이번 포스트에서는 전자금융을 하는 금융회사에서 근무하시는 분들이라면 주기적으로 꼭 수행해야 하는 전자금융기반시설, 홈페이지 취약점 분석과 관련된 모든것을 알아보도록 하겠습니다.
금융회사 보안담당자라면 반드시 알아야 할 의무사항이 있습니다. 취약점 분석평가는 전자금융거래의 안전성과 신뢰성을 확보하기 위해 위험들을 분석ㆍ평가하고 그 결과를 금융감독원에 보고하는 업무로, 법적으로 명시된 필수 업무사항입니다. 실무에서 혼동하기 쉬운 개념들과 정확한 수행 방법에 대해 체계적으로 정리해보았습니다. 도움이 되셨으면 합니다.
1. 전자금융기반시설 취약점 분석의 법적 근거
1.1 핵심 법령 조항
전자금융거래법 제21조의3(전자금융기반시설의 취약점 분석ㆍ평가) ① 금융회사 및 전자금융업자는 전자금융거래의 안전성과 신뢰성을 확보하기 위하여 전자금융기반시설에 대한 다음 각 호의 사항을 분석ㆍ평가하고 그 결과(「정보통신기반 보호법」 제9조에 따른 취약점 분석ㆍ평가를 한 경우에는 그 결과를 말한다)를 금융위원회에 보고하여야 한다.
주의사항: 2017년 1월부터 금융위원회에서 금융감독원으로 제출처가 변경되어 금융정보교환망에 제출하면 된다.
1.2 수행 주기 및 대상
전자금융감독규정 제37조의2(전자금융기반시설의 취약점 분석·평가 주기, 내용 등) ① 전자금융기반시설의 취약점 분석·평가는 총자산이 2조원 이상이고, 상시 종업원 수(「소득세법」에 따른 원천징수의무자가 근로소득세를 원천징수한 자를 기준으로 한다. 이하 같다) 300명 이상인 금융회사 또는 전자금융업자이거나 … 의 경우 연 1회 이상(홈페이지에 대해서는 6개월에 1회 이상) 실시하여야 한다.
2. 전자금융기반시설 vs 주요정보통신기반시설의 구분
2.1 전자금융기반시설 취약점 분석
- 근거법: 전자금융거래법, 전자금융감독규정
- 수행 주기: 연 1회 이상 (홈페이지는 6개월에 1회)
- 보고처: 금융감독원 (금융정보교환망)
2.2 주요정보통신기반시설 취약점 분석
- 근거법: 정보통신기반 보호법
- 수행 주기: 지정 후 6월 이내에 법 제9조제1항의 규정에 의한 취약점의 분석ㆍ평가를 실시하여야 한다.
- 대상: 2000년도 초반에 정부에서 지정한 주요정보통신기반시설
실무 포인트: 현재는 전자금융기반시설 점검항목 안에 주요정보통신기반시설 점검항목이 포함되어있다. 하지만 주요정보통신기반시설의 경우 6월 이내에 점검해야 하기 때문에 상반기내로 해당 업무를 수행해야 한다.
3. 전자금융기반시설, 홈페이지(공개형 웹) 점검 대상과 범위
3.1 점검 분야 구분
전자금융기반시설의 점검항목은 전자금융감독규정 시행세칙에 나와있다. 크게 관리적 보안, 물리적 보안, 기술적 보안으로 나뉜다.
3.2 물리적, 관리적, 기술적 보안의 세부 구성
상세 항목은 금융보안원에서 상세 리스트를 제공하는데 취약점 분석평가 서버 부문 점검항목만 120-130여 개나 된다.(2025년 기준) 기술적 보안을 들여다보면 서버뿐만 아니라 DB, Network 등 항목으로 나뉘고 서버 내에서도 Linux, Aix, Windows 등 OS별로 나뉘게 된다.
