KR20220091249A - 금융 컴플라이언스에 기반한 평가 기준 관리 장치 및 그 방법 - Google Patents

금융 컴플라이언스에 기반한 평가 기준 관리 장치 및 그 방법 Download PDF

Info

Publication number
KR20220091249A
KR20220091249A KR1020200182567A KR20200182567A KR20220091249A KR 20220091249 A KR20220091249 A KR 20220091249A KR 1020200182567 A KR1020200182567 A KR 1020200182567A KR 20200182567 A KR20200182567 A KR 20200182567A KR 20220091249 A KR20220091249 A KR 20220091249A
Authority
KR
South Korea
Prior art keywords
financial
compliance
evaluation
evaluation criteria
regulations
Prior art date
Application number
KR1020200182567A
Other languages
English (en)
Other versions
KR102439818B1 (ko
Inventor
이수미
김민성
천민정
Original Assignee
사단법인 금융보안원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 사단법인 금융보안원 filed Critical 사단법인 금융보안원
Priority to KR1020200182567A priority Critical patent/KR102439818B1/ko
Publication of KR20220091249A publication Critical patent/KR20220091249A/ko
Application granted granted Critical
Publication of KR102439818B1 publication Critical patent/KR102439818B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0639Performance analysis of employees; Performance analysis of enterprise or organisation operations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Human Resources & Organizations (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Development Economics (AREA)
  • Computer Hardware Design (AREA)
  • Economics (AREA)
  • Accounting & Taxation (AREA)
  • General Business, Economics & Management (AREA)
  • Software Systems (AREA)
  • Educational Administration (AREA)
  • Finance (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Marketing (AREA)
  • Computing Systems (AREA)
  • Game Theory and Decision Science (AREA)
  • Operations Research (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • Technology Law (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

본 발명에 따른 금융 컴플라이언스에 기반한 평가 기준 관리 장치는, 금융 관련 기관의 전자금융기반시설에 대한 보안 취약점의 평가 기준 및 금융 IT 규제를 평가 기준 DB에 등록하는 등록 관리부와, 상기 평가 기준 DB 내의 평가 기준 테이블, 금융 IT 규제 테이블, 평가 항목 및 금융 IT 규제 상호 참조 테이블에 기반하여 각 평가 항목과 관련된 금융 IT 규제 및 변경사항을 검색할 수 있는 변경 항목 검색부와, 평가 기준, 금융 IT 규제에 대한 컴플라이언스의 변경이 요청되면, 해당 컴플라이언스에 대한 변경을 수행하고, 그 수행 결과를 상기 평가 기준 DB에 반영하는 컴플라이언스 변경부를 포함할 수 있다.

