2026년 취약점 분석·평가기준 개정

금융권에서 퍼블릭 클라우드 도입이 확산되고, 가상자산 서비스가 제도권에 편입되면서 기존 평가기준으로 커버 안 되는 영역이 생겼다. 금융보안원이 이런 변화에 대응해서 2026년도 취약점 분석·평가기준을 개정했다.

참고로 취약점 분석·평가란, 금융회사의 전산시스템과 운영환경 전반을 점검해서 사이버 공격에 악용될 수 있는 위험 요소를 사전에 식별하고 개선하는 제도다.

---

전자금융기반시설 — 평가 체계 정비

이번에 눈에 띄는 변경이 몇 가지 있다.

'클라우드 관리체계' 분야가 신설됐다. 퍼블릭 클라우드 이용이 늘어나면서 당연히 나와야 했던 항목이다. 그동안 클라우드 관련 점검이 기존 항목에 끼워 넣는 식이었다면, 이제는 독립된 분야로 분리된 거다.

'OS·컨테이너 가상화시스템' 평가 대상이 확대됐다. 가상화 시스템 도입이 다양해지면서 반영된 부분이다. 보안 패치 만료 시스템 점검도 강화돼서 지원 종료(EoS) 장비에 대한 관리를 더 꼼꼼하게 봐야 한다.

기존 '서버' 분야가 운영체제(서버)와 미들웨어(웹서버·WAS)로 분리됐고, 전자금융감독규정 개정 사항도 '정보보호 관리체계' 분야에 반영됐다.

---

가상자산 거래소 — 전용 평가기준 신설

가상자산 거래소 전용 평가기준이 새로 만들어진 것도 큰 변화다. 기존 금융회사와 업무 환경이 다르기 때문에 별도로 만든 건데, 주요 법령이 전자금융거래법이 아니라 가상자산이용자보호법·특정금융정보법이고, 운영 인프라도 온프레미스가 아닌 클라우드 위주이며, 주요 보안 위협도 고객정보 유출보다는 핫월렛 탈취 같은 쪽이다.

신설된 평가 분야로는 가상자산 컴플라이언스(규제 리스크 관리), 블록체인(체인 운영·관리 보안), 월렛(핫/콜드 월렛 보안성), 스마트 컨트랙트(컨트랙트 취약점 점검)가 있다.

---

클라우드와 가상자산이 금융의 기본 인프라가 되면서, 취약점 점검 기준도 따라가고 있다. 특히 가상자산 거래소 전용 평가기준이 신설된 건, 가상자산이 더 이상 금융 규제 사각지대가 아니라는 신호다. 금융권 보안 점검 쪽은 직접 하고 있지 않지만, ISMS-P 관점에서 클라우드 관리체계가 별도 분야로 분리된 건 주목할 만하다. 클라우드 자산 관리가 인증 심사에서도 갈수록 비중이 커지고 있으니까.

2026년도 취약점 분석·평가기준 안내서는 금융회사에 배포되며, 레그테크 홈페이지에서도 확인할 수 있다.

출처: 금융보안원 보도자료