금융보안감사는 KISA 보안취약점정보포털(KNVD)을 중심으로
금융기관을 겨냥한 사이버 공격은 과거와 비교할 수 없을 만큼 지능화되고 있으며, 내부감사역에게 요구되는 전문성도 그에 따라 변화하고 있다. 과거에는 준법감시 위주의 감사가 중심이었다면, 이제는 정보보호 통제체계 전반을 아우르는 기술 기반의 감사 시각이 필수 요소가 되었다. 이러한 변화 속에서 감사역은 외부 위협 정보를 신속하게 파악하고, 해당 정보를 근거로 실효성 있는 감사 계획을 수립해야 한다. 특히, 국가기관이 제공하는 신뢰할 수 있는 보안 데이터베이스를 기반으로 한 정보활용은 감사 결과의 신뢰도를 좌우한다.
이 글에서는 한국인터넷진흥원(KISA)이 운영하는 사이버 보안 취약점 정보포털(KNVD)의 구조와 활용 방법을 중심으로, 금융기관 내부감사역(IT감사역, 보안감사역)에게 실질적인 도움이 되는 실무 사이트들을 체계적으로 소개한다.
금융기관 내부감사역들이 자주 활용하는 사이트 목록 및 활용 목적
| 사이트 | URL | 활용 목적 |
| 금융감독원 (FSS) |
https://www.fss.or.kr | - 검사 제재사례 열람 (제재공시) - 연간 검사운영계획 확인 - 내부통제 모범규준, 감사관련 보도자료 검색 |
| 금융위 | https://www.fsc.go.kr | - 금융법령 제·개정 고시 확인 - 감사 및 내부통제 관련 가이드라인 숙지 - 감독방향 및 제도 개편 사항 파악 |
| 국가법령정보센터 | https://www.law.go.kr | - 금융 관련 법률·시행령·시행규칙 전문 검색 - 감사보고서 작성 시 법령 근거 인용용 |
| 금융규제·법령해석포털 | https://better.fsc.go.kr | - 법령해석사례 및 비조치의견서 열람 - 불확실한 감사 쟁점에 대한 감독당국 해석 확인 |
| 금융정보분석원 (KoFIU) |
https://www.kofiu.go.kr/td> | - 자금세탁방지 관련 법령 및 가이드라인 확인 - AML감사시 교육자료 및 사례 분석 활용 |
| 금융투자협협회 법규정보시스템 |
https://law.kofia.or.kr | - 증권·운용사 관련 감사 시 협회 규정, 모범규준, 표준약관 확인 |
| 금융보안레그테크 | https://regtech.fsec.or.kr | - 정보보안·IT감사 계획 수립 시 취약점 이슈 확인 - 전산감사 체크리스트 구성에 활용 가능 |
| 개인정보포털 | https://www.privacy.go.kr | - 고객·직원 정보보호 감사 시 자율점검 항목 참고 - 개인정보 위반 사례, 처리지침 활용 |
| 보안취약점정보포털 | https://knvd.krcert.or.kr | - 시스템/소프트웨어 보안 취약점 정보 수집 - IT시스템 보안 감사 체크 항목 구성에 활용 |
| 금융투자교육원 | https://www.kifin.or.kr | - 감사 및 내부통제 교육 수강 (온라인·오프라인) - 신규 감사역 또는 기존 감사역 역량 강화 |
| 한금융연수원 | https://www.kbi.or.kr/ | - 금융권 실무자 대상 감사·리스크 교육 과정 수강 - 감사실 팀 교육 및 전문성 향상 목적 활용 |
KISA 취약점정보포털(KNVD)의 개요
사이버 보안 취약점 정보포털(KNVD) 은 한국인터넷진흥원(KISA)이 운영하는 보안 취약점 통합 정보 시스템이다.
국내외에서 발생하는 보안 위협 정보를 수집하고, CVE(Common Vulnerabilities and Exposures) 기준으로 분류해 제공하는 것이 특징이다.
