韩国金融安全院12月31日表示,已修订并发布《2026年度漏洞分析与评估标准》,以应对金融机构公有云使用增加以及虚拟资产交易所被纳入制度监管范围后出现的新型安全风险。
此次修订首先对现有电子金融基础设施评估体系进行了全面梳理。随着金融业加快采用公有云,评估框架中新增“云管理体系”领域。
针对虚拟化环境部署方式日趋多样的情况,原有虚拟化相关评估对象进一步扩大至“操作系统(OS)以及容器虚拟化系统”。同时,为加强对补丁支持已终止的老旧系统和设备的风险管理,相关评估标准也一并收紧。
为提升评估的一致性和针对性,检查项目也进行了细化。原先合并设置的“服务器”领域被拆分为“操作系统(服务器)”和“中间件(Web服务器、WAS)”,以便根据不同系统特性开展更细致的诊断。此外,电子金融监管规定修订后的相关内容也被纳入“信息保护管理体系”领域,进一步强化合规执行情况检查。
本次修订中最受关注的变化,是首次针对虚拟资产交易所单独设立评估标准。
韩国金融安全院指出,虚拟资产交易所的IT环境在结构上与传统金融机构存在明显差异。传统金融机构主要采用本地部署(On-Premise)环境,而虚拟资产交易所对云环境的依赖度更高;其面临的主要安全威胁也不再局限于客户信息泄露,还包括热钱包被盗等风险,整体风险类型与传统金融机构并不相同。
基于此,韩国金融安全院新增了虚拟资产合规、区块链、钱包、智能合约四大评估领域,计划对虚拟资产运营、管理和使用的全流程安全性进行验证。该举措也与《虚拟资产用户保护法》的实施相呼应,旨在对虚拟资产进入制度化监管阶段后的相关风险进行系统管理。
韩国金融安全院院长 Park Sang-won 表示,此次修订反映了不断变化的数字金融环境,目的在于提升漏洞分析与评估的实效性。通过细化评估标准并扩大适用范围,有望提前发现可能引发黑客攻击的薄弱环节,进一步增强金融消费者安全使用相关服务的信心。
Sangyeop Oh
yub@d-today.co.kr