폐쇄망 운영과 망분리 전환
금융권 폐쇄망에서 오픈소스를 반입·미러·점검하는 공통 인프라와, 자율보안으로 전환 중인 망분리 규제 환경에서 자체 위험평가를 문서화하는 방법을 다룬다.
금융분야 오픈소스 관리 실무 가이드
금융분야 오픈소스 소프트웨어 활용·관리 안내서의 절차를 국제표준(ISO/IEC 5230·18974)과 연결해 실제로 운영 가능하게 만드는 금융권 특화 실무 가이드다.
Categories:
금융권은 오픈소스를 점점 더 많이 쓰면서도 폐쇄망, 망분리 규제, 공급망 보안, 감사 대응이라는 고유한 조건 아래에서 관리해야 한다. 이 가이드는 금융분야 오픈소스 소프트웨어 활용·관리 안내서(금융감독원·금융보안원, 2022)가 제시한 관리 절차를 국제표준 ISO/IEC 5230·18974의 입증자료, 그리고 기존 KWG 실무 가이드와 연결해, 담당자가 무엇을 어떤 순서로 갖춰야 하는지를 실행 가능한 형태로 안내한다.
Author : OpenChain Korea Work Group / CC BY 4.0
본 가이드의 성격과 범위
이 가이드는 금융분야 오픈소스 소프트웨어 활용·관리 안내서(이하 FSEC 안내서)를 대체하지 않는다. 안내서가 정한 절차를 실제로 운영하도록 돕는 보조 자료다. 안내서가 비규제 자율 안내이듯, 이 가이드의 권고도 법적 의무가 아니라 모범 실무다.
범위는 안내서와 같다. 오픈소스의 활용과 관리(라이선스 준수, 보안 관리)에 집중하고, 자체 소프트웨어의 외부 공개나 오픈소스 프로젝트 기여는 다루지 않는다. 금융권의 공개 소극성을 반영한 결정이다.
금융권이 놓인 규제 환경
금융권 오픈소스 관리는 일반 기업과 다른 규제 환경 위에서 이뤄진다.
오픈소스 관리의 준거는 FSEC 안내서다. 금융감독원과 금융보안원이 2022년에 공동 발간했고(2023년 2월 개정본 존재), 식별, 이슈 파악 및 해결, 사용 승인, 관리의 네 단계로 최소한의 보안관리 절차를 제시한다. 비규제 자율 안내이며, 자가점검 체크리스트(식별, 이슈 파악 및 해결, 승인, 관리, 기타의 5개 분류)와 주요 관리도구, 운영 사례를 부속 자료로 담았다.
규제 환경은 전환 중이다. 금융위원회의 금융분야 망분리 개선 로드맵(2024-08-13)에 이어 전자금융감독규정과 시행세칙 개정이 2025-02-05에 시행되면서, 물리적 망분리 중심 규제가 자율보안과 위험기반 접근으로 바뀌기 시작했고 연구·개발 목적 업무의 망분리 예외가 열렸다. 예외 적용 요건과 후속 완화, 대응 방법은 폐쇄망 운영과 망분리 전환에서 다룬다.
공급망 보안의 비중이 커지고 있다. 금융보안원은 금융권 소프트웨어 공급망 보안 플랫폼을 구축해 2025년 말 시범 운영을 거쳐 2026년부터 본격 운영한다. 금융권 취약점 통합관리, SBOM(Software Bill of Materials) 관리체계, 버그바운티 운영 효율화를 제공한다. 정부도 SW 공급망 보안 가이드라인 1.0(과학기술정보통신부· 국가정보원·디지털플랫폼정부위원회, 2024-05-13)을 발표하고, 2027년 공공부문 SBOM 제출 의무화를 목표로 단계적 제도화를 추진하고 있다. 해외에서는 미국과 유럽이 SBOM 제출 의무화를 진행 중이며, 유럽연합의 디지털 운영 복원력법(DORA, Digital Operational Resilience Act)은 2023년 발효돼 2025-01-17부터 적용되며 ICT 제3자 위험관리와 오픈소스 취약점·패치 관리를 요구한다. 유럽에서 영업하거나 진출하는 금융사에 직접 영향을 준다.
이 가이드를 읽는 방법
오픈소스 관리 체계의 성숙도에 따라 읽는 방식이 다르다. 각 섹션은 신설 조직이 먼저 할 일과 운영 조직의 고도화를 구분해 서술하므로, 자사 위치를 가늠한 뒤 해당 부분을 골라 읽으면 된다.
처음 체계를 세우는 조직은 폐쇄망 운영으로 환경을 정리한 뒤, 거버넌스에서 관리까지 순서대로 따라가며 각 단계가 안내하는 문서와 절차를 하나씩 만든다.
이미 운영 중인 조직은 자가점검으로 현재 상태를 평가하고, 부족한 단계로 돌아가 고도화한다.
