금보원, 금융권 SW 공급망 보안 플랫폼 구축…SBOM·취약점 관리 결합

Published: 3 days ago (February 9, 2026 at 03:32 AM EST)

8 min read

Source: Byline Network

개요

금융보안원은 오픈소스와 외부 상용 소프트웨어 의존도가 커짐에 따라 금융권에서도 패치 갭(취약점 공개 → 보안패치 적용까지의 시간 차)이 사고 위험을 키우는 변수로 부각된다는 점에 주목했습니다.

이를 해결하고자 2월부터 금융권 소프트웨어 공급망 보안 플랫폼을 본격 가동합니다. 플랫폼은 취약점 정보를 단순 공지에 그치지 않고, 발견 → 조치 → 확인까지의 전체 흐름을 티켓 기반으로 관리하도록 설계되었습니다.

“취약점이 나오면 금융사와 개발사가 메일·전화로 산발적으로 확인하던 과정을, 발견부터 조치 확인까지 한 줄로 연결했다” – 신지미 금융보안원 SW공급망보안팀 팀장

금융보안원 플랫폼 이미지
자료=금융보안원 제공

플랫폼 운영 절차와 티켓 기반 관리

플랫폼의 핵심은 화면이 아니라 절차에 있습니다. 취약점이 확인되면 다음 단계가 순차적으로 진행됩니다.

접수·분류
영향 분석
개발사 패치 개발·배포
금융사 적용
조치 확인·이력화

금융권은 수백 개의 금융사가 서로 다른 제품·버전을 사용하고, 하나의 금융사가 여러 개발사와 연결되는 복잡한 N대N 구조를 가지고 있습니다. 티켓으로 모든 흐름을 묶어 추적함으로써 전파 속도와 확인 정확도를 높일 수 있습니다.

플랫폼의 세 축: 취약점 통합관리·SBOM·버그바운티

1. 취약점 통합관리

취약점 정보를 한 곳에 모아 공유하고, 티켓을 통해 사용 여부와 조치 상태를 기록합니다. 동일 제품에서 유사 취약점이 발생하면 이력을 활용해 빠르게 대응할 수 있습니다.

2. SBOM(Software Bill of Materials)

SBOM 도구를 적용해 소프트웨어 구성 부품(라이브러리·모듈)과 의존 관계를 파악합니다. 금융보안원은 SBOM을 소프트웨어의 DNA라 부으며, 취약점 공개 시 영향을 받는 시스템을 신속히 식별합니다.

3. 버그바운티

버그바운티를 통해 제보된 취약점을 검증·조정하고, 개발사와 패치 일정을 조율한 뒤 금융권에 전파합니다. 이를 통해 제로데이 취약점을 조기에 확보하고 보안 사각지대를 최소화합니다.

SBOM 지원 및 국제 표준

플랫폼은 대표적인 SBOM 국제 표준인 SPDX와 CycloneDX 형식을 지원합니다. 공공 영역에서는 국정원이 제시한 NIS‑SBOM을 기반으로 자동 분석 시스템을 개발 중이며, 향후 플랫폼에 반영을 검토하고 있습니다.

버그바운티와 제로데이 대응

버그바운티는 취약점 발견을 조치로 연결하는 경로로 설계되었습니다. 제보가 들어오면 검증 후 개발사와 패치 일정을 조율하고, 금융권에 일괄 전파함으로써 제로데이 위험을 크게 낮춥니다.

중요 취약점 중심 운영 및 금융사 참여

플랫폼은 전체 자산을 한 번에 관리하는 것이 아니라, 중요 취약점·중요 자산을 중심으로 등록하고 알림 서비스를 운영합니다.

운영에 필요한 핵심 참여 요소:

금융사: 사용 제품·조치 상태 입력
개발사: 패치 진행 상황 업데이트

입력이 부족하면 이력 추적이 약화되므로, 실무협의체를 통한 의견 수렴과 기능 고도화를 단계적으로 진행할 예정입니다.

취약점 식별 체계와 GCVE

전통적인 CVE(Common Vulnerabilities and Exposures) 체계 외에도, 유럽 중심으로 GCVE(Global CVE)라는 탈중앙식 식별 체계가 등장했습니다. GCVE는 중앙 승인 없이 번호를 부여하는 구조를 갖추고 있어, 금융권 플랫폼이 다양한 식별 체계를 연동하려면 운영 기준을 정교하게 정의해야 합니다. 금융보안원은 이러한 흐름을 지속적으로 주시하고 있습니다.

도구 권장 및 표준 지원

플랫폼은 특정 업체 기반 분석 도구에 종속되지 않으며, SPDX, CycloneDX 등 국제 표준 형식을 지원합니다.

소스코드·바이너리·메타데이터 제출은 선택 사항이며, 분석 정확도를 높이기 위한 옵션으로 제공됩니다.
티켓 기반 추적을 통해 중복 운영 부담을 최소화하고, 조치 상태를 일괄 전파하는 구조를 강조합니다.

SBOM 제출 의무화 논의가 본격화될 경우 현장의 혼선을 방지하기 위해, 현재는 지원 플랫폼 형태로 운영하면서 향후 제도 요구에 대비한 기반을 마련하고 있습니다.

향후 과제 및 기대 효과

금융보안원은 이번 플랫폼을 통해 금융사가 SW 취약점 현황과 영향 범위를 빠르게 파악하고, 대응 우선순위를 합리적으로 설정하도록 지원할 계획입니다.

글. 바이라인네트워크
god8889@byline.network