점검 대상 구성:
전자금융기반시설 취약점 분석 (연1회 수행)
- 대상: 전자금융 서비스 관련 전체 인프라
- 점검 범위: 서버, DB, 네트워크, 관리체계, 물리보안 포함
- 특징: 공개형 웹 취약점 분석을 포함하는 더 광범위한 개념
기술적 영역 점검 항목
-
-
- 서버(SRV-): Linux, AIX, Windows 등 OS별 분류 (150여 개 항목)
- 데이터베이스(DBM-): DBMS별 보안 설정 점검
- 네트워크 인프라(INF-): 네트워크 장비 및 구성 점검
- 네트워크 장비(NET-): 각 네트워크 장비 자체의 보안설정 및 취약점 점검
- 정보보호시스템 장비(ISS-): 정보보호시스템 및 솔루션의 보안설정, 취약점 점검
- OS가상화 시스템(PRCV-): 가상화 시스템의 구성, 보안설정 등 취약점 점검
- 컨테이너 가상화 시스템(PRCC-) : Docker와 같은 가상화 컨테이너의 구성, 보안설정 및 취약점 점검
-
관리적,물리적 영역
-
-
- 정보보호관리체계(FISM-): 관리적, 물리적 보안 영역 점검- 주로 인터뷰, 실사를 통해 점검
- 클라우드관리체계(PRCI-): 클라우드 자원에 대한 관리 상태 점검
-
홈페이지(공개형 웹) 취약점 분석 점검 항목 (연2회 수행)
- 대상: 인터넷에 공개된 웹서비스 (홈페이지, 인터넷뱅킹 등)
- 점검 방법: 웹 애플리케이션 스캐닝, 수동 점검
- 주요 항목: SQL Injection, XSS, CSRF 등 웹 취약점
기술적 영역 점검 항목
-
- 웹_모바일_HTS(WEB-FIN-, MOB-FIN-, HTS-FIN-): 공개형 웹서비스 , 모바일 어플리케이션, 증권사 HTS 등에 대한 모의해킹을 통한 보안 취약점 점검
3.3 상세 점검리스트 확인 방법
금융보안원 레그테크 포털:
- URL: https://regtech.fsec.or.kr/
- 금융보안 관련 규제 및 가이드 전문 검색 서비스
- 전자금융기반시설 점검 기준 및 상세 항목 제공
- 금융사 회원가입 후 이용 가능
KISA 주요정보통신기반시설 가이드:
- 주요정보통신기반시설 기술적 취약점 분석·평가 방법 상세가이드
- URL: https://www.kisa.or.kr/2060204/form?postSeq=12&lang_type=KO&page=1
- 파일명: “주요정보통신기반시설_기술적_취약점_분석_평가_방법_상세가이드.pdf”
전자금융감독규정 시행세칙 별표:
- 국가법령정보센터: https://www.law.go.kr/행정규칙/전자금융감독규정시행세칙
- 별표에서 구체적인 점검항목 확인 가능
4. 취약점 분석 전문기관
4.1 법적으로 지정된 전문기관
전자금융감독규정 제37조의3(전자금융기반시설의 취약점 분석·평가 전문기관의 지정 등) ① 전자금융기반시설의 취약점 분석·평가를 위한 평가전문기관은 다음 각 호의 자로 한다.
- 금융분야 정보공유·분석센터: 1호의 금융분야 정보공유분석센터는 금융보안원을 말한다.
- 정보보호전문서비스 기업: 2호의 정보보호전문 서비스기업은 KISA에서 확인이 가능하다.
- 「정보보호산업의 진흥에 관한 법률」 제23조에 따라 지정된 기업
- 침해사고대응기관: 금융보안원
- 금융위원장이 지정하는 자: 그 외 금융위원장이 지정하는 자는 없다.