Description

금융 컴플라이언스에 기반한 평가 기준 관리 장치 및 그 방법{APPARATUS AND METHOD FOR MANAGING EVALUATION REFERENCE BASED ON FINANCE COMPLIANCE}
본 발명은 금융분야에서의 보안 취약점 관련의 금융 컴플라이언스의 평가 기준을 관리하는 기법에 관한 것으로, 더욱 상세하게는 전자금융 서비스에 특화된 전자금융기반시설의 보안 취약점에 대한 분석(점검)을 위해 필요한 금융 컴플라이언스의 관리를 시스템 및 알고리즘으로 구현할 수 있는 금융 컴플라이언스에 기반한 평가 기준 관리 장치 및 그 방법에 관한 것이다.
정보통신 기술의 발달과 그 보급이 확산됨에 따라, 정보 통신 시설을 이용하는 금융분야의 전자금융기반시설에 대한 보안 취약점을 점검 및 분석하고, 이러한 분석 결과를 토대로 내외부의 공격으로부터 전자금융기반시설의 점검 대상 자산(예컨대, 서버, 네트워크 장비 등)을 보호하는 것이 반드시 필요하다.
종래에는 결정된 시간 스케줄에 따라 자동으로 서버의 보안 취약점을 분석해 주는 방법이 있는데, 이와 관련된 선행특허문헌으로는 한국공개특허 제2009-0038683호(이하, 선행특허라 함)가 있다.
선행특허에서는 스케줄 및 실행 명령에 따라 미리 저장된 취약점 검색 데이터베이스를 호출하고, 호출된 검색 데이터베이스에 포함된 취약점 데이터에 상응하여 관리 웹서버의 취약점 존재 가능성을 검색하며, 검색 결과를 최적화하여 취약점 정보를 도출한 후 그 도출 결과를 바탕으로 관리 웹서버의 취약점을 점검하는 기술을 개시하고 있다.
이때, IT 시스템의 보안 취약점을 점검하기 위해서는 다양한 점검 항목에 대한 분석이 요망되고, 서버 취약점 점검 항목은 전자금융기반시설 및 주요정보통신기반시설의 기준을 포함하여 운영체제별로 상이한데, 예컨대 유닉스 계열 운영체제와 윈도우 계열 운영체제는 수백 개 이상의 점검 항목이 별도로 존재하기 때문에 점검을 하지 않아야 할 것을 점검하거나 혹은 그 결과에 대해 전문 인력이 다시 오탐을 재확인하는 경우에는 컴퓨팅 자원 및 인력 자원의 낭비가 초래되는 문제가 있다.
한국공개특허 제2009-0038683호(공개일 : 2009. 04. 21.)
본 발명은 전자금융 서비스에 특화된 전자금융기반시설의 보안 취약점에 대한 분석(점검)을 위해 필요한 금융 컴플라이언스의 관리를 시스템 및 알고리즘으로 구현할 수 있는 금융 컴플라이언스에 기반한 평가 기준 관리 장치 및 그 방법을 제공하고자 한다.
본 발명이 해결하고자 하는 과제는 상기에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 해결하고자 하는 과제는 아래의 기재들로부터 본 발명이 속하는 통상의 지식을 가진 자에 의해 명확하게 이해될 수 있을 것이다.
본 발명은, 일 관점에 따라, 금융 관련 기관의 전자금융기반시설에 대한 보안 취약점의 평가 기준 및 금융 IT 규제를 평가 기준 DB에 등록하는 등록 관리부와, 상기 평가 기준 DB 내의 평가 기준 테이블, 금융 IT 규제 테이블, 평가 항목 및 금융 IT 규제 상호 참조 테이블에 기반하여 각 평가 항목과 관련된 금융 IT 규제 및 변경사항을 검색할 수 있는 변경 항목 검색부와, 평가 기준, 금융 IT 규제에 대한 컴플라이언스의 변경이 요청되면, 해당 컴플라이언스에 대한 변경을 수행하고, 그 수행 결과를 상기 평가 기준 DB에 등록하는 컴플라이언스 변경부를 포함하는 금융 컴플라이언스에 기반한 평가 기준 관리 장치를 제공할 수 있다.
본 발명의 상기 보안 취약점의 평가 기준은, 정보보호 관리체계, 서버, 데이터베이스, 네트워크 인프라, 네트워크 장비, 정보보호시스템 장비, 웹/모바일/HTS 애플리케이션 중 적어도 하나 이상을 포함할 수 있다.
본 발명의 상기 금융 IT 규제는, 전자금융 거래법, 전자금융거래법 시행령, 전자금융감독규정, 전자금융감독규정시행세칙 중 적어도 하나 이상을 포함할 수 있다.
본 발명의 상기 해당 컴플라이언스의 변경은, 상기 해당 컴플라이언스에 대한 추가, 삭제, 수정 중 적어도 하나 이상을 포함할 수 있다.
