박상원號 금융보안원, 자율보안 생태계 조성 기여…소프트웨어 공급망 보안 플랫폼 구축

[한국금융신문 우한나 기자] 금융보안원이 금융권 전반의 소프트웨어(SW) 공급망 보안 역량을 강화하기 위해 공급망 보안 플랫폼을 구축한다. SW 취약점에 대한 대응과 정보공유 체계를 마련해 금융권 내 자율보안 생태계 조성을 본격화할 방침이다.

금융보안원은 ‘금융권 소프트웨어 공급망 보안 플랫폼’을 구축해 2025년 말 시범운영을 거쳐 2026년부터 본격 운영할 예정이라고 29일 밝혔다.

SW 공급망은 소프트웨어 개발, 배포, 업데이트의 전 과정에 관여하는 사람, 조직, 기술 요소 등을 포함하는 상호 연결된 체계를 뜻한다.
IT 침해사고의 최초 진입점 또는 피해 확산점인 SW 취약점을 통합 관리하고 정보를 공유함으로써 사이버 위협에 선제적으로 대응 및 금융권 자율 보안 역량 강화를 목표로 한다.


플랫폼은 SW 공급망 전반의 위협을 실시간으로 식별하는 보안 가시성을 확보하고, 선제적으로 위협에 대응할 수 있는 환경을 마련하기 위해 ▲금융권 취약점 통합관리 ▲SBOM 관리체계 ▲버그바운티 운영 효율화 기능 등을 제공한다.


SW 주요 취약점에 대해 보안 패치의 개발부터 적용까지 전 과정을 원스톱으로 지원하며 플랫폼을 통해 통제된 방식으로 취약점 정보를 신속하게 공유함으로써 ‘패치 갭(보안패치 적용까지의 시간 차이)’ 최소화를 기대할 수 있다.

또한 금융사가 사용하거나 금융소비자에게 배포하는 SW에 대한 SBOM 관리체계를 마련해 새로운 취약점 발견 시 금융권 영향을 신속하게 분석 및 대응할 수 있도록 지원할 방침이다.
SBOM은 SW를 구성하는 모든 부품과 각 공급자, 구성 요소 간의 의존관계 등을 기록한 정보로 소프트웨어의 DNA와 같은 자료로 평가받는다.

이와 함께 취약점 제보자에게 보상을 지급하는 버그바운티를 운영함으로써 금융권 SW 제로데이 취약점 식별, 보안 사각지대 최소화와 더불어 취약점 발굴 문화 활성화에 기여할 것으로 기대된다.

금융보안원은 금융사, SW 개발사, 화이트해커 등 모든 이해관계자가 ‘보안 파트너’로서 협력하고 참여할 수 있는 오픈 플랫폼 형태의 ‘공급망 보안 자율 생태계 조성’을 기대하며 금융감독원, 한국인터넷진흥원 등 유관기관과도 SW 공급망 보안 정보 공유 및 협력을 지속 강화할 계획이다.

박상원 금융보안원장은 “디지털금융의 안전은 더 이상 개별 회사의 노력만으로는 지킬 수 없으며 공급망 전체가 협력해 원팀(One-Team)으로 대응해야 한다”며 “안전한 금융권 SW 공급망 보안 생태계 조성을 위해 높은 전문성과 신뢰성을 바탕으로 참여사들이 자율적인 보안 역량을 높일 수 있도록 적극 지원하겠다”고 말했다.

우한나 한국금융신문 기자 hanna@fntimes.com