전자금융(전자금융거래/정보기술부문) 보안관점 정기점검 체계를, 현업에서 바로 운영할 수 있도록 일별·월별·분기·반기·연간으로 묶어 정리한 실무형 종합안입니다. 전자금융감독규정은 전자금융거래법과 시행령의 위임사항 및 정보기술부문 안전성 확보를 위한 기준을 두고 있고, 정보보호는 유출·위변조·훼손 방지를 위한 기술적·물리적·관리적 수단을 포함합니다. 최근 금융당국도 기술적·관리적 보안대책 수행과 점검, 이상 징후 발생 시 즉시 보고·전파, 그리고 운영복원력 강화와 경영진 책임을 계속 강조하고 있습니다.
운영 원칙
전자금융 보안점검은 “규정 준수”만 보는 것이 아니라, 서비스 중단·오류 송금·고객정보 유출·권한오남용·외부침입·공급망 사고를 얼마나 빨리 발견하고 차단하느냐를 중심에 두는 것이 좋습니다. 즉, 정기점검은 취약점 발견 자체보다 탐지 → 차단 → 복구 → 재발방지가 연결되어야 합니다. 금융위도 최근 보안체계를 “과하다고 생각될 정도로 빈틈없이 점검”하고, 서비스 설계 단계부터 보안을 우선 고려해야 한다고 강조했습니다.
정기점검 유형 종합표
일별 점검
- 중요 보안경보 확인
- WAF/IPS/IDS/EDR/AV/SIEM 경보
- 외부 접속, VPN, 관리자 접속, 비정상 로그인
- 실패 로그인 급증, 다중 지역 로그인, 세션 탈취 징후
- 대외채널 거래 이상징후 확인
- 계좌이체/결제/인증 실패율 급증
- 특정 IP·디바이스·계정에서 반복 시도
- 거래한도 초과 시도, 비정상 패턴
- 권한·계정 상태 확인
- 신규 관리자 계정 생성 여부
- 퇴사자·휴면계정 미삭제 여부
- 임시권한 만료 여부
- 백업·복구 상태 확인
- 전일 백업 성공 여부
- 백업 저장소 접근 이상 여부
- 핵심 DB/설정파일 백업 누락 여부
- 핵심 보안장비 상태
- 에이전트 미통신, 시그니처/룰 미갱신
- 인증서 만료 임박, 시간 동기화 이상
- 로그 수집 누락 여부
일별 포인트: “어제 정상, 오늘도 정상인가”를 보는 빠른 체계가 핵심입니다. 금융당국이 이상 징후 발생 시 즉시 보고를 강조하는 만큼, 일별 점검은 보고 전 단계의 조기경보 기능으로 두는 것이 좋습니다.
월별 점검
- 패치·취약점 조치 현황
- OS/미들웨어/DB/웹서버/보안장비 패치 적기 적용
- 인터넷 노출 자산의 고위험 취약점 미조치 여부
- 예외 승인 목록 만료 여부
- 계정·권한 정기 검토
- 관리자/특권계정 재점검
- 부서이동자·협력사 계정 정리
- MFA 적용 여부 재확인
- 로그 분석 리포트
- 월간 상위 경보 유형
- 반복 공격 IP, 차단 추세
- 실패 인증, 권한상승, 비정상 파일 실행
- 보안설정 기준점검
- 공통 서버 기준선(CIS 등 내부 기준)
- 암호정책, 세션타임아웃, 잠금정책
- 외부연계 API 키/토큰 교체 주기
- 백업 복구 샘플 테스트
- 파일 1건, DB 1건 복구성 검증
- 복구시간(RTO) 및 손실허용(RPO) 확인
월별 포인트: 실제 운영에서는 취약점 스캐닝·기준점검·권한 재검토를 한 세트로 묶어야 누락이 줄어듭니다. KISA도 네트워크·클라우드·서버·DB·업무용 PC 등 비대면 서비스 환경의 주요 취약사례와 대응방안을 다루고 있어, 월간 점검 항목 설계에 참고할 만합니다.