운영체제, 서버, 네트워크 장비, 응용 소프트웨어 등 다양한 IT 시스템의 취약점 정보를 실시간으로 열람할 수 있어, IT감사 또는 보안감사 준비 단계에서 매우 유용하게 활용된다.
핵심 특징:
- 매일 업데이트되는 최신 보안 취약점 정보 제공
- CVSS 점수 기반 심각도 분류
- 취약점 공개일, 패치 여부 등 상세정보 열람 가능
- 제품별, 키워드별 검색 가능
금융기관 내부감사에서의 실무 활용 방안
IT감사 사전조사 도구로 활용
감사역이 감사계획을 수립하기 전, 기관 내 사용 중인 시스템에 대해 KNVD에서 최신 취약점을 조회할 수 있다.
예를 들어, Fortinet, Apache Tomcat, Oracle WebLogic과 같은 제품군의 최근 CVE 목록을 열람함으로써, 해당 시스템의 보안 리스크 수준을 사전에 파악할 수 있다.
☞ 활용포인트:
최근 SKT VPN 장비의 취약점을 통한 침투사고가 발생했다. 이 이슈를 접한 내부감사역은 자사에서도 유사 장비를 사용 중인지 여부를 파악하고, 취약점 제거 조치를 즉시 검토할 수 있었다.
(금융감독원에서는 전 금융권대상으로 CPC를 통해 SKT텔레콤에서 사용했던 VPN장비 사용여부와 만약, 사용중인 기관이라면 후속 조치여부도 조사하였다.)
보안패치 관리체계 점검
IT 및 보안 감사역는 정보보호팀의 패치 이력이 KNVD의 취약점 발표 시점과 일치하는지 확인해야 한다.
특히 CVSS 점수 9.0 이상의 고위험 취약점에 대해, 늦어진 패치 적용은 감사 지적사항으로 연결될 수 있다.
☞ 활용포인트:
CVE-2025-1234가 3월에 공개되었는데, 패치가 5월에 이뤄졌다면 그 사유와 영향도 반드시 확인이 필요하다.
보안 솔루션 도입 및 변경 시 검증
새로운 VPN 장비나 내부망 시스템 도입 시, 해당 제품이 과거에 몇 차례나 취약점이 보고되었는지를 사전에 조회함으로써 보안성이 낮은 제품을 피할 수 있다.
이 정보는 입찰 제안서 평가 또는 보안 검토 회의자료로도 활용 가능하다.
지속적인 모니터링 체계 구축
감사부서 차원에서 KISA 포털의 RSS 구독 또는 키워드 등록을 통해, 주요 시스템 관련 취약점 발생 여부를 정기적으로 모니터링함으로써 선제적 감사 기획 수립이 가능하다.
ex) “Exchange Server”, “Samsung SDS”, “Apache HTTPD” 등의 키워드를 활용한 검색.
감사 키워드 등록 및 정기 모니터링
감사역은 감사 이력을 문서화할 때, 취약점의 공개일, KNVD 등록일, 심각도 점수 등을 활용하여 감사 지적사항의 객관적 타당성을 입증할 수 있다.
이런 접근은 감독기관의 사후 점검에서도 감사 근거로 인정받을 수 있다.
마무리
금융기관 내부감사는 이제 과거의 단순 통제 확인 수준을 넘어서, 보안 리스크를 선제적으로 파악하고 통제 가능한 감사역의 시대를 요구하고 있다.
그 중심에는 신뢰할 수 있는 외부 정보의 전략적 활용이 있으며, 그 대표 도구가 바로 KNVD이다.
KISA가 제공하는 이 포털은 단순한 정보제공을 넘어, 감사계획 수립, 리스크 분석, 대응 검증까지 전 영역에서 활용 가능한 실무형 플랫폼이다.
내부감사역은 이 도구를 적극 활용함으로써, 기술 기반 감사능력을 한 단계 끌어올릴 수 있을 것이다.