As increasing the security threats regarding financial institutions, it have been increased compliance requirements that relevant to security systems. However, it was not reflected in amendment to obey security management system about financial institutions, there has a problem that it have to reconfirm problem. Due to several domestic financial institutions such as ISMS, PIMS and ISO 27001 using security management system managed along with, it was not reflected in importance of controls and management cycles, despite the difference. Furthermore, there has a problem that each information security certification system managed overlap by the control clauses. Because there are several problems with security incident action based on existing information Security Management system, financial institutions are not properly respond to the security incident recently increased. In this work, we presented financial institutions’s simultaneous target for information security management model for addressing such matters and based on these, is suggested the improvement of financial institutions incident response process. The main conclusion of security elements were based on financial institutions information security management system and were made through calculating control classified priority. Calculating control classified priority is reflected in the damage increase as time passed and through conclusion of priority it was selected as important security elements by 14 kinds of security control clause. Based on the key security elements, reflect management focuses on the incident response process improvements were suggested. Suggested incident action process improvements was reflected in main conclusion of security elements which based on financial institution’s incident action process, and those elements’s level was stated that CISO & CEO have to identify obligatorily. Also, it was processed case study for 3.20 cyber terrorist attacks and verified improvement’s benefits for suggested incident action process. In reference to case study based on incident response and action, incident response process improvements by applying the proposed timeline to the configuration of the virtual incident response process improvements have been applied and compared the incident response process. In result of case study, it was proved that pre-detection process in accidents since major security incident response process improvements that reflect elements by applying one to three days before the accident through proactive inhibition.

금융권에 대한 보안 위협이 증가함에 따라서 금융기관에 요구되는 정보보호 컴플라이언스 요구사항 또한 증가하고 있다. 하지만 현재 금융기관들이 준수하고 있는 정보보호 관리체계의 보안통제항목은 실제 보안 위협을 방어하기 위한 주요 보안 요소들을 모두 포괄하고 있기 때문에 주요 보안 요소들을 효율적으로 관리하지 못하고 있다는 문제점이 있다. 국내 대부분의 금융기관들이 사용하고 있는 정보보호 관리체계들은 통제항목들을 일괄적으로 관리하고 있기 때문에, 관리해야 하는 통제항목의 주기와 중요도가 다름에도 불구하고 이것이 적절히 반영되지 않고 있다. 또한 각 정보보호 인증체계의 통제항목들이 중복되어 관리되는 점 역시 효율성 측면에서 문제가 되고 있다. 이런 여러 가지 문제점들이 존재하는 정보보호 관리체계를 바탕으로 보안관제 및 보안사고 대응 절차가 이루어지고 있기 때문에, 금융기관들은 급증하고 있는 보안 사고에 적절하게 대처하지 못하고 있다. 본 논문에서는 이러한 문제점들을 해결하기 위해서 금융기관에서 중요하게 관리되어야 하는 주요 보안 요소의 도출 방안을 제시하고 도출하여, 이를 바탕으로 금융기관의 사고 대응 프로세스에 대한 개선안을 제시하였다. 제시한 사고 대응 프로세스 개선안은 기존 금융기관의 사고 대응 프로세스를 바탕으로 주요 보안 요소의 실시간 관리를 반영하고 있으며, 해당 요소들의 현황 수준을 CISO 및 CEO가 의무적으로 파악하고 있어야 함을 명시하고 있다. 또한 3.20 사이버테러 사건에 대한 사례 연구를 실시하여 제시한 사고 대응 프로세스 개선안의 장점을 검증하였다. 사례 연구에서는 사건 발생 당시의 사고 대응 및 조치 내용을 바탕으로, 제시한 사고 대응 프로세스 개선안을 적용한 가상의 타임라인을 구성하여 실제 사고대응 과정과 개선안이 적용된 사고대응 과정을 비교하였다. 사례 연구 결과, 사고 발생 전 사전 탐지 프로세스에 대해서 주요 보안 요소를 반영한 사고 대응 프로세스 개선안을 적용함으로써 사고 발생 1∼3일 전 사전 대응을 통한 사고의 억제가 가능하다는 것을 증명하였다. 또한 사고 발생 후 사고 대응 프로세스에 대해서 사고 대응 프로세스 개선안을 적용함으로써 각 프로세스 진행 상황별로 기존 대응체계보다 빠른 시간에 대응이 가능하고, 기존 대응 프로세스보다 3∼4 시간 앞서서 원인을 파악하고 일부 서비스에 대해서 정상화가 가능하다는 사실을 증명하였다.