4.2 정보보호 전문서비스 기업 지정현황 확인 방법
KISA 공식 지정현황 확인:
- URL: https://www.kisa.or.kr/1040804#fnPostAttachDownload
- 정보보호 전문서비스 기업/보안관제 전문기업 지정제도 페이지
- 최신 지정현황 파일 다운로드 가능
- 정기적으로 업데이트되는 공식 목록
정보보호 전문서비스 기업 (총 29개사 – 2025년 기준)
| 번호 | 기업명 | 연락처 | 홈페이지 | 최초지정일 |
|---|---|---|---|---|
| 1 | ㈜시큐아이 | 02-3786-6600 | www.secui.com | 2001.11.29 |
| 2 | ㈜싸이버원 | 02-3475-4981 | www.cyberone.kr | 2001.11.29 |
| 3 | ㈜안랩 | 031-722-8000 | www.ahnlab.com | 2001.11.29 |
| 4 | ㈜에이쓰리시큐리티 | 02-6952-2511 | www.a3sc.co.kr | 2001.11.29 |
| 5 | 에스케이쉴더스㈜ | 031-5180-5000 | www.skshieldus.com | 2002.10.08 |
| 6 | ㈜소만사 | 02-2636-8300 | www.somansa.com | 2014.03.28 |
| 7 | ㈜씨에이에스 | 02-786-3815 | casit.co.kr | 2014.03.28 |
| 8 | ㈜윈스테크넷 | 02-622-8600 | www.wins21.co.kr | 2014.03.28 |
| 9 | ㈜이글루코퍼레이션 | 02-3452-8814 | www.igloo.co.kr | 2014.03.28 |
| 10 | ㈜시큐어원 | 02-6090-7690 | www.secureone.co.kr | 2014.03.28 |
| 11 | 한전케이디엔㈜ | 061-931-7114 | www.kdn.com | 2014.03.28 |
| 12 | ㈜파수 | 02-300-9090 | www.fasoo.com | 2016.06.02 |
| 13 | 엔시큐어㈜ | 070-7826-6807 | www.ensecure.co.kr | 2017.12.26 |
| 14 | ㈜파이오링크 | 02-2025-9630 | www.piolink.com/kr | 2018.04.24 |
| 15 | ㈜신한디에스 | 02-2010-1955 | www.shinhands.co.kr | 2018.04.24 |
| 16 | 한국통신인터넷기술㈜ | 02-597-0600 | www.ictis.kr | 2018.04.24 |
| 17 | ㈜에프원시큐리티 | 070-4640-3030 | www.f1security.co.kr | 2019.05.16 |
| 18 | ㈜케이씨에이 | 02-532-0532 | kca21.com | 2019.07.22 |
| 19 | ㈜한국정보기술단 | 02-3471-7771 | audit.co.kr | 2020.02.24 |
| 20 | ㈜씨드젠 | 02-786-9601 | www.seedgen.kr | 2020.07.29 |
| 21 | 한시큐리티㈜ | 02-6959-8124 | hangrp.com | 2020.10.06 |
| 22 | ㈜보안그룹모비딕 | 070-8987-0505 | www.mobymoby.com | 2020.11.10 |
| 23 | ㈜시큐리티허브 | 02-6952-3951 | www.securityhub.co.kr | 2020.12.29 |
| 24 | ㈜엘앤제이테크 | 02-2088-7035 | www.lnjtech.co.kr | 2020.12.29 |
| 25 | ㈜핀시큐리티 | 02-2038-0175 | www.finss.co.kr | 2021.06.14 |
| 26 | ㈜티앤디소프트 | 031-705-0301 | www.tndsoft.com | 2023.10.19 |
| 27 | 라온시큐어㈜ | 070-8240-6925 | www.raonsecure.com | 2023.11.28 |
| 28 | ㈜이노시큐리티 | 02-552-9488 | www.innosecurity.co.kr | 2024.11.19 |
| 29 | 롯데이노베이트㈜ | 02-2626-4000 | www.lotteinnovate.com | 2025.03.20 |
정보보호산업진흥포털 확인:
- 컨설팅 기업: https://www.ksecurity.or.kr/kisis/subIndex/469.do
- 보안관제 기업: https://www.ksecurity.or.kr/kisis/subIndex/39.do
- 지정 기준 및 절차 확인 가능
4.3 전문기관 선정 시 확인사항
- KISA 정보보호전문서비스 기업 지정 여부 (위 링크에서 확인)
- 금융권 취약점 분석 경험
- 전자금융감독규정 시행세칙 점검항목 숙지도
5. 취약점 분석 실무 수행 방법
5.1 자체 수행의 어려움
시간도 물리적으로 부족하고 보고서 등 많은 것을 보안담당자가 확인하지 못하기 때문에 대부분의 금융회사에서는 취약점 점검 컨설팅을 받거나 전문 솔루션을 이용한다.
5.2 컨설팅 수행 방식
컨설팅을 하더라도 솔루션을 이용해서 점검한다. 담당자들은 점검 스크립트를 돌리고 컨설턴트에게 결과값을 던져주면 된다.
주의사항: 어플라이언스는 오픈 OS 기반이나 점검 스크립트가 제대로 돌아가지 않을 수 있다.