분기별 점검
- 접근권한 재인증(Recertification)
- 전산/운영/개발/보안/협력사 권한 재승인
- 업무상 필요 없는 권한 제거
- 고위험 권한의 승인 근거 확인
- 침해사고 대응 훈련
- 랜섬웨어, 웹쉘, 계정탈취, DDoS 시나리오
- 보고 체계, 의사결정, 격리, 복구, 대외통지 점검
- 외부연계/위탁사 점검
- API 연계망, SSO, VPN, 망연계, 위탁 운영 현황
- 위탁사 보안증적, 취약점 조치, 사고통지 SLA 확인
- 중요 시스템 취약점 진단
- 외부 노출 서비스 모의 점검
- 웹앱/모바일/API 취약점 진단
- 설정오류, 인증우회, 접근통제 미흡 확인
- 운영 복원력 점검
- 주요 서비스 장애 시 우회경로
- 우선복구 순서
- 수동운영 전환 가능 여부
분기별 포인트: 금융당국은 기술적·관리적 보안대책 점검과 사이버 위기 대응체계 강화를 계속 요구하고 있으므로, 분기 점검은 “문서 확인”보다 실제 동작 검증 비중을 높이는 것이 좋습니다.
반기별 점검
- DR/BCP 실전 모의복구
- DR센터 절체, 복구순서, 서비스 재개 검증
- 핵심 DB 복제 지연/불일치 확인
- 복구 인력 연락망 점검
- 특권계정 심층 점검
- PAM 사용 여부
- 세션기록, 명령어 로깅
- 휴면/공유계정 제거
- 암호화·키관리 점검
- 저장/전송 구간 암호화 적정성
- 키 보관·회전·폐기
- 인증서와 HSM 운영 상태
- 보안정책·예외승인 재검토
- 예외 승인 건 일괄 만료/연장 심사
- 통제 미흡에 대한 보완조치 이행률
- 협력사·클라우드 보안 재평가
- 계약상 보안조항 이행
- 원격관리 경로
- 계정/네트워크 분리 상태
반기별 포인트: 반기에는 “보안 통제”보다 복구 가능성을 확인해야 합니다. 최근 금융당국이 운영복원력과 재해복구를 강조하는 흐름과도 맞습니다.
연간 점검
- 전사 정보보호 위험평가
- 자산 식별, 위협 시나리오, 영향도, 개선계획
- 핵심서비스별 보호수준 재산정
- 전사 모의침투 / 레드팀
- 외부침입, 계정탈취, 내부이동, 데이터탈취
- 대응 시간, 차단율, 탐지율 평가
- 정책·지침·표준 전면 재검토
- 접근통제, 로그, 백업, 외주, 개발보안, 예외관리
- 조직개편/시스템변경 반영
- 전사 교육·훈련
- 피싱 대응, 관리자 보안, 데이터 취급, 사고보고
- 경영진 대상 보고훈련 포함
- 감사 대응 및 컴플라이언스 정합성 점검
- 감독규정, 내부통제, 외부감사 지적사항 반영
- 이행증적 체계화
연간 포인트: 연간 점검은 단순 점검표 갱신이 아니라, 그 해의 실제 사고·장애·감사 지적을 반영해 기준을 바꾸는 작업으로 운영하는 것이 효과적입니다. 금융위는 CEO 책임과 체계적 보안시스템 구축을 반복해서 강조하고 있습니다.
공통 점검 포인트
- 계정
- 퇴사·이동·휴면계정 즉시 회수
- 공유계정 금지, 특권계정 별도관리
- 접속
- 외부접속은 MFA 필수
- 원격접속 시간·대상·명령어 기록
- 로그
- 보안장비·서버·DB·애플리케이션 로그 통합
- 로그 누락 자체를 사고로 간주
- 패치
- 인터넷 노출 자산 우선
- 예외는 만료일을 반드시 둠
- 데이터
- 고객정보, 인증정보, 결제정보 암호화
- 다운로드·반출·대량조회 모니터링
- 복구
- 백업 성공이 아니라 복구 성공을 확인
- 정기적으로 복구시간을 실측
- 위탁사
- 사고 통지 시간, 조치 책임, 로그 제공 범위 명확화
- 재위탁 관리 포함
예시 운영표
- 매일: 경보 확인, 이상거래 확인, 관리자 접속 확인, 백업 성공 확인
- 매월: 패치/취약점 현황, 권한 재검토, 로그 리포트, 샘플 복구
- 분기: 침해사고 훈련, 외부연계/위탁사 점검, 고위험 취약점 진단
- 반기: DR 절체 모의복구, 특권계정 심층점검, 암호화/키관리 점검
- 매년: 전사 위험평가, 레드팀/모의침투, 정책 전면개정, 전사훈련
댓글