IBK기업은행, 오픈소스 보안 취약점 점검 체계 도입…금융권 오픈소스 대책 본격화
[디지털데일리 이상일기자] IBK기업은행이 디지털 전환과 IT 신기술 활용의 확대에 따른 오픈소스 소프트웨어 사용 증가에 대응하고, 오픈소스 보안 취약점으로부터의 위협을 관리하기 위해 오픈소스 보안 취약점 점검 체계 도입에 나선다. 이번 사업은 금융당국의 오픈소스 내부통제 강화 요구와 국제 정세 변화에 적극적으로 대응하기 위한 것으로 주목된다.
오픈소스 소프트웨어의 사용 증가는 개발의 효율성과 혁신을 촉진하지만, 동시에 보안 취약점으로 인한 위험도 증가시킨다. 이에 기업은행은 오픈소스 보안 취약점을 지속적으로 점검하고 관리할 수 있는 시스템 구축과 점검체계를 수립, 전행 업무시스템의 안전성을 강화할 계획이다.
앞서 금융감독원과 금융보안원은 '오픈소스 소프트웨어 활용관리 안내서' 제정 작업을 2022년 진행해 오픈소스 보안성관리 등에 대한 금융권의 자율규제를 독려한 바 있다. 소스코드가 공개되는 오픈소스의 특성에 따라 악의적인 목적으로 취약점을 활용한 공격 사례를 예방하기 위해, 오픈소스를 활용한 시스템 개발 단계별 금융회사의 보안 고려 사항을 제시해 정보보안 리스크를 최소화한다는 목적이다.
기업은행의 사업 추진 방안은 크게 두 가지로 구성된다. 첫째, '오픈소스 취약점 점검 시스템'의 구축을 통해 업무 시스템 내 오픈소스의 점검을 체계화하고, '오픈소스 관리포탈'을 통해 취약점의 점검 및 이력 관리를 수행한다. 둘째, '오픈소스 보안취약점 점검 프로세스'를 수립해 신규 및 기존 시스템의 오픈소스 취약점을 체계적으로 관리한다는 계획이다.
구체적으로 기업은행이 도입하는 오픈소스 취약점 점검 솔루션은 오픈소스 소프트웨어의 보안 관리를 체계적으로 수행할 수 있는 환경을 목적으로 도입된다.
이 솔루션은 특히 기업은행의 내부 폐쇄망 환경(On-premise)에서 운영되어, 소스코드가 외부로 유출되지 않는 안전한 점검 환경을 제공하게 된다. 주요 기능으로는 오픈소스의 직·간접적 의존성을 반영한 점검 결과 지원과 다중 라이선스 식별 정보 제공이 있으며, 시스템별로 소프트웨어 구성품 목록(SBOM)을 PDF, 엑셀(EXCEL) 등 다양한 형태로 제공하게 된다.
또한, 라이선스 컴플라이언스 점검 기능을 통해 오픈소스 라이선스 준수 여부를 점검하고, 법적 리스크를 관리할 수 있게 될 전망이다. 이 솔루션은 예약점검 기능과 신규 오픈소스 취약점 발생 시, 시스템 재점검 없이도 취약 여부를 확인할 수 있는 기능을 제공하며, 네트워크가 연결되지 않는 오프라인 시스템에서도 취약점 점검을 지원하는 방식을 포함하고 있다.
오픈소스 보안취약점 점검 프로세스는 업무시스템별 오픈소스 식별에서 시작해 오픈소스 취약점 점검 수행, 그리고 오픈소스 사후관리에 이르기까지 세 단계로 구성된다. 도입되는 고급 오픈소스 취약점 점검 솔루션은 당행 내부 폐쇄망 환경에서 운영되며, 소스코드의 외부 유출 없이 오픈소스를 점검한다. 이 솔루션은 다중 라이선스 및 의존성 점검, SBOM 제공, 라이선스 컴플라이언스 점검 등의 기능을 포함하며, 오픈소스 관리 포털을 통한 프로젝트 관리, 점검 결과 레포트 제공, 정책 설정 등을 지원한다.
이번 도입이 중요한 이유는 금융산업 내에서 디지털 자산의 보안이 점점 더 중요해지고 있기 때문이다. 전세계적으로 금융기관들은 오픈소스 소프트웨어의 보안 취약점으로 인한 위협에 직면해 있으며, 이에 대응하기 위한 조치가 시급히 필요하다는 것이 업계의 의견이다. 기업은행의 이번 조치는 금융당국의 자율보안체계 구축 요구에 선제적으로 대응하며, 기업은행의 능동적인 보안 활동을 강화할 것으로 기대된다.
기업은행의 오픈소스 보안 취약점 점검 체계 도입은 오픈소스 소프트웨어 사용이 급증하는 현 상황에서 잠재적 보안 위협을 식별하고, 지속적으로 보안 위협을 통제하는 데 큰 의미가 있다. 이는 뿐만 아니라 국내외 금융사들에게도 오픈소스 보안 관리의 중요성을 인식시키고, 해당 분야에서의 리더십을 확립하는 계기가 될 것이라는 관측이다.
국회 '비상계엄 해제요구안' 가결후… 외환시장 진정세, 비트코인도 회복
2024-12-04 01:31:26국회, 비상계엄 해제 요구 결의안 가결…우원식 국회의장 "계엄령 무효"
2024-12-04 01:05:51[전문] 계엄사령부 포고령…"모든 언론·출판은 계엄사 통제"
2024-12-03 23:36:14'직무정지' 이진숙 방통위원장 "민주당 의도, 방통위 마비라면 목표 달성"
2024-12-03 23:25:26LG헬로비전, 네트워크 관리 자회사 '헬로커넥트N' 세운다
2024-12-03 17:25:17