(조세금융신문=진민경 기자) 금융보안원이 금융회사의 보안 수준을 체계적으로 진단하고 개선을 지원하는 ‘금융보안 수준 진단 서비스’를 본격적으로 시작한다.

금융보안원은 금융회사가 자체적으로 보안 수준을 점검하고 단계적으로 고도화할 수 있도록 ‘금융보안 수준진단 프레임워크’를 개발해 배포했다고 10일 밝혔다.

앞서 금융보안원은 올해 1월 관련 전담 조직을 신설했으며, 오는 3월부터 희망 금융회사를 대상으로 현장 방문 진단 서비스를 제공할 예정이다.

이번에 개발된 프레임워크는 글로벌 금융보안 표준 진단 도구인 CRI Profile 등을 참고해 설계됐다. 금융보안원은 약 5개월간 20개 금융회사와 작업반을 구성해 논의와 시범 테스트를 거쳐 프레임워크를 완성했다.

프레임워크는 ▲거버넌스 ▲식별 ▲보호 ▲탐지 ▲대응 ▲복구 ▲공급망 등 7개 분야 및 45개 항목, 127개 세부 원칙으로 구성돼 금융회사 보안 전반에 대한 종합 진단이 가능하다. 보안 수준은 초기(Initial)·기반(Defined)·발전(Managed)·고도화(Advanced)의 4단계로 평가된다.

금융보안원은 평균적인 보안 체계를 갖춘 금융회사가 2단계인 ‘기반’ 등급을 받도록 설계했으며, 보안 역량이 강화될 경우 ‘발전’, ‘고도화’ 단계로 상향되도록 했다. 시범 테스트 결과, 국내 대형 금융회사는 평균 3단계 수준으로 평가됐으며, 글로벌 금융회사는 3.5단계 이상이 될 것으로 금융보안원은 보고 있다.

이번 진단 체계는 기존의 체크리스트 방식 점검과 달리, 금융회사의 현재 보안 수준을 진단한 뒤 목표 수준을 설정하고 개선 방안을 제시하는 방식이라는 점에서 차별화된다.

금융보안원은 프레임워크의 안정적 정착을 위해 정책·기술 분야 보안 전문가 7명으로 구성된 ‘자율보안연구팀’을 신설했다. 아울러 세부 진단 방법과 보안 모범사례를 담은 가이드를 함께 제공해 금융권 전반의 보안 역량 강화를 지원할 계획이다.

금융보안원은 올해를 금융보안 수준 진단 서비스 원년으로 삼고, 현장 진단과 모범사례 수집을 통해 프레임워크를 고도화한다는 방침이다. 내년부터는 금융회사가 외부 도움 없이 자체 진단과 개선이 가능하도록 자문·검증·교육 등 지원 체계도 확대할 예정이다.

박상원 금융보안원 원장은 “망분리 규제 완화와 AI 전환 등 급변하는 금융 IT 환경 속에서 새로운 보안 위협에 선제적으로 대응하기 위해서는 금융회사의 자율보안 역량 확보가 중요하다”며 “금융회사가 스스로 보안 수준을 진단하고 개선하는 문화가 정착될 수 있도록 지원하겠다”고 밝혔다.

[조세금융신문(tfmedia.co.kr), 무단전재 및 재배포 금지]