| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
- 외주업무 수행 시
- 스마트공장
- 기업보안담당자
- ISO27001
- 관리보안
- 보안서약서
- it성숙도모델
- BYOD
- GCP
- OT보안
- 퇴직자
- 재직자용
- 비밀유지서약서
- 회사제공pc사용자
- 보안가이드
- siem
- 금융보안
- 가이드라인
- ISO인증심사
- 휴대용컴퓨터사용자
- Azure
- usb사용자
- 혼자쓰는보고서
- 위수탁
- 클라우드
- 클라우드 보안
- 보안체크리스트
- AI보안
- aws
- 프로젝트 시작 시
- Today
- Total
정보보안핑(✌’ω’)✌
[가이드] 금융권 오픈API 이용기관 자체 보안 점검 가이드💳💸 - 출처 : 금융보안원(2018.12) 본문
https://www.fsec.or.kr/bbs/detail?menuNo=222&bbsNo=6154
금융보안원
금융회사 등이 제공하는 오픈 API를 이용하는 기관(핀테크 기업 등)이 자체보안 점검 시 참고할 수 있는 「금융권 오픈API 이용기관 자체 보안점검 가이드」를 발간하여 첨부하오니, 업무에 참고
www.fsec.or.kr
금융권 오픈API 보안 점검 가이드: 기초부터 이해하기 🛡️🔍
금융권 오픈API 보안 점검 가이드는 핀테크 기업이나 금융기관이 오픈API를 이용하면서 보안 위험을 최소화할 수 있도록 만들어진 안내서입니다. 오픈API는 금융 데이터를 제3자(핀테크 회사 등)에게 제공하기 위해 금융기관이 공개하는 API로, 이를 통해 다양한 서비스(예: 계좌 조회, 송금 등)가 제공됩니다. 💳💸
하지만, 이러한 편리함은 그만큼의 보안 위험을 수반해요. ⚠️ 악성코드 감염, 개인정보 유출, 피싱 사이트 등 다양한 위험 요소들이 존재하기 때문에, 오픈API를 이용하는 기관은 자체적인 보안 점검을 통해 이러한 위험들을 사전에 예방해야 합니다. 🛠️🚨
1. 금융권 오픈API 보안 점검의 목적 🌐🛡️
이 가이드의 목적은 금융권 오픈API를 이용하는 핀테크 기업이 보안 위험을 잘 이해하고, 이러한 위험을 사전에 제거하거나 최소화할 수 있도록 지원하는 것입니다. 이를 위해 가이드는 보안 점검 시 참고할 수 있는 여러 가지 점검 항목과 결과 보고서 작성 예시까지 제공하고 있어요. 📝📊
2. 주요 내용 💡📋
주요 내용은 다음과 같습니다:
- 오픈API 이용 구조와 주요 위험: 오픈API 시스템이 어떻게 구성되어 있고, 이 시스템에서 발생할 수 있는 보안 위험들이 무엇인지 다룹니다. 🧩⚠️
- 주요 보안 요구사항: 오픈API를 이용하는 기관들이 반드시 지켜야 할 보안 요구사항을 설명합니다. 🛑✅
- 보안 점검 항목: 오픈API 이용 시 필수적인 보안 점검 항목과 이에 대한 예시를 제공합니다. 📌🔎
3. 보안성 검토 관련 주요 기준 (테이블) 📊🛠️
아래 표는 오픈API 이용기관이 준수해야 하는 주요 보안성 검토 항목을 요약한 것입니다. 각 항목은 관리적, 물리적, 기술적 보안 관점에서 점검되어야 합니다. 🏢🔐
보안영역점검 분야보안 점검 항목
| 관리 | 정보보호 정책·조직 | 정보보호최고책임자 지정 및 실무조직 구성 👨💼👩💼 |
| 관리 | 외부자 관리 | 위탁업체 선정 및 관리, 클라우드 서비스 위험 관리 ☁️🔒 |
| 관리 | 정보자산 관리 | 정보자산 식별 및 등급부여, 정보자산별 책임자 지정 🗂️🔍 |
