2026 전자금융기반시설 평가기준 869개 —
15개 분야·73개 클라우드 신설 완전 해부

2026년 2월 13일, 금융보안원은 전자금융기반시설 취약점 분석·평가 기준을 15개 분야 869개 항목으로 확대 개정한다고 공식 발표했다^[1]. 전년도 14개 분야 789개 항목에서 +80개(+9.2%) 증가. 같은 시기 금융위원회는 전자금융감독규정 행위규범을 293개에서 166개로 감축하는 원칙 중심 전환을 병행했다^[2]. 규제 수가 줄면서 평가 기준이 늘어나는 이 비대칭은 "자율보안-결과책임" 원칙이 실제 운영되는 방식을 상징한다. 박상원 금보원장의 표현 — "평가 기준을 정밀화하고 적용 대상을 확대함으로써, 해킹사고로 이어질 수 있는 취약 요소를 사전에 점검하고 금융소비자가 안전하게 금융 서비스를 이용할 수 있는 신뢰 기반을 강화할 수 있을 것으로 기대한다."^[1] 이 글은 15개 분야의 실제 재편 구조, 신설·변경 항목, 금융 기관 대응 현황, 국제 비교를 1차 자료 기반으로 정리한다.

2026 평가기준 확대는 단독 이벤트가 아니다. 2023년 9월 전자금융거래법 개정 → 2024년 9월 15일 전자금융감독규정 개정 시행 → 2025년 2월 감독규정 추가 개정 → 2026년 2월 평가기준 확대로 이어지는 3년간의 체계 재편의 귀결점이다.

1단계 — 2024.9.15 전자금융감독규정 개정

금융위 고시 제2024-44호로 기존 293개의 열거식 행위규범을 166개 원칙 중심으로 재편^[2]. 김앤장 법률사무소 해설 — "행위규범을 293개에서 166개로 감축해 금융회사의 자율성과 유연한 보안 대응 여지를 확대."

2단계 — 2025.2.5 감독규정 추가 개정 (2025-4호)

다음 4가지가 핵심 추가^[2]:

• CISO 이사회 직접 보고 의무화 (2025.8.5 시행) — 집행임원 보고에서 격상
• 재해복구센터 구축 의무 — 전문 금융사/전자금융업자 일정 규모 이상 (2026.2.5 시행)
• 손해배상 보험 한도 상향 — PG·선불업자 1억→2억원, 자본시장 5억→10억원
• 제14조의2 신설 — 퍼블릭 클라우드 이용 시 세부 절차

3단계 — 2026.2.13 평가기준 869개 확대

금보원이 1단계의 자율성·2단계의 명시적 조항을 실제 평가 도구로 구현한 것이 3단계의 869개 체계다. 박상원 원장(2026.2.12) — "사전 예방을 위해 취약점 분석·평가와 모의해킹의 중요성이 높아짐에 따라 실효성 있는 보안 대응을 지속하겠다."^[3]

869개 항목을 담은 15개 분야는 다음과 같이 재편됐다^[1].

분야	2025 대비 변화	특기사항
1. 클라우드 관리체계 (신설)	+73개 신규	퍼블릭 CSP 이용 전체 영역
2. 운영체제(서버)	기존 "서버" 분리	Linux/Windows 서버 · 컨테이너 포함
3. 미들웨어(WAS) (신설)	기존 "서버"에서 분리	Tomcat · JBoss · WebLogic · IIS
4. 데이터베이스	기준 강화	Oracle · MSSQL · Postgres · MongoDB
5. 네트워크 장비	유지	방화벽 · 라우터 · 스위치
6. 보안 솔루션	유지	AV · IPS · WAF · SIEM
7. 단말(PC/업무 PC)	유지	엔드포인트 통제
8. 모바일 앱	AI 점검 확대	32개사 288개 앱 대상
9. 공개용 홈페이지	웹보안점검팀 전담	OWASP Top 10 중심
10. 정보보호 관리체계	유지	거버넌스 · 정책 · 교육
11. 접근 통제	MFA 강화	사용자 관리 · 권한
12. 개인정보 보호	유지	수집 · 이용 · 파기
13. API 보안	강화	REST · GraphQL · 오픈뱅킹
14. 공급망	강화	외주 개발 · 서드파티 라이브러리
15. 가상자산 전용 (신설)	별도 축	블록체인 · 월렛 · 스마트 컨트랙트

