으로 보이나, 소스코드 유출 등 보안사고 발생 가능성도 증가될 것이 우려됨
• 본 유의사항은 망분리 예외에 따라 예상되는 위험을 식별하고 이를 완화하기 위한 보안대책 등을 검토하여 권고함으로써 금융회사 등의 안전한 연구･개발 업무를 지원하기 위함

---

「연구ㆍ개발-목적의-망분리-예외-적용에-따른-보안-유의사항」-1.pdf

0.89MB

연구·개발 목적의 망분리 예외 적용에 따른 보안 유의사항 (2023.03) : 금융보안원

---

□ 망분리 예외에 따른 변화와 예상 위험

• 연구ㆍ개발 목적으로 망분리 예외 적용 시 외부 인터넷 상시 연결, 오픈소스 반입 및 활용의 증가 등으로 인해
• ①소스코드 등 정보 유출, ② 취약한 소스코드 사용으로 인한 보안사고, ③ 내부망으로 침해위협 확산 등의 위험이 예상

□ 소스코드 등 정보유출

• 금융회사 등의 소스코드*를 보관ㆍ처리하는 개발 시스템 등이 외부 인터넷에 상시 연결됨에 따라 소스코드 유출 위험이 가중
• 공격자는 유출된 소스코드를 분석하여 보안 취약점을 파악하고, 전자금융서비스에 대한 공격을 수행할 가능성이 존재

□ 취약한 오픈소스 사용으로 인한 보안사고

• 보안 취약점이 존재하는 오픈소스를 활용하여 개발한 전자금융서비스 등에 대한 보안사고 발생 우려 증대
• 누구나 수정 가능한 오픈소스의 특성상 취약점이 존재*할 가능성이 높아 이를 검증없이 활용 시 보안 위협에 노출
• 오픈소스는 전세계 프로젝트의 97%에서 활용되고 있으며, 이 중 81%는 알려진오픈소스 취약점을 하나 이상 가지고 있는 것으로 조사

□ 내부망으로 침해위협 확산

• 연구ㆍ개발망 망분리 예외로 인터넷 등 외부통신망에 상시 연결됨에 따라 악성코드 등이 내부망에 유입될 가능성 존재
• 연구ㆍ개발망과 내부망 간 정보 송수신이 가능하거나 망연계 시스템 등의 보안관리가 미흡할 경우 연구･개발망으로 유입된악성코드 등이 내부망까지 전이될 우려

□ 연구·개발 목적의 망분리 예외 가능 범위

• 금융회사 등이 대고객 금융서비스 제공이나 내부 업무 등을 위해 소프트웨어 등을 연구‧개발하는 경우 망분리 예외 가능
• 망분리 예외가 적용된 시스템을 통해 연구･개발 목적 外 대고객 금융서비스 등 실제 업무를 처리하는 것은 금지
• 망분리 예외가 적용되는 연구ㆍ개발망에서는 고유식별정보또는개인신용정보 등의 처리가 금지
• 이용자를 식별할 수 있는 계좌번호 등의 실제 데이터가 연구ㆍ개발망에서 처리되지 않도록 조치(가상데이터 등으로 변환 활용)

□ 자체 위험성 평가

• 금융회사 등은 자사의 업무 환경 등을 고려하여 연구ㆍ개발 목적의 망분리 예외에 따른 자체 위험성 평가를 실시
• 망분리 예외에 따라 예상되는 보안위협(아래 예시 참조)을 빠짐없이 식별하고 그에 따른 위험성을 평가
• 위험성 평가 시 최근 보안취약점 및 보안사고 사례 등을 고려하여 망분리 예외에 따른 보안사고 발생 가능성을 다각도로 검토

□ 보안대책 적용

• 망분리 예외 적용 시 전자금융감독규정 시행세칙 <별표 7>에 명시된 망분리 대체 정보보호통제를 이행
• 보안대책 적용 시 자체 위험성 평가에서 도출된 위험이 충분히 완화되었는지 확인하고 필요시 추가 보안대책을 적용

---

※ 더 많은 자료 찾아보기

황컴플라이언스의 공간