자가점검: 우리 체계의 빈 곳 찾기
Categories:
앞의 여섯 단계를 점검표로 모은 자리다. 항목을 하나씩 짚어 자사 체계의 빈 곳을 찾고, 부족한 부분을 다루는 섹션으로 이동한다. 분류는 FSEC 안내서의 자가점검 체크리스트(별첨1)를 참고했다.
여기서 만드는 문서: 자가점검 워크북(점검 결과와 개선 계획).
자가점검을 쓰는 방법
이 점검표는 통과·불합격을 가리는 시험이 아니다. 자사가 어디까지 갖췄는지 가늠하고 다음에 무엇을 할지 찾는 도구다. FSEC 안내서가 비규제 자율 점검이듯, 이 점검표도 모범 실무 기준이다. [FSEC 안내서]
각 항목은 관련 ISO 입증자료, 권장 도구, 자세히 다루는 가이드 섹션과 연결돼 있다. 충족하지 못한 항목이 있으면 연결된 섹션으로 가서 방법을 확인한다. 권장 도구는 예시이며 도구 이름의 첫 등장에 사용법 페이지를 링크했다. FSEC 안내서가 쓰는 다섯 분류, 곧 식별, 이슈 파악 및 해결, 승인, 관리, 기타의 순서를 따른다.
처음 체계를 세우는 조직은 전 항목을 한 번에 점검하려 하지 말고, 기반에 해당하는 기타 분류와 출발점인 식별 분류부터 점검해 무엇부터 갖출지 정한다.
이미 운영 중인 조직은 전 항목을 점검한 뒤, 미충족 항목을 자가점검 워크북의 개선 계획(담당자, 목표 기한)으로 옮겨 관리한다.
아래 점검 항목은 FSEC 안내서의 체크리스트 문항을 옮긴 것이 아니라, 다섯 분류의 취지를 참고해 이 가이드의 표현으로 새로 작성한 것이다. 안내서 원문을 함께 확인하려면 금융보안원 게시 자료를 참고한다.
식별
| 점검 항목 | 관련 ISO 입증자료 | 권장 도구 | 가이드 섹션 |
|---|---|---|---|
| 오픈소스 관리의 적용 범위가 문서로 정의돼 있다 | 5230 3.1.4.1 | — | 식별 |
| 새로 도입하는 오픈소스와 그 의존성을 빠짐없이 파악한다 | 5230 3.3.1.1 | Syft, cdxgen | 식별 |
| 전이 의존성까지 펼쳐 식별한다 | 5230 3.3.1.1 | Syft, OSV-SCALIBR | 식별 |
| 이미 운영 중인 시스템의 레거시 오픈소스를 식별한다 | 5230 3.3.1.1 | Trivy, Dependency-Track | 식별 |
| 식별 결과를 표준 형식 SBOM으로 기록한다 | 5230 3.3.1.2 | cdxgen, Syft | 식별 |
| 외주·전자금융보조업자 산출물의 오픈소스를 식별한다 | 5230 3.3.1.1 준용 | (SBOM 제출 요구) | 식별 |
이슈 파악 및 해결
| 점검 항목 | 관련 ISO 입증자료 | 권장 도구 | 가이드 섹션 |
|---|---|---|---|
| SBOM의 각 컴포넌트에 알려진 취약점이 있는지 점검한다 | 18974 4.3.2.1 | Dependency-Track, Grype, Trivy | 이슈 파악·해결 |
| 취약점에 위험 점수를 매기고 심각도별 대응 기한을 정한다 | 18974 4.3.2.1 | Dependency-Track, Grype | 이슈 파악·해결 |
| 취약점 조치 결과를 기록한다(조치 불필요 판단 포함) | 18974 4.3.2.2 | Dependency-Track(VEX), 상용 SCA | 이슈 파악·해결 |
| 라이선스 의무를 확인하고 충돌을 해결한다 | 5230 3.3.2.1 | FOSSology, SCANOSS | 이슈 파악·해결 |