핵심 구조적 변화 3가지

1. "서버"의 이원화 — 운영체제와 미들웨어(WAS)가 분리. Tomcat·JBoss·WebLogic 등이 별도 평가 축으로 독립. 금보원 개정 취지 — "기존 '서버' 분야를 운영체제(서버)와 미들웨어(웹서버-WAS)로 분리하여 점검 기준의 명확성·일관성을 제고."^[1]
2. 클라우드 관리체계 신설 — 73개 항목의 완전 신규 분야. 퍼블릭 클라우드 이용 전 과정의 평가 기준을 담는다.
3. 가상자산 거래소 전용 축 신설 — 블록체인·월렛·스마트 컨트랙트 전용 기준. 금보원 공식 — "가상자산 거래소는 주로 클라우드 인프라를 활용하고 핫월렛 탈취 등 고유한 위협에 노출되어 있어 별도 기준이 필요."

2026 평가기준의 가장 큰 변화는 클라우드 관리체계 분야 신설이다. 73개 항목이 추가됐다. 2024.9 개정 감독규정 제14조의2가 명시한 퍼블릭 클라우드 이용 시 세부 절차를 실제 점검 항목으로 구현한 것이다.

주요 평가 영역

• 거버넌스 — 클라우드 이용 의사결정 · 책임 분장(CSP vs 금융회사 공유책임)
• 리스크 평가 — 데이터 분류 · 민감도별 이용 가능 서비스 결정
• 접근 통제 — IAM · MFA · 권한 최소화 · 키 관리
• 데이터 보호 — 암호화(전송 · 저장) · 키 관리 · 데이터 주권
• 모니터링 — CSP 로그 · CloudTrail · Azure Monitor · GCP Audit Log 연계
• 사고 대응 — 공유책임 하에서의 침해 대응 절차
• 구성 관리 — CIS Benchmark 준수 · 구성 드리프트 방지

동시에 금융보안원은 금융분야 클라우드컴퓨팅서비스 이용 가이드 2025 개정판을 발표했다^[4]. SK쉴더스 EQST 분석 자료의 평가 — "금융분야 망분리 개선 로드맵" 발표(2024.8.13)로 생성형 AI 허용과 SaaS 이용 범위 대폭 확대.^[5]

기존 "서버" 분야에서 WAS(Web Application Server)와 미들웨어가 별도 축으로 독립했다. 이는 단순 행정적 분리가 아니라 평가 방법론의 심화를 의미한다.

WAS/미들웨어	주요 점검 항목
Apache Tomcat	버전 · 관리자 페이지 보호 · Manager App 접근 통제 · SSL/TLS · AJP Connector
JBoss / WildFly	관리 콘솔 포트 · JMX 원격 접근 · 배포 권한 · JMSXML 필터
Oracle WebLogic	Node Manager 보안 · T3 프로토콜 · 관리자 포트 · CVE 패치
IIS	불필요 모듈 제거 · Request Filtering · 응답 헤더 · Application Pool
Nginx	버전 노출 · 모듈 · reverse proxy 설정 · access log
컨테이너 런타임	Docker · containerd · runC 보안 설정
오케스트레이션	Kubernetes RBAC · NetworkPolicy · PodSecurity

OS·컨테이너 가상화시스템 평가대상 확대도 주목할 변화다. 노후·EOS(End-of-Support) 장비 기준이 강화됐다^[6]. 레거시 시스템을 계속 운영하는 금융회사는 명시적 위험 기반 수용(risk acceptance) 문서를 남겨야 한다.

가상자산 거래소는 별도 평가 체계 — 가상자산 컴플라이언스 · 블록체인 · 월렛 · 스마트 컨트랙트가 신설됐다.