본 발명은, 다른 관점에 따라, 금융 관련 기관의 전자금융기반시설에 대한 보안 취약점의 평가 기준 및 금융 IT 규제를 평가 기준 DB에 등록하는 단계와, 상기 평가 기준 DB 내의 평가 기준 테이블, 금융 IT 규제 테이블, 평가 항목 및 금융 IT 규제 상호 참조 테이블에 기반하여 각 평가 항목과 관련된 금융 IT 규제 및 변경사항을 검색하는 단계와, 평가 기준, 금융 IT 규제에 대한 특정 컴플라이언스의 변경이 요청되는지의 여부를 체크하는 단계과, 상기 특정 컴플라이언스의 변경이 요청되면, 상기 특정 컴플라이언스에 대한 변경을 수행하는 단계와, 상기 변경의 수행 결과를 상기 평가 기준 DB에 반영하는 단계를 포함하는 금융 컴플라이언스에 기반한 평가 기준 관리 방법을 제공할 수 있다.
본 발명의 실시예에 따르면, 전자금융 서비스에 특화된 전자금융기반시설의 보안 취약점에 대한 분석(점검)을 위해 필요한 금융 컴플라이언스의 관리를 시스템 및 알고리즘으로 구현함으로써, 금융 IT 환경(금융 IT 규제 및 기술)의 변화에 신속하고 효율적으로 대응할 수 있는 컴플라이언스 관리 기능을 제공할 수 있다.
도 1은 본 발명의 실시예에 따른 금융 컴플라이언스에 기반한 평가 기준 관리 장치의 블록 구성도이다.
도 2는 본 발명의 실시예에 따라 금융 컴플라이언스를 기반으로 평가 기준을 관리하는 주요 과정을 도시한 순서도이다.
도 3은 평가 표준 양식에 대한 사용자 인터페이스(UI)의 예시도이다.
도 4a 및 도 4b는 금융 컴플라이언스 구성(상호 참조)의 예시도이다.
도 5는 금융 컴플라이언스에 대한 사용자 정의 기능에 대한 예시도이다.
먼저, 본 발명의 장점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어지는 실시예들을 참조하면 명확해질 것이다. 여기에서, 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 발명의 범주를 명확하게 이해할 수 있도록 하기 위해 예시적으로 제공되는 것이므로, 본 발명의 기술적 범위는 청구항들에 의해 정의되어야 할 것이다.
아울러, 아래의 본 발명을 설명함에 있어서 공지 기능 또는 구성 등에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들인 것으로, 이는 사용자, 운용자 등의 의도 또는 관례 등에 따라 달라질 수 있음은 물론이다. 그러므로, 그 정의는 본 발명의 설명 전반에 걸쳐 기술되는 기술사상을 토대로 이루어져야 할 것이다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대하여 상세하게 설명한다.
알려진 바와 같이, 비금융권 회사의 정보통신 기반시설은, 예컨대 주요정보통신기반시설 취약점 평가기준, ISO-27001(ISMS), PIMS 등의 기준 및 인증으로 보안 취약점을 평가 및 관리할 수 있다.
또한, 금융권(예컨대, 금융회사)은 전자금융(예컨대, 인터넷 뱅킹 등) 관련 서비스를 제공하기 위해 준수해야 하는 금융 IT 규제(예컨대, 전자금융거래법, 전자금융거래법 시행령, 전자금융감독규정, 전자금융감독규정시행세칙 등)를 등록, 수정 등 관리할 수 있는데, 본 발명은 대한민국의 금융분야에 특화된 IT 보안 컴플라이언스를 관리하는 시스템 및 알고리즘에 관련된다.
도 1은 본 발명의 실시예에 따른 금융 컴플라이언스에 기반한 평가 기준 관리 장치의 블록 구성도로서, 크게 구분해 볼 때, 금융 컴플라이언스 관리 모듈(110) 및 평가 기준 DB(120) 등을 포함할 수 있다.
금융 컴플라이언스 관리 모듈(110)은 등록 관리부(112), 변경 항목 검색부(114) 및 컴플라이언스 변경부(116) 등을 포함할 수 있다.
평가 기준 DB(120)에는 평가 기준 테이블(122), 금융 IT 규제 테이블(124), 평가 항목 및 금융 IT 규제 상호 참조 테이블(126) 등이 구축되어 있다.