| 관리 | 정보보호 교육 | 정보보호 교육계획 수립 및 이행, IT 및 정보보호직무 교육 이수 📚🎓 |
| 관리 | 인적 보안 | 비밀유지서약서 체결, 직무 분리, 퇴직 및 직무변경 관리 ✍️🚫 |
| 관리 | 위험 관리 | 취약점 점검 정책 수립 및 수행 🛠️📝 |
| 관리 | 침해사고 대응 | 침해사고 대응절차 마련 및 교육 시행, 로그 보존 및 모니터링 🚨📊 |
| 관리 | 장애 대응 | 백업정책 수립 및 복구절차 마련 💾🔄 |
| 관리 | 이용자 보호 | 개인정보 처리 관련 이용자 보호 🔒👥 |
| 물리 | 물리적 보안 | 보호구역 지정 및 출입 통제, 반출입 관리 🚪🚷 |
| 기술 | 개발 보안 | 시큐어 코딩 적용, 보안 취약점 점검·보완 💻🛡️ |
| 기술 | 암호 통제 | 중요 정보 암호화 정책 수립 및 이행 🔑📜 |
| 기술 | 접근 통제 | 중요 정보자산 계정 및 접근 권한 관리 🗝️👥 |
| 기술 | 시스템 보안 | 악성코드 감염 및 정보 유출 방지, 보안 패치 적용 🐛🚫 |
| 기술 | 네트워크 보안 | DMZ 구간 구성, 대외기관 통신 시 보안 통신 적용 🌐🔐 |
4. 보안 점검 항목을 왜 점검해야 할까요? 🤔❓
금융권 오픈API는 일반적인 전자금융서비스보다 더 많은 이해관계자(예: 핀테크 회사, 금융기관, 사용자)가 연결되어 있기 때문에 보안 관리의 범위가 더 넓습니다. 👫📈 따라서 오픈API를 이용하는 각 기관은 주요 보안 요구사항을 반드시 점검해야 해요.
예시로 볼 수 있는 보안 위험:
- 악성코드 감염 🦠: 이용자의 단말기에 악성코드가 설치되어 중요한 인증 정보가 탈취될 수 있습니다. 이를 방지하기 위해 안티바이러스 프로그램을 설치하고 주기적으로 점검해야 합니다. 🛡️💻
- 변조 애플리케이션 유통 📲🚫: 악의적인 해커가 변조된 애플리케이션을 유포할 경우, 이용자 데이터가 유출될 위험이 있습니다. 따라서 애플리케이션 위변조 방지 대책을 마련하고, 이용자에게 정상적인 배포 경로를 통해 설치하도록 안내해야 합니다. ✔️📱
결론 📌✨
오픈API는 금융 서비스의 편리함을 극대화하지만, 동시에 다양한 보안 위험을 수반합니다. 이를 사전에 예방하고 관리하기 위해 보안 점검 가이드를 통해 점검 항목을 충실히 이행하는 것이 필수적입니다. 🔒🛠️ 보안 점검은 단순히 법적 요구사항을 충족하기 위한 것이 아니라, 서비스의 신뢰성을 높이고, 고객 데이터를 안전하게 보호하는 중요한 과정입니다. 💼💡
이 가이드를 잘 이해하고, 금융권 오픈API 서비스를 안전하게 운영하기 위한 체계적인 보안 대책을 마련해보세요! 🚀💪
'관리보안' 카테고리의 다른 글
| [가이드] 금융보안 거버넌스 가이드 - 출처 : 금융보안원(2019) (3) | 2024.10.06 |
|---|---|
| [가이드] 금융부문 암호기술 활용가이드 - 출처 : 금융보안원(2019.01) (6) | 2024.10.06 |
| [가이드] 금융회사 침해사고 준비도 가이드 - 출처 : 금융보안원(2016.12.21) (2) | 2024.10.06 |
| [가이드] 2024 국가정보보호백서 - 출처 : 국가정보원 (2) | 2024.09.24 |
| [매뉴얼] 산업기술 보호지침 매뉴얼 - 출처 : 산업부, 한국산업기술보호협회 (0) | 2024.09.24 |