성숙도 사다리
FINOS(Fintech Open Source Foundation, 핀테크 오픈소스 재단)의 오픈소스 성숙도 모델(Open Source Readiness)은 조직의 단계를 Usage, Compliance, Contribution, Hosting, Strategic Leverage로 구분한다. 이 가이드는 활용·관리 범위에 집중하므로 앞의 두 단계, 곧 오픈소스를 쓰는 Usage와 컴플라이언스를 갖춘 Compliance에 대응한다. 기여 이상 단계는 다루지 않는다.
| 단계 | 상태 | 이 가이드에서 할 일 | FINOS 대응 |
|---|---|---|---|
| 신설 | 오픈소스를 쓰지만 관리 체계가 없다 | 폐쇄망 환경 정리, 거버넌스 수립, 식별 시작 | Usage |
| 운영 | 식별·승인·관리 절차가 돌아간다 | 취약점 대응 절차화, 사용 승인 체계화, 지속 모니터링 | Compliance |
| 고도 | 절차가 자동화되고 감사에 대응한다 | 공급망 플랫폼 연계, 감사 증적 체계, 정기 재평가 | Compliance(심화) |
FSEC 안내서, ISO 표준, KWG 가이드 대조표
FSEC 안내서의 절차가 ISO/IEC 5230·18974의 어떤 입증자료에 대응하고, 기존 KWG 가이드의 어느 페이지에서 구체적 방법을 찾을 수 있으며, 이 가이드의 어느 섹션이 다루는지를 한 표로 잇는다. 자가 인증 준비의 출발 자료다.
| FSEC 절차 | 본 가이드 섹션 | ISO/IEC 5230 입증자료 | ISO/IEC 18974 입증자료 | 기존 KWG 가이드 |
|---|---|---|---|---|
| (거버넌스) | 1. 거버넌스 | 3.1.1.1 정책, 3.1.2.1 역할·책임, 3.2.2.1 담당자 | 4.1.2.3 참여자·역할 매핑 | 조직 |
| 식별 | 2. 식별 | 3.1.4.1 적용 범위, 3.3.1.1 SBOM 관리, 3.3.1.2 컴포넌트 기록 | — | SBOM·도구, §3.3.1 |
| 이슈 파악 및 해결 | 3. 이슈 파악·해결 | 3.3.2.1 라이선스 사용 사례 처리 | 4.3.2.1 취약점 탐지·해결 절차, 4.3.2.2 취약점·조치 기록 | iso18974 가이드 |
| 사용 승인 | 4. 사용 승인 | 3.1.5.1 라이선스 의무 검토 절차 | — | 프로세스 |
| 관리 | 5. 관리 | 3.4.1.1 산출물 생성, 3.4.1.2 산출물 보관 | 4.1.2.5 주기적 검토·변경 증거 | iso18974 가이드 |
| (전 단계 점검) | 6. 자가점검 | 3.6.1.1 요구사항 충족 확인 | — | 준수선언 |
ISO/IEC 5230은 13개 조항 25개 입증자료로, ISO/IEC 18974는 보안 보증 관점의 25개 입증자료(이 중 18974 전용 9개)로 구성된다. 입증자료의 조항별 상세는 ISO/IEC 5230 준수 가이드와 ISO/IEC 18974 준수 가이드에서 확인한다.
가이드 구성
섹션 2~5가 FSEC 안내서의 네 단계(식별, 이슈 파악 및 해결, 사용 승인, 관리)에 대응하고, 그 앞뒤에 금융권 공통 전제인 폐쇄망 운영(0)과 거버넌스(1), 전 단계를 점검하는 자가점검(6)을 두었다.
flowchart LR
P0["0. 폐쇄망 운영<br>(공통 전제)"] --> P1["1. 거버넌스<br>(관리 조직)"]
P1 --> P2["2. 식별"]
P2 --> P3["3. 이슈<br>파악·해결"]
P3 --> P4["4. 사용 승인"]
P4 --> P5["5. 관리<br>(지속 모니터링)"]
P5 --> P6["6. 자가점검"]
P6 -. "부족한 단계로 돌아가 보완" .-> P2
style P0 fill:#2d3748,color:#fff
style P1 fill:#2d3748,color:#fff
style P2 fill:#2b6cb0,color:#fff
style P3 fill:#2b6cb0,color:#fff
style P4 fill:#2b6cb0,color:#fff
style P5 fill:#2b6cb0,color:#fff
style P6 fill:#276749,color:#fff| 섹션 | 다루는 내용 |
|---|---|
| 0. 폐쇄망 운영 | 반입 통제, 사내 미러, 오프라인 취약점 관리, 망분리 예외 자체 위험평가 |
| 1. 거버넌스 | 관리 조직·역할, 오픈소스 검토 위원회(OSRB, Open Source Review Board), 승인 거버넌스 |
| 2. 식별 | 인입 오픈소스·레거시 식별, SBOM, 제3자·외주 식별, 공급망 플랫폼 연계 |
| 3. 이슈 파악·해결 | 취약점 평가·대응, 라이선스 이슈 해결, 패치 지연 관리 |
| 4. 사용 승인 | 승인 워크플로, 망분리 예외 위험평가, 계약(제안요청서) 관리 |
| 5. 관리 | 사내 운영 시스템 지속 모니터링, 정기 재평가, 감사 증적 |
| 6. 자가점검 | 자가점검 워크북(점검 항목·입증자료·도구 연결) |
자가점검으로 시작하기
자사가 어느 단계에 있는지 모르겠다면 자가점검부터 본다. FSEC 안내서 다섯 분류의 취지를 참고해 이 가이드의 표현으로 새로 쓴 점검 항목을 ISO 입증자료, 권장 도구와 연결해, 빠진 부분을 찾고 그 부분을 다루는 섹션으로 이동할 수 있다.