| 외부 배포 시 GPL 계열 소스 공개 정책을 갖춘다 | 5230 3.3.2.1 | — | 이슈 파악·해결 |
승인
| 점검 항목 | 관련 ISO 입증자료 | 권장 도구 | 가이드 섹션 |
|---|---|---|---|
| 오픈소스 사용 승인 절차와 검토 주체가 정해져 있다 | 5230 3.1.5.1 | SW360, Dependency-Track(정책) | 사용 승인 |
| 승인 결정과 그 근거를 기록한다 | 5230 3.1.5.1 | SW360, Dependency-Track | 사용 승인 |
| 망분리 예외 시 자체 위험평가서로 승인 근거를 남긴다 | (전자금융감독규정) | — | 사용 승인 |
| 외주 계약에 SBOM·라이선스·취약점·권리 귀속 요구를 넣는다 | (권리 귀속은 전자금융감독규정 제21조, 그 외는 본 가이드 권고) | — | 사용 승인 |
관리
| 점검 항목 | 관련 ISO 입증자료 | 권장 도구 | 가이드 섹션 |
|---|---|---|---|
| 운영 시스템의 SBOM을 등록해 지속적으로 취약점을 감시한다 | 18974 4.3.2 | Dependency-Track, CI 의존성 스캐닝, 상용 SCA | 관리 |
| 신규 취약점 공개 시 영향받는 시스템을 역추적한다 | 18974 4.3.2 | Dependency-Track, 상용 SCA | 관리 |
| 정기 재평가 주기가 정해져 있다 | 18974 4.1.2.5 | — | 관리 |
| 점검 기록을 감사 증적으로 보관한다 | 5230 3.4.1.2 | — | 관리 |
기타
기타 분류는 앞의 네 단계를 떠받치는 기반이다. FSEC 안내서도 선택 기준, 예외 승인, 역할 문서, 인력, 예산, 정책 인식, 법률 자문을 별도 분류로 둔다.
| 점검 항목 | 관련 ISO 입증자료 | 권장 도구 | 가이드 섹션 |
|---|---|---|---|
| 오픈소스 선택 기준과 예외 승인 절차가 있다 | 5230 3.1.1.1 | — | 거버넌스 |
| 역할과 책임이 문서화돼 있다 | 5230 3.1.2.1, 18974 4.1.2.3 | — | 거버넌스 |
| 담당 인력과 예산이 확보돼 있다 | 5230 3.2.2.2 | — | 거버넌스 |
| 정책이 구성원에게 전파된다 | 5230 3.1.1.2 | — | 거버넌스 |
| 법률 자문에 접근하는 경로가 있다 | 5230 3.2.2.3 | — | 거버넌스 |
자가점검 워크북
위 점검 항목을 점검 결과 기록, ISO 입증자료, 담당자, 목표 기한과 함께 한 시트로 묶은 자가점검 워크북을 산출물로 제공한다. 항목별 권장 도구는 이 페이지의 표에서 확인한다.
ISO 입증자료와의 교차 참조
이 점검표의 항목은 ISO/IEC 5230과 18974의 입증자료에 연결된다. 점검 항목을 충족하면서 근거 문서를 남기면, 그 문서가 그대로 ISO 자가 인증의 입증자료가 된다. 전 항목 점검을 마친 뒤 모든 요구사항의 충족을 확인하는 문서를 작성하면, 그 문서는 ISO/IEC 5230의 요구사항 충족 확인(3.6.1.1) 입증자료가 된다. 입증자료의 조항별 상세는 ISO/IEC 5230 준수 가이드와 ISO/IEC 18974 준수 가이드에서, 전체 매핑은 가이드 개요의 대조표에서 확인한다.
최종 검토일: 2026-06-10. 이 페이지는 규제 변화 시, 그리고 연 1회 정기적으로 재검토한다.