도 1을 참조하면, 금융 컴플라이언스 관리 모듈(110) 내의 등록 관리부(112)는, 예컨대 엑셀(MS-EXCEL) 등과 같은 표준 양식을 이용하는 사용자 인터페이스에 따라, 일례로서 평가 항목 ID, 항목명 등을 포함하는 평가 기준(금융 관련 기관(예컨대, 금융보안원 등)의 전자금융기반시설에 대한 보안 취약점의 평가 기준)을 생성하여 평가 기준 DB(120) 내의 평가 기준 테이블(122)에 등록하는 등의 기능을 제공할 수 있다.
보안 취약점의 평가 기준은, 예컨대 정보보호 관리체계, 서버, 데이터베이스, 네트워크 인프라, 네트워크 장비, 정보보호시스템 장비, 웹/모바일/HTS 애플리케이션 중 적어도 하나 이상을 포함할 수 있으며, 수백 내지 수천 개의 평가 항목(예컨대, 720개의 평가 항목)으로 구성될 수 있다.
또한, 등록 관리부(112)는, 예컨대 엑셀 등과 같은 표준 양식을 이용하는 사용자 인터페이스에 따라, 일례로서 대한민국의 전자금융거래법, 전자금융거래법 시행령, 전자금융감독규정, 전자금융감독규정시행세칙 등을 포함하는 금융 IT 규제를 생성하여 평가 기준 DB(120) 내의 금융 IT 규제 테이블(124)에 등록하는 등의 기능을 제공할 수 있다.
일례로서 도 3에 도시된 바와 같이, 평가 기준(예컨대, 엑셀 등)의 표준 양식에 대한 사용자 인터페이스(UI)를 통해 평가 기준 DB(120) 내의 평가 기준 테이블(122) 및 금융 IT 규제 테이블(124)에 보안 취약점의 평가 기준 및 금융 IT 규제 등의 데이터를 등록 및 관리할 수 있다.
여기에서, 평가 기준 테이블(122)에 등록되는 평가 기준들은, 일례로서 아래의 표 1에 도시된 바와 같은 정보들을 포함할 수 있다.
평가 기준 테이블
평가 항목 ID
항목명		 FISM-063
전산자료 책임자 지정 여부
평가 항목 ID
항목명		 FISM-075
단말기 공유 금지 여부
평가 항목 ID
항목명		 FISM-138
암호 프로그램 담당자 지정 여부
금융 IT 규제 테이블(124)에 등록되는 금융 IT 규제들은, 일례로서 아래의 표 2에 도시된 바와 같은 정보들을 포함할 수 있다.
금융 IT 규제 테이블
규제명
조항
세부 내용		 전자금융거래법
21조
안정성의 확보 의무
규제명
조항
세부 내용		 전자금융거래법 시행령
제11조의 2
정보기술부분 계획수립의 대상 금융회사 등
변경 항목 검색부(114)는 평가 기준 및 금융 IT 규제 간 상호 참조할 수 있도록 사용자 인터페이스에 따라 구현될 수 있는 것으로, 평가 항목 및 금융 IT 규제 상호 참조 테이블(126)에 기반하여 각 평가 항목과 관련된 금융 IT 규제 검색 및 변경사항 검색(확인 검색) 등의 기능을 제공할 수 있다.
이를 위해, 평가 항목 및 금융 IT 규제 상호 참조 테이블(126)에는, 일례로서 아래의 표 3에 도시된 바와 같은 정보들이 포함될 수 있다.
평가 항목 및 금융 IT 규제 상호 참조 테이블
평가 항목 ID FISM-063 FISM-075 FISM-138
전자금융거래법 제21조 제21조 제21조
전자금융거래법 시행령 제11조의 2 제11조의 2 제11조의 2
즉, 본 발명에 따르면, 평가 기준의 각 평가 항목과 금융 IT 규제의 테이블은 서로 매핑되어 있어, 평가 기준의 특정 항목에 해당되는 금융 IT 규제를 조회하면 자동으로 검색이 가능할 수 있다.
또한, 상술한 검색 기능을 통해 금융 IT 규제 및 평가 기준 개정 시에 평가 항목별로 변경된 부분을 검색(확인)할 수도 있다.
도 4a 및 도 4b는 금융 컴플라이언스 구성(상호 참조)의 예시도이다.
일례로서 도시된 도 4a 및 도 4b를 참조하면, 평가 항목과 법령이 맵핑되어 있는 상황에서, 일례로서 전자금융거래법 제21조의 2가 변경된다면 관련된 항목(예컨대 FISM-010 등)이 자동으로 검색되기 때문에, 법령이 변경됨으로써 발생 가능한 변경사항(예컨대, 평가 항목의 상세 설명, 점검 방법, 판단 기준 등)을 용이하게 검색할 수 있다.
컴플라이언스 변경부(116)는, 사용자 인터페이스에 따라, 평가 기준, 금융 IT 규제에 대한 컴플라이언스의 변경이 요청되면, 해당 컴플라이언스에 대한 추가, 삭제, 수정을 수행하고, 그 수행 결과(변경 결과)를 평가 기준 DB(120)에 반영(변경 등록)하는 등의 기능을 제공할 수 있다.
도 5는 금융 컴플라이언스에 대한 사용자 정의 기능에 대한 예시도이다.