5.3 점검 방법의 한계
스크립트를 통해 점검할 수 없는 항목도 있고, 시스템 담당자와 인터뷰를 통해 점검하는 항목도 있다. 컨설팅을 받게 되면 미팅 약속도 잡아줘야하고 보안담당자는 컨설턴트와 인프라 담당자, 개발자 사이에서 조율하는 역할을 하게 된다.
6. 취약점 분석 보고 및 승인 절차
6.1 보고서 제출
- 제출처: 금융감독원 (금융정보교환망 통해 제출)
- 제출 시기: 분석·평가 완료 후 30일 이내
- 포함 내용: 취약점 분석·평가 결과 및 보완조치 계획
참고: 2017년 1월부터 금융위원회에서 금융감독원으로 제출처가 변경되어 금융정보교환망에 제출하면 된다.
6.2 사후 관리 및 점검
② 금융회사 및 전자금융업자는 제1항에 따른 전자금융기반시설의 취약점 분석·평가 결과에 따른 필요한 보완조치의 이행계획을 수립·시행하여야 한다.
③ 금융위원회는 소속 공무원으로 하여금 제1항에 따른 전자금융기반시설의 취약점 분석·평가 결과 및 제2항에 따른 보완조치의 이행실태를 점검하게 할 수 있다.
6.3 관련 시스템 및 포털 안내
금융정보교환망: 보고서 제출 시스템
금융보안원 레그테크 포털: https://regtech.fsec.or.kr/
- 규제 관련 정보 및 가이드라인 제공
- 컴플라이언스 일정 관리
- 법령·규제 스마트 연계 기능
CSP 안전성 평가 통합지원시스템: https://csp.fsec.or.kr/
- 클라우드 관련 보안 평가
7. 금융회사 취약점 분석 담당자를 위한 체크리스트
7.1 사전 준비
✅ 법적 요구사항 확인
- 자산 규모 및 직원 수 기준 충족 여부
- 주요정보통신기반시설 지정 여부 확인
- 수행 주기 준수 (연 1회, 홈페이지 6개월)
✅ 전문기관 선정
- 전자금융감독규정 제37조의3 준수
- KISA 지정 정보보호전문서비스 기업 확인 (https://www.kisa.or.kr/1040804#fnPostAttachDownload)
- 금융권 경험 및 역량 검토
✅ 점검기준 및 가이드라인 확보
- 금융보안원 레그테크 포털 가입 (https://regtech.fsec.or.kr/)
- KISA 주요정보통신기반시설 가이드 다운로드
- 전자금융감독규정 시행세칙 별표 확인
7.2 수행 과정
✅ 점검 범위 설정
- 관리적, 물리적, 기술적 보안 전 영역
- 서버, DB, 네트워크, 웹 애플리케이션 포함
- OS별, 시스템별 세분화 (150여 개 서버 항목 포함)
✅ 협조 체계 구축
- 인프라 담당자, 개발자와의 협조
- 점검 일정 조율 및 시스템 영향 최소화
- 필요 시 인터뷰 일정 조율
7.3 사후 관리
✅ 보고서 작성 및 제출
- 금융정보교환망을 통한 제출
- 보완조치 계획 수립
- 이행실태 점검 대비
✅ 지속적 관리
- 보완조치 이행 모니터링
- 차기 점검 일정 관리
- 금융보안원 레그테크 포털을 통한 규제 변경사항 모니터링
8. 자주 사용하는 용어들
실무에서는 다양한 줄임말로 불립니다:
- 기반시설: 전자금융기반시설 취약점 분석
- 전자금융: 전자금융기반시설 점검
- 주정통: 주요정보통신기반시설 점검
- 금취평: 금융회사 취약점 평가
전자금융기반시설 취약점 분석은 단순한 웹 취약점 점검을 넘어서는 종합적인 보안 점검입니다. 법적 의무사항인 만큼 정확한 이해와 체계적인 준비가 필요하며, 특히 점검 대상의 광범위함과 전문기관 선정의 중요성을 간과해서는 안 됩니다. 실무에서는 충분한 사전 준비와 관련 부서와의 긴밀한 협조를 통해 효과적으로 수행할 수 있습니다. 이상으로 포스팅을 마치겠습니다. 🙂