표기 규칙
각 페이지는 출처를 다음 표기로 구분한다.
- [ISO 요구] — ISO/IEC 5230·18974 표준이 입증자료로 명시적으로 요구하는 사항.
- [FSEC 안내서] — FSEC 안내서가 절차로 제시한 사항. 안내서는 비규제 자율 안내다.
- [본 가이드 권고] — 표준·안내서에 없으나 실무·금융 규제 환경을 근거로 권장하는 사항. 채택은 조직 재량이다.
다른 KWG 가이드와의 관계
이 가이드는 기존 가이드 위에서 작동한다. 조직, 정책, 프로세스, 도구, 교육의 일반 실무는 기업 오픈소스 관리 가이드에서, 표준 입증자료의 조항별 상세는 ISO/IEC 5230 준수 가이드와 ISO/IEC 18974 준수 가이드에서 다룬다. 이 가이드는 그 위에 금융권의 폐쇄망, 망분리, 공급망, 감사 맥락을 더한다.
출처
- 금융분야 오픈소스 소프트웨어 활용·관리 안내서(금융감독원·금융보안원, 2022). 금융보안원 게시
- 금융분야 망분리 개선 로드맵(금융위원회, 2024-08-13). 금융위원회 보도자료
- 전자금융감독규정·시행세칙 개정(금융위원회, 2025-02-05 시행).
- 금융권 소프트웨어 공급망 보안 플랫폼(금융보안원, 2026 본격 운영). 데일리시큐 보도
- SW 공급망 보안 가이드라인 1.0(과학기술정보통신부·국가정보원·디지털플랫폼정부위원회, 2024-05-13). 정책브리핑
- 공공부문 SBOM 제출 의무화 추진(2027 목표·계획). 데이터넷 보도
- EU DORA(디지털 운영 복원력법, 2025-01-17 적용). EIOPA 안내
- FINOS Open Source Readiness
- ISO/IEC 5230, ISO/IEC 18974
최종 검토일: 2026-06-10. 이 가이드는 규제 변화 시, 그리고 연 1회 정기적으로 재검토한다.
거버넌스: 관리 조직과 승인 체계
금융권 오픈소스 관리 조직(OSPO)과 검토 위원회(OSRB)를 어떻게 구성하고 역할을 나누며, 법무·보안·기술이 함께 참여하는 승인 거버넌스를 어떻게 세우는지 다룬다.
식별: 쓰고 있는 오픈소스를 빠짐없이 찾기
신규로 들어오는 오픈소스와 이미 운영 중인 레거시, 외주 산출물까지 빠짐없이 식별하고 SBOM으로 기록하는 방법, 그리고 금융권 공급망 보안 플랫폼과의 연계를 다룬다.
이슈 파악과 해결: 취약점과 라이선스
식별한 오픈소스의 취약점을 탐지·평가·조치하고 그 기록을 남기는 절차, 라이선스 이슈를 해결하는 방법, 폐쇄망의 패치 지연을 관리하는 방법을 다룬다.
사용 승인: 무엇을 어떤 근거로 허용하는가
오픈소스 사용을 승인하는 워크플로, 망분리 예외 시 자체 위험평가, 외주 계약과 제안요청서에 넣을 오픈소스 요구사항을 다룬다.
관리: 사내 운영 시스템의 지속 점검과 감사 대응
외부로 배포하지 않는 사내 운영 시스템의 오픈소스를 지속적으로 점검·모니터링하고, 정기 재평가와 감사 증적 관리로 운영 단계의 위험을 관리하는 방법을 다룬다.
자가점검: 우리 체계의 빈 곳 찾기
FSEC 안내서 다섯 분류의 취지를 참고해 이 가이드의 표현으로 새로 쓴 점검 항목을 ISO 입증자료, 권장 도구, 가이드 섹션과 연결해, 자사 오픈소스 관리 체계의 빠진 곳을 찾을 수 있게 한다.
산출물: 바로 쓰는 양식과 레시피
가이드 본문과 함께 제공하는 네 가지 실무 산출물을 모은다. 자가점검 워크북, 정책·절차 템플릿, 감사 증적 목록, 도구 구축 레시피다.