도 5를 참조하면, 예컨대 엑셀 등의 표준 양식을 통해 변경(예컨대, 법령의 추가, 수정, 삭제 등)된 부분만 수정하여 업로드할 수 있으며, 그 업로드 결과(변경 결과)는 평가 기준 DB(120)에 등록(반영)된다.
도 2는 본 발명의 실시예에 따라 금융 컴플라이언스를 기반으로 평가 기준을 관리하는 주요 과정을 도시한 순서도이다.
도 2를 참조하면, 등록 관리부(112)에서는, 예컨대 평가 항목 ID, 항목명 등을 포함하는 평가 기준(금융 관련 기관(예컨대, 금융보안원 등)의 전자금융기반시설에 대한 보안 취약점의 평가 기준)을 생성하여 평가 기준 DB(120) 내의 평가 기준 테이블(122)에 등록한다.
보안 취약점의 평가 기준은, 예컨대 정보보호 관리체계, 서버, 데이터베이스, 네트워크 인프라, 네트워크 장비, 정보보호시스템 장비, 웹/모바일/HTS 애플리케이션 중 적어도 하나 이상을 포함할 수 있다.
또한, 등록 관리부(112)에서는 예컨대 대한민국의 전자금융거래법, 전자금융거래법 시행령, 전자금융감독규정, 전자금융감독규정시행세칙 등을 포함하는 금융 IT 규제를 생성하여 평가 기준 DB(120) 내의 금융 IT 규제 테이블(124)에 등록한다(단계 202).
여기에서, 평가 기준 및 금융 IT 규제의 등록은, 예컨대 엑셀 등과 같은 표준 양식을 이용하는 사용자 인터페이스를 통해 각각 수행될 수 있다.
변경 항목 검색부(114)에서는 평가 항목 및 금융 IT 규제 상호 참조 테이블(126)에 기반하여 각 평가 항목과 관련된 금융 IT 규제 및 변경사항을 검색(확인 검색)한다(단계 204). 여기에서의 검색 결과는 관리 장치(관리 시스템)의 도시 생략된 모니터를 통해 시각적으로 표출될 수 있다.
본 발명은 평가 기준의 각 평가 항목과 금융 IT 규제의 테이블은 서로 매핑되어 있어, 평가 기준의 특정 항목에 해당되는 금융 IT 규제를 조회하면 자동으로 검색이 가능할 수 있으며, 또한 상술한 검색 기능을 통해 금융 IT 규제 및 평가 기준 개정 시에 평가 항목별로 변경된 부분을 검색(확인)할 수 있다.
컴플라이언스 변경부(116)에서는, 사용자 인터페이스에 따라, 평가 기준, 금융 IT 규제에 대한 컴플라이언스의 변경이 요청되면(단계 206), 해당 컴플라이언스에 대한 추가, 삭제, 수정을 수행한다(단계 208).
이후, 해당 컴플라이언스에 대한 변경 수행이 완료되면, 컴플라이언스 변경부(116)에서는 컴플라이언스의 변경 수행 결과를 평가 기준 DB(120)에 반영(변경 등록)한다(단계 210).
한편, 첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다.
이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리 등에 저장되는 것도 가능하므로, 그 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다.
그리고, 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 적어도 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이상의 설명은 본 발명의 기술사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경 등이 가능함을 쉽게 알 수 있을 것이다. 즉, 본 발명에 개시된 실시 예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것으로서, 이러한 실시 예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다.
따라서, 본 발명의 보호 범위는 후술되는 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
110 : 금융 컴플라이언스 관리 모듈
112 : 등록 관리부
114 : 변경 항목 검색부
116 : 컴플라이언스 변경부
120 : 평가 기준 db
122 : 평가 기준 테이블
124 : 금융 IT 규제 테이블
126 : 평가 항목 및 금융 IT 규제 상호 참조 테이블