4대 신규 평가 영역

1. 가상자산 컴플라이언스 — AML/CFT · 트래블룰 · 내부통제 · 의심거래 보고
2. 블록체인 — 노드 운영 보안 · 합의 알고리즘 무결성 · 포크 대응
3. 월렛 — 콜드/핫월렛 분리 · 키 관리 · HSM(Hardware Security Module) 사용
4. 스마트 컨트랙트 — 코드 감사 · 배포 전 취약점 점검 · 업그레이드 거버넌스

법적 배경 — 특정금융정보법 시행령 2026.8.20 시행

2026년 2월 19일 공포된 특정금융정보법 시행령·감독규정 개정은 같은 해 8월 20일부터 시행된다^[7]. 기 신고된 VASP(가상자산사업자)는 2026년 11월 20일까지 재신고해야 한다. 부채비율·채무불이행 요건(최근 3년)이 명시적으로 도입됐다. 또한 가상자산이용자보호법 2단계가 2026년 하반기 시행되며, 해킹·전산장애 대비 의무화가 추가된다^[8].

2026.2.12 — RED IRIS실 신설

금보원은 2026년 2월 12일 RED IRIS실(모의해킹 전담)을 공식 신설했다^[3]. 화이트해커 30명 내외 규모. 2023년 11월 최초 출범했던 팀이 2026년 실로 확대된 것이다. 동시에 웹보안점검팀이 신설되어 공개용 홈페이지 전담 점검을 수행한다.

2026.3.20 여의도 세미나 — 실제 침투 시나리오 공개

RED IRIS가 공개한 3가지 침투 시나리오는 "망분리 환경에서도 어떻게 뚫리는지"를 실증했다^[9]:

1. 내부 → 외부 데이터 유출 경로
2. 업무망 침투 경로
3. 클라우드를 통한 유출 경로

RED IRIS 팀의 핵심 결론(IT데일리) — "망분리 체계가 구축된 환경에서도 내부와 외부의 취약점이 결합되면 보안 장벽이 무너질 수 있다."^[9] 이 발언은 "망분리만으로는 부족하다"는 명제를 공공기관 주관 세미나에서 공식적으로 선언한 것이었다.

평가 절차 규모

• 종합점검 + 단독점검 + 공개용 홈페이지 점검 — 178개 금융회사
• 모바일 앱 점검 — 32개사 288개 앱 (AI 기술 활용)
• 현장점검·검사 — 중대 취약점 미보완 회사 대상 (2026 업무계획)

보안 수준 진단 프레임워크 (2026.3 서비스 개시)

금보원이 자체 개발한 6대 영역 진단 프레임워크가 2026년 3월부터 서비스됐다^[10]:

1. 거버넌스
2. 위험식별·관리
3. 내부통제·보호
4. 탐지·대응
5. 공급망
6. 복원력

금융회사는 자체 진단 후 결과를 레그테크 플랫폼(regtech.fsec.or.kr)에 제출한다.

은행권 — 5년간 정보보호 예산 +60%

마켓인 edaily 2026년 1월 분석에 따르면, 주요 9개 은행(국민·신한·하나·우리·농협·기업·카카오·케이·토스)의 IT 예산이 2021년 2조 8,634억원 → 2025년 상반기 3조 8,224억원(+33.5%)으로 증가했다^[11]. 같은 기간 정보보호 예산은 2,842억원 → 4,545억원(+약 60%)으로 더 빠르게 증가.

은행별 화이트해커 점검 횟수 편차도 주목할 지표다:

• KB국민은행 — 5년간 62회
• 농협은행 — 31회
• 우리은행 — 6회

edaily 인용 — "보안은 비용이 아닌 투자, 예방적 체계 강화."

지배구조 대응 — 주총 차원 위원회 신설

KB국민·신한·우리은행은 2026년 주주총회에서 이사회 내 소비자보호위원회를 신설했다^[12]. 하나은행은 기존 소비자리스크관리위원회를 재정비. 토스뱅크·카카오페이는 시스템 안전장치 강화와 24/7 모니터링 프로토콜을 추가. 2025.8.5 시행된 CISO 이사회 직접 보고 의무화가 거버넌스 구조 개편을 가속한 결과로 해석된다.

보험업계 — "망분리도 안심 못 한다"

한국보험신문 2026년 3월 23일 분석 — "망분리 완화·AI RMF 도입 속 보험업계, 은행·증권사 대비 '거북이걸음'."^[13] 보험업계가 데이터 활용 확대와 AI 도입에서 뒤처지는 동시에 보안 투자도 정체된 상태가 지적됐다.

