여기 담은 양식은 금융권 고유 항목을 보강한 골격이다. 일반 오픈소스 정책과 프로세스 양식은 기존 정책·절차 템플릿 가이드를 쓰고, 금융권에서 추가로 필요한 반입 통제, 망분리 예외 위험평가, 외주 SBOM 요구는 아래 양식으로 채운다.
활용 안내
아래 골격은 그대로 쓰는 완성본이 아니라 채워 넣을 틀이다. 대괄호로 표시한 부분은 조직 상황에 맞게 바꾼다. 발행 전 사내 법무·보안 검토를 거친다.
금융 오픈소스 정책 (보강 항목)
기존 오픈소스 정책에 금융권 고유 항목을 더한다. 아래는 정책에 포함할 항목의 골격이다.
1. 목적과 적용 범위
- 배포 소프트웨어와 사내 운영 시스템을 모두 포함한다.
- 폐쇄망과 망분리 예외 구간을 구분해 적용한다.
2. 식별
- 신규·레거시·외주 산출물의 오픈소스를 SBOM으로 식별한다.
3. 이슈 파악 및 해결
- 취약점 심각도별 대응 기한: [조직이 정한 기한].
- 외부 배포 시 GPL 계열 소스 공개 정책: [정책 내용].
4. 사용 승인
- 승인 주체(오픈소스 검토 위원회) 구성과 권한.
- 위험 수준별 승인 단계(자동 승인 기준과 위원회 상정 기준).
5. 관리
- 운영 시스템 지속 모니터링과 정기 재평가 주기: [분기/반기 등].
- 감사 증적 보관 기간: [조직이 정한 기간].
6. 망분리 예외
- 자체 위험평가 의무와 재평가 주기.
7. 역할과 책임, 예산, 법률 자문 접근, 정책 전파
오픈소스 반입 절차서 (폐쇄망)
폐쇄망에 오픈소스를 들여오는 절차의 골격이다. 자세한 설명은 폐쇄망 운영을 참고한다.
반입 신청
- 신청자, 대상 오픈소스와 버전, 용도, 반입 사유
외부 구간 검증
- 공식 배포처 확인, 체크섬 대조(무결성)
- 악성코드 검사
- SBOM 생성
- 취약점 사전 점검
반입 승인
- 검증 결과 검토, 승인 여부 결정
- 승인자, 승인 일시 기록
내부 이관
- 망간 자료전송, 내부망에서 해시 재확인
- 사내 미러 등록(SBOM 함께 등록)
기록 보관
- 위 전 과정을 감사 증적으로 보관
사용 승인 신청·검토 양식
[신청]
- 신청자 / 소속 / 신청일
- 대상 오픈소스 / 버전 / 라이선스
- 사용 용도 / 배포 여부(대외 배포 / 사내 운영)
- 첨부: SBOM, 취약점 점검 결과
[검토] (오픈소스 검토 위원회)
- 법무: 라이선스 의무·계약·권리 귀속 검토 의견
- 보안: 취약점·공급망·유지보수 상태 검토 의견
- 기술: 적합성·대체 가능성 검토 의견
[결정]
- 승인 / 조건부 승인(조건: ___) / 반려
- 결정자 / 결정일 / 근거
기재 예시 (가상 사례)
아래는 양식을 어떻게 채우는지 보여 주는 가상 사례다. OO은행과 등장 시스템·일자는 모두 지어낸 것으로, 실존 기관·시스템과 무관하다.
[신청]
- 신청자: 김OO / 디지털채널개발팀 / 2026-05-12
- 대상 오픈소스: Apache Kafka / 3.9.x / Apache-2.0
- 사용 용도: 사내 이벤트 스트리밍(거래 알림 적재) / 사내 운영(비배포)
- 첨부: kafka-3.9.sbom.json, 취약점 점검 결과(심각 0, 높음 0)
[검토] (오픈소스 검토 위원회, 2026-05-19)
- 법무: Apache-2.0, 비배포 사용으로 고지 의무 없음. 이상 없음.
- 보안: 알려진 심각 취약점 없음. 사내 미러 경유 반입 확인. 이상 없음.
- 기술: 기존 메시징 표준과 부합. 운영팀 운영 역량 확보 확인.
[결정]
- 조건부 승인 (조건: 운영 시스템 SBOM을 Dependency-Track에 등록해 지속 모니터링 대상에 포함)
- 결정자: 오픈소스 검토 위원회 / 2026-05-19 / 검토 의견 3건 종합
망분리 예외 자체 위험평가서
전자금융감독규정 개정(2025-02-05 시행)에 따라 고유식별정보와 개인신용정보를 처리하지 않는 연구·개발 목적 업무에 망분리 예외를 적용할 때 작성한다. 자세한 설명은 폐쇄망 운영의 자체 위험평가를 참고한다.
1. 대상 업무
- 업무명 / 시스템명
- 연구·개발 목적 해당 여부와 판단 근거
- 고유식별정보·개인신용정보 미처리 확인
2. 사용 오픈소스
- SBOM(대상 구간에서 쓰는 오픈소스 목록)
- 취약점·라이선스 위험 평가
3. 추가 위험과 통제
- 인터넷 연결로 추가되는 위험
- 망분리 대체 정보보호통제 적용 내역
- 반입 검증을 대신할 보안 통제
4. 이행 확인과 재평가
- 통제 이행 확인 방법
- 재평가 주기: [조직이 정한 주기, 통상 연 1회 이상]
5. 검토와 승인
- 작성자 / 작성일
- 검토: 정보보호 부서, 오픈소스 관리 조직(위험 정보 확인)
- 승인: 정보보호위원회 또는 정보보호최고책임자(CISO) / 승인일
기재 예시 (가상 사례)
아래는 양식을 어떻게 채우는지 보여 주는 가상 사례다. OO은행과 등장 업무·일자는 모두 지어낸 것으로, 실존 기관·시스템과 무관하다.
1. 대상 업무
- 업무명: 사기거래 탐지 모델 연구 / 시스템명: FDS 연구 검증 환경
- 연구·개발 목적 해당: 예 — 운영 서비스와 분리된 모델 연구·검증 전용 환경
- 고유식별정보·개인신용정보 미처리: 확인 — 비식별 처리된 표본 데이터만 사용
2. 사용 오픈소스
- SBOM: fds-research-env.sbom.json (Python 계열 187개 컴포넌트)
- 위험 평가: 심각 취약점 0건, 카피레프트 라이선스 0건(전부 Apache-2.0·BSD·MIT)
3. 추가 위험과 통제
- 추가 위험: 외부 패키지 저장소 직접 접근으로 인한 미검증 컴포넌트 유입
- 대체 정보보호통제: 망분리 대체 정보보호통제 기준에 따른 단말 통제·접근 기록
- 보안 통제: 사내 미러 우선 사용, 주 1회 환경 전체 취약점 스캔
4. 이행 확인과 재평가
- 이행 확인: 분기별 통제 운영 점검(정보보호 부서)
- 재평가 주기: 연 1회 및 환경 구성 변경 시
5. 검토와 승인
- 작성자: 박OO(FDS연구팀) / 2026-04-02
- 검토: 정보보호 부서(2026-04-09), 오픈소스 관리 조직(SBOM·위험 평가 확인)
- 승인: 정보보호위원회 / 2026-04-16
이 평가서는 사용 승인의 승인 근거가 되고, 관리에서 정기적으로 갱신한다.
최종 검토일: 2026-06-10. 이 페이지는 규제 변화 시, 그리고 연 1회 정기적으로 재검토한다.