인프라자산 취약점 점검

1. 개요

- 연 1회 전자금융거래법 제21조의3에 따라 인프라자산의 취약점을 점검

 

2. 근거

§ 전자금융거래법 제21조의3(전자금융기반시설의 취약점 분석ㆍ평가)

① 금융회사 및 전자금융업자는 전자금융거래의 안전성과 신뢰성을 확보하기 위하여 전자금융기반시설에 대한 다음 각 호의 사항을 분석ㆍ평가하고 그 결과(「정보통신기반 보호법」 제9조에 따른 취약점 분석ㆍ평가를 한 경우에는 그 결과를 말한다)를 금융위원회에 보고하여야 한다.

1. 정보기술부문의 조직, 시설 및 내부통제에 관한 사항

2. 정보기술부문의 전자적 장치 및 접근매체에 관한 사항

3. 전자금융거래의 유지를 위한 침해사고 대응조치에 관한 사항

4. 그 밖에 대통령령으로 정하는 사항

② 금융회사 및 전자금융업자는 제1항에 따른 전자금융기반시설의 취약점 분석ㆍ평가 결과에 따른 필요한 보완조치의 이행계획을 수립ㆍ시행하여야 한다.

③ 금융위원회는 소속 공무원으로 하여금 제1항에 따른 전자금융기반시설의 취약점 분석ㆍ평가 결과 및 제2항에 따른 보완조치의 이행실태를 점검하게 할 수 있다.

④ 제1항에 따른 전자금융기반시설의 취약점 분석ㆍ평가의 내용 및 절차와 제2항에 따른 이행계획의 수립ㆍ시행, 그 밖에 필요한 사항은 대통령령으로 정한다.

 

3. 점검 대상

- 서버(LINUX, WINDOWS, SOLARIS, AIX, HP-UX)

- 네트워크(스위치, 라우터)

-정보보호시스템(FW, VPN, IDS, IPS, DDoS, WAF)

- 데이터베이스(ORACLE, MYSQL, MSSQL, MariaDB, PostgresSQL,Tibero)

- WEB,WAS(apache, tomcat, Jeus, resin, webtoB)

 

 

4. 점검 방법

- 취약점 자동진단 솔루션(에이전트 기반)

- 수동점검(스크립트, 체크리스트 수동점검)

- 전자금융기반시설 보안 취약점 평가기준(금융감독원), 취약점 진단 가이드(한국정보통신진흥원)