Claims (4)

  1. 금융 관련 기관의 전자금융기반시설에 대한 보안 취약점의 평가 기준 및 금융 IT 규제를 평가 기준 DB에 등록하는 등록 관리부와,
    상기 평가 기준 DB 내의 평가 기준 테이블, 금융 IT 규제 테이블, 평가 항목 및 금융 IT 규제 상호 참조 테이블에 기반하여 각 평가 항목과 관련된 금융 IT 규제 및 변경사항을 검색할 수 있는 변경 항목 검색부와,
    평가 기준, 금융 IT 규제에 대한 컴플라이언스의 변경이 요청되면, 해당 컴플라이언스에 대한 변경을 수행하고, 그 수행 결과를 상기 평가 기준 DB에 반영하는 컴플라이언스 변경부를 포함하는
    금융 컴플라이언스에 기반한 평가 기준 관리 장치.
  2. 제 1 항에 있어서,
    상기 보안 취약점의 평가 기준은,
    정보보호 관리체계, 서버, 데이터베이스, 네트워크 인프라, 네트워크 장비, 정보보호시스템 장비, 웹/모바일/HTS 애플리케이션 중 적어도 하나 이상을 포함하는
    금융 컴플라이언스에 기반한 평가 기준 관리 장치.
  3. 제 1 항에 있어서,
    상기 금융 IT 규제는,
    전자금융거래법, 전자금융거래법 시행령, 전자금융감독규정, 전자금융감독규정시행세칙 중 적어도 하나 이상을 포함하는
    금융 컴플라이언스에 기반한 평가 기준 관리 장치.
  4. 제 1 항에 있어서,
    상기 해당 컴플라이언스의 변경은,
    상기 해당 컴플라이언스에 대한 추가, 삭제, 수정 중 적어도 하나 이상을 포함하는
    금융 컴플라이언스에 기반한 평가 기준 관리 장치.
KR1020200182567A 2020-12-23 2020-12-23 금융 컴플라이언스에 기반한 평가 기준 관리 장치 및 그 방법 KR102439818B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200182567A KR102439818B1 (ko) 2020-12-23 2020-12-23 금융 컴플라이언스에 기반한 평가 기준 관리 장치 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200182567A KR102439818B1 (ko) 2020-12-23 2020-12-23 금융 컴플라이언스에 기반한 평가 기준 관리 장치 및 그 방법

Publications (2)

Publication Number Publication Date
KR20220091249A true KR20220091249A (ko) 2022-06-30
KR102439818B1 KR102439818B1 (ko) 2022-09-02

