지난달 30일 설명회 개최, 취약점 통합관리·SBOM·버그바운티 등 탑재
개발사·금융사 연결하는 허브... ‘패치 갭’ 줄이고 제로데이 선제 대응

[보안뉴스 조재호 기자] 금융권 소프트웨어 공급망 위협에 선제적으로 대응하기 위한 전용 플랫폼이 운영된다.


금융보안원은 지난달 30일 서울 여의도 금융투자협회에서 ‘금융권 소프트웨어 공급망 보안 세미나’를 개최하고, 6일부터 ‘금융권 소프트웨어 공급망 보안 플랫폼’(sscs.fsec.or.kr)을 본격 가동한다고 2일 밝혔다.

이 플랫폼은 금융사가 사용하는 소프트웨어의 취약점을 실시간 파악하고 대응할 수 있도록 지원하는 시스템이다. 핵심 기능은 △금융권 취약점 통합관리 △SBOM(Software Bill of Materials) 관리체계 △버그바운티 운영 효율화 등이다.

금융권 취약점 통합관리는 SW 보안 패치 개발부터 적용까지 전 과정을 원스톱 지원한다. 보안 패치가 나오기까지 걸리는 시간인 ‘패치 갭’(Patch Gap)을 최소화하고, 검증된 취약점 정보를 신속하게 공유해 금융권 전반의 대응 속도를 높인다는 목표다.

또 SBOM 관리체계를 도입해 금융사가 사용하거나 배포하는 SW의 구성 요소를 명확히 파악할 수 있게 했다. SBOM은 일종의 ‘소프트웨어 명세서’로, 새로운 취약점이 발견될 때 회사가 사용하는 SW에 이들 구성이 포함됐는지 빠르게 분석할 수 있다.

보안 취약점 신고포상제인 버그바운티도 플랫폼 내에서 운영된다. 화이트해커 등 외부 전문가들이 찾아낸 제로데이(Zero-day) 취약점을 수집하고 보상해 알려지지 않은 위협을 사전에 식별하고 보안 사각지대를 최소화한다는 계획이다.

박상원 금융보안원장은 “플랫폼을 통해 금융사는 자사 SW 취약점 현황 및 영향 범위를 한눈에 파악하고, 우선 대응순위를 합리적으로 설정해 취약점 관리의 효율성과 실효성을 강화할 수 있다”며 “향후 금융권 전반의 공급망 보안 현황을 종합적으로 파악해 정책 수립 등에 활용할 수 있도록 플랫폼을 지속적으로 고도화할 것”이라고 말했다.

[조재호 기자(sw@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>