Security

금융보안원, 금융권 SW 공급망 보안 플랫폼 구축

ChiefEditor

Published: 12:06, 29 Jul 2025 (Updated: 08:44, 08 Nov 2025)

[이미지: AI Generated by TheTechEdge]

💡

Editor Pick
- 유기적인 취약점 관리·정보공유로 금융권 자율보안 생태계 조성

금융보안원은 올해 하반기 '금융권 소프트웨어 공급망 보안 플랫폼' 구축을 추진한다. 2025년 말에 시범운영, 2026년부터 본격 운영할 예정이다.

소프트웨어 공급망은 소프트웨어 개발, 배포, 업데이트 전 과정에 관여하는 사람, 조직, 기술 요소 등을 포함하는 상호 연결된 체계다.

IT 침해사고 최초 진입점 또는 피해 확산점인 SW 취약점을 통합 관리하고 정보를 공유, 사이버 위협에 선제적으로 대응 및 금융권 자율 보안 역량 강화를 목표로 한다.

취약점은 가상사설망 장비(VPN)의 로그인 시도 횟수 무제한 취약점, 모바일 기기 관리 솔루션(MDM)의 인증우회 및 원격명령실행 등이다.

플랫폼은 SW 공급망 전반의 위협을 실시간으로 식별하는 보안 가시성을 확보하고, 선제적으로 위협에 대응할 수 있는 환경을 마련하기 위해, ▲금융권 취약점 통합관리, ▲SBOM 관리체계, ▲버그바운티 운영 효율화 기능 등을 제공한다.

금융권 취약점 통합관리는 SW 주요 취약점에 대해 보안 패치의 개발부터 적용까지 전 과정을 원스톱으로 지원한다. 플랫폼을 통해 통제된 방식으로 취약점 정보를 신속하게 공유함으로써 ‘패치 갭(보안패치 적용까지의 시간 차이)’ 최소화를 기대한다.

SBOM 관리체계는 금융사가 사용하거나 금융소비자에게 배포하는 SW에 대한 SBOM관리체계를 마련한다. SBOM(Software Bill of Materials)은 SW를 구성하는 모든 부품과 그 공급자, 구성 요소 간의 의존관계 등을 기록한 정보로, 소프트웨어의 DNA와 같은 자료를 말한다. SBOM 관리체계를 마련해 새로운 취약점 발견 시 금융권 영향을 신속하게 분석 및 대응할 수 있도록 지원한다.

다음으로 버그바운티를 운영한다. 취약점 제보자에게 보상을 지급하는 버그바운티를 운영으로, 금융권 SW 제로데이 취약점을 식별한다. 제로데이 취약점은 SW 개발사가 아직 인지하지 못했거나, 인지했더라도 패치나 해결책이 마련되기 전이라서 공격자가 먼저 악용할 수 있는 보안 취약점이다. 버그바운티 운영을 통해 보안 사각지대 최소화와 더불어 취약점 발굴 문화 활성화에 기여할 것으로 기대한다.

금융보안원은 금융사, SW 개발사, 화이트해커 등 모든 이해관계자가 ‘보안 파트너’로서 협력하고, 참여할 수 있는 오픈 플랫폼 형태의 ‘공급망 보안 자율 생태계 조성’을 기대한다. 이와 함께 금융감독원, 한국인터넷진흥원 등 유관기관과도 SW 공급망 보안 정보 공유 및 협력을 지속 강화할 계획이다.

박상원 금융보안원장은 “디지털 금융의 안전은 더 이상 개별 회사의 노력만으로는 지킬 수 없으며, 공급망 전체가 협력하여 원팀(One-Team)으로 대응해야 한다”며 “안전한 금융권 SW 공급망 보안 생태계 조성을 위하여, 높은 전문성과 신뢰성을 바탕으로 참여사들이 자율적인 보안 역량을 높일 수 있도록 적극 지원하겠다”고 밝혔다.