미국 FFIEC — 원칙 기반 가이드라인

FFIEC는 의무 규정이 아닌 원칙 기반 가이드라인이다^[14]. FFIEC 인용 — "Network controls should establish trusted and untrusted zones with appropriate access restrictions based on asset criticality and risk characteristics." 물리적 분리와 논리적 분리 중 선택권. 규제보다 "책임 기반 자율"이 강조된다.

일본 FSA — 2024.10.4 시행 가이드라인

일본 금융청이 시행한 「금융분야 사이버보안 가이드라인」의 6대 영역은 한국 2026 평가기준과 놀라울 정도로 유사하다^[15]. ① 관리체계 ② 리스크 식별 ③ 공격 방어 ④ 탐지 ⑤ 대응·복구 ⑥ 제3자(공급망) 리스크. 특히 "risk-based approach"를 명시적으로 채택한 점이 한국과의 공통점이다.

EU DORA — 2025.1.17 시행

EU의 Digital Operational Resilience Act가 2025년 1월 17일 시행됐다. ICT 위험관리·사고보고·복원력 테스트 의무화. 한국 2026 평가기준의 "복원력" 영역이 DORA와 연결된다.

PCI DSS 4.0 — 마이크로세그멘테이션 허용

데일리시큐 CISO 조찬(2025.6) 사례 — "미국 통신사는 기존 방화벽 기반 세그멘테이션으로 2년간 실패한 뒤, 마이크로세그멘테이션으로 전환해 PCI DSS 4.0을 만족했다."^[16] 한국 역시 2024 망분리 완화와 함께 마이크로세그멘테이션 기반 보안 설계가 늘어나는 추세다.

국가·규제	접근 방식	핵심 특성
🇰🇷 한국 2026	원칙 + 체크리스트	166개 원칙 + 869개 평가항목 병행
🇺🇸 FFIEC	원칙 기반	분리 방식 선택권, 결과책임
🇯🇵 일본 FSA	리스크 기반	6대 영역 · 공급망 명시
🇪🇺 EU DORA	복원력 중심	ICT 위험관리 · 사고보고 의무
🌐 PCI DSS 4.0	기술 중립	마이크로세그멘테이션 허용

869개 항목 중 CDR이 직접 또는 간접적으로 대응하는 영역을 영역별로 정리한다.

영역	CDR 기여 지점	예상 항목 수
보안 솔루션	이메일 게이트 · 망연계 전송 구간	다수
공개용 홈페이지	웹 업로드·민원 포털 무해화	다수
API 보안	파일 업로드 API 콘텐츠 검증	다수
공급망	외주·파트너 수신 파일	다수
클라우드 관리체계	M365/Google Workspace API CDR 연동	신설 73개 중 일부
운영 관리	감사 증적 자동화	다수
모바일 앱	앱 내부 파일 업로드 구간	일부

CDR은 "평가항목 하나에 단독 대응"하는 솔루션이 아니라 여러 영역에 걸친 횡단적 방어 수단이다. 한 가지 CDR 도입이 다수 평가항목의 충족 근거로 활용될 수 있다는 점이 도입 의사결정의 근거가 된다.

2026년은 "규제 수가 줄고 평가 범위가 넓어지는" 이중 흐름이 분명해진 해다. 감독규정 행위규범은 293→166으로 43% 감축됐지만, 평가항목은 789→869로 9.2% 확대됐다. 금융회사는 "규제 지시를 따르는 것"에서 "자율적으로 결과를 증명하는 것"으로 역할이 이동했다.

박상원 금보원장(2026.3.20 세미나)의 표현 — "고도화하는 사이버 위협 속에서 보안 취약점을 선제적으로 파악하고 개선하는 것은 금융 신뢰를 지키는 핵심 과제."^[10]

CDR은 이 환경에서 횡단적 대응 수단으로서 가치가 커진다. 단일 솔루션이 보안 솔루션 · 공개용 홈페이지 · API 보안 · 공급망 · 클라우드 관리체계 · 운영 관리 등 6개 이상 분야의 증적을 자동 생성하기 때문이다. 시큐레터의 34ms 무해화 속도, 12.02초 TTA 인증 응답, KISA 100% 탐지율은 이 횡단적 대응의 기술 근거다. 대신·이베스트·KB·한국투자증권의 2022년 수주 레퍼런스는 금융권 적용 실증 근거다.