7개 분야·4단계 등급으로 보안 역량 평가
기존 체크리스트 방식 탈피...‘자율보안’ 지원 사격

[보안뉴스 조재호 기자] 금융권의 보안 평가 체계가 확 바뀐다. 단순히 규정을 지켰는지 묻는 ‘예/아니오’ 방식에서 벗어나, 우리 회사의 보안 수준이 어느 단계인지 파악하고 나아갈 방향을 제시하는 ‘성숙도 평가’ 모델이 도입된다.


금융보안원은 금융회사가 자체적으로 보안 수준을 진단하고 체계적으로 개선할 수 있도록 설계된 ‘금융보안 수준진단 프레임워크’를 개발해 배포하고, 오는 3월부터 본격적인 진단 서비스를 실시한다고 10일 밝혔다.

이번에 공개된 프레임워크는 글로벌 금융보안 표준 진단 도구인 ‘CRI Profile’ 등을 참조해 개발됐다. 금융보안원은 지난 5개월간 20개 금융회사와 워킹그룹을 운영하며 실효성을 검증했다.

진단 영역은 △거버넌스 △식별 △보호 △탐지 △대응 △복구 △공급망 등 총 7개 분야, 45개 항목, 127개 세부 원칙으로 구성되어 보안의 전 영역을 포괄한다.

가장 눈에 띄는 점은 ‘4단계 등급제’ 도입이다. 보안 수준은 ‘초기(Initial) → 기반(Defined) → 발전(Managed) → 고도화(Advanced)’ 등 4단계로 측정된다. 금융보안원 시범 테스트 결과, 국내 대형 금융회사는 평균 3단계인 ‘발전’ 수준을 갖춘 것으로 파악됐으며, 글로벌 선진 금융사는 3.5단계 이상인 것으로 예상했다.

기존의 취약점 분석·평가나 ISMS-P 인증이 특정 항목의 이행 여부(Checklist)를 따지는 단편적 평가였다면, 이번 수준 진단은 ‘현재 수준’(As-Is)과 ‘목표 수준’(To-Be)을 명확히 보여주는 점이 차별화됐다.

금융보안원은 제도 안착을 위해 지난 1월 정책·기술 분야 전문가 7인으로 구성된 전담 조직인 자율보안연구팀을 신설했다. 오는 3월부터 희망하는 금융회사를 대상으로 현장 방문 진단 서비스를 제공하며, 세부 가이드라인과 모범 사례도 함께 배포할 예정이다.

2026년을 서비스 원년으로 삼아 프레임워크를 고도화하고, 내년부터는 금융회사가 외부 도움 없이 자체 진단이 가능하도록 자문·검증·교육 등 지원 체계를 확대한다는 방침이다.

박상원 금융보안원장은 “망분리 규제 완화와 AI 전환 등 급변하는 환경에서 새로운 위협에 대응하려면 금융회사가 주도하는 자율보안 역량이 필수적”이라며 “이번 프레임워크가 선진화된 자율보안 문화를 금융 현장에 뿌리내릴 수 있도록 최선을 다하겠다”고 말했다.

[조재호 기자(sw@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>