감사 증적 목록

내외부감사와 금융감독원 정보기술 검사에서 요구되는 오픈소스 관리 증적을 체크리스트로 정리하고, 각 증적이 어느 활동에서 생성되고 어디에 보관되는지 명세한다.
Tags:
Categories:

금융권은 내외부감사와 금융감독원의 정보기술(IT) 검사에 대비해 오픈소스 관리 활동의 증적을 보관해야 한다. 관리 단계의 점검 기록이 그대로 증적이 되므로, 따로 만들지 말고 평소 활동에서 나오는 기록을 체계적으로 모은다. 자세한 맥락은 관리를 참고한다.

증적 체크리스트

아래 증적은 ISO/IEC 5230·18974의 입증자료와 겹친다. ISO 자가 인증을 준비하며 만든 문서가 그대로 감사 증적이 된다. 보관 위치와 기간은 조직 규정에 맞게 정한다.

증적생성 활동관련 ISO 입증자료보관 위치(예시)비고
오픈소스 정책 문서와 개정 이력거버넌스5230 3.1.1.1문서 관리 시스템버전 이력 포함
역할·책임 문서, 담당자 지정 기록거버넌스5230 3.1.2.1, 3.2.2.1문서 관리 시스템
SBOM과 갱신 이력식별5230 3.3.1.1, 3.3.1.2SBOM 관리 도구시스템별
취약점 점검 결과이슈 파악·해결18974 4.3.2.1, 4.3.2.2취약점 관리 도구날짜별
취약점 조치 기록(조치 불필요 판단 포함)이슈 파악·해결18974 4.3.2.2취약점 관리 도구VEX 포함
라이선스 검토 기록이슈 파악·해결5230 3.3.2.1문서 관리 시스템
사용 승인 신청·검토·결정 기록사용 승인5230 3.1.5.1승인 관리 도구위원회 결정 근거
망분리 예외 자체 위험평가서사용 승인(전자금융감독규정)문서 관리 시스템정보보호위원회(CISO) 승인 이력, 재평가 이력
반입 승인 기록폐쇄망 운영문서 관리 시스템검증 결과 포함
정기 재평가 결과관리18974 4.1.2.5문서 관리 시스템주기별
컴플라이언스 산출물(고지문 등)관리5230 3.4.1.1, 3.4.1.2배포 산출물 저장소배포 소프트웨어
외주 계약의 오픈소스 요구 조항과 제출 SBOM사용 승인(전자금융감독규정 제21조 내부통제)계약 관리 시스템전자금융보조업자

보관·관리 원칙

증적은 만드는 것만큼 지키는 것이 중요하다.

  • 보관 기간을 정한다. 감사 주기와 규정 요구를 고려해 정하고, 전자금융거래 기록 보존 기간 등 규정상 보존 기간과 어긋나지 않는지 확인한 뒤, 산출물 보관 절차(ISO/IEC 5230 3.4.1.2)에 명시한다.
  • 위변조를 막는다. 기록을 나중에 고칠 수 없는 방식(추가만 가능한 로그, 접근 통제)으로 남긴다.
  • 추적할 수 있게 한다. 누가 언제 무엇을 했는지 알 수 있도록 기록에 행위자와 시각을 남긴다.
  • 검사 대응을 미리 점검한다. 정기 재평가 때 증적이 빠짐없이 보관되는지 함께 확인한다.

최종 검토일: 2026-06-10. 이 페이지는 규제 변화 시, 그리고 연 1회 정기적으로 재검토한다.

최종 수정 2026년 6월 10일: guide(finance): 가독성 1단계 — 절차 도식 4건(개요·반입·취약점·승인)과 현장 화면 4건 추가 (c4e548134)