Family

ID=82215466

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200182567A KR102439818B1 (ko) 2020-12-23 2020-12-23 금융 컴플라이언스에 기반한 평가 기준 관리 장치 및 그 방법

Country Status (1)

Country Link
KR (1) KR102439818B1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090038683A (ko) 2007-10-16 2009-04-21 한국전자통신연구원 자동 취약점 진단 웹 방화벽 및 이를 이용한 취약점 진단방법
KR101651586B1 (ko) * 2015-08-12 2016-08-26 김병익 시스템 개발단계와 시스템 운영단계에서 발견된 보안 취약점 관리시스템
JP2020527798A (ja) * 2017-07-19 2020-09-10 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation アプリケーションのパターンおよびリスク評価に基づくコンプライアンスを認識するランタイム生成

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090038683A (ko) 2007-10-16 2009-04-21 한국전자통신연구원 자동 취약점 진단 웹 방화벽 및 이를 이용한 취약점 진단방법
KR101651586B1 (ko) * 2015-08-12 2016-08-26 김병익 시스템 개발단계와 시스템 운영단계에서 발견된 보안 취약점 관리시스템
JP2020527798A (ja) * 2017-07-19 2020-09-10 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation アプリケーションのパターンおよびリスク評価に基づくコンプライアンスを認識するランタイム生成

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
김광배, ‘금융회사 전자 금융기반 시설 취약점 분석 평가 점검기준의 합리적 개선방안’, 고려대학교정보보호대학원 석사학위논문, 2017.12.08. *
윤일한 외 1인, ‘정보보안 컴플라이언스와 위기대응이 정보보안 신뢰에 미치는 영향에 관한 연구’, Information System Review, Vol.17,No.1, 2015.04. *

Also Published As

Publication number Publication date
KR102439818B1 (ko) 2022-09-02

Similar Documents

Publication Publication Date Title
US11526614B2 (en) Continuous vulnerability management system for blockchain smart contract based digital asset using sandbox and artificial intelligence
US10579803B1 (en) System and method for management of application vulnerabilities
US10637867B2 (en) System for dynamic role-based evaluation of access and permissions
US8819637B2 (en) Fixing security vulnerability in a source code
Musa Shuaibu et al. Systematic review of web application security development model
US11227068B2 (en) System and method for sensitive data retirement
US9213540B1 (en) Automated workflow management system for application and data retirement
US8392999B2 (en) Apparatus and methods for assessing and maintaining security of a computerized system under development
US20080066049A1 (en) Method for enforcing change policy based on project state
CN109657128A (zh) 数据查询方法、装置及存储介质
CN106156088A (zh) 一种索引数据处理方法、数据查询方法及装置
CN112016138A (zh) 一种车联网自动化安全建模的方法、装置和电子设备
Salnitri et al. Maintaining secure business processes in light of socio-technical systems' evolution
US20190220452A1 (en) Index suggestion engine for relational databases
CN115203263A (zh) 数据元件获取方法、***、设备及计算机可读存储介质
Schrettner et al. Impact analysis in the presence of dependence clusters using Static Execute After in WebKit
CN113836237A (zh) 对数据库的数据操作进行审计的方法及装置
KR102439818B1 (ko) 금융 컴플라이언스에 기반한 평가 기준 관리 장치 및 그 방법
CN112613075A (zh) 权限的确定方法及装置、存储介质及电子装置
CN116680699A (zh) 一种漏洞优先级排序***、方法、计算机设备及存储介质
TW201933165A (zh) 安全設計裝置、安全設計方法及安全設計程式產品
KR102221520B1 (ko) 블록체인 기반의 경찰 인력 통합인사관리 시스템
CN114238273A (zh) 数据库管理方法、装置、设备及存储介质
Brožová et al. Information security management: ANP based approach for risk analysis and decision making
de Barros Paes et al. RUP extension for the development of secure systems

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant