금융분야 오픈소스 관리 실무 가이드 신설 (한국어)

[haksungjang]

개요

금융분야 오픈소스 소프트웨어 활용·관리 안내서(금융감독원·금융보안원, 2022)의 절차를
국제표준 ISO/IEC 5230·18974의 입증자료, 기존 KWG 가이드와 연결한 금융권 특화 실무
가이드를 신설한다. content/ko/guide/finance-oss-guide/, 메뉴 weight 45.

FSEC 안내서를 대체하지 않는 보조 실행 가이드로, 폐쇄망 운영, 망분리 규제 전환(2025-02-05
전자금융감독규정 개정), 공급망 보안 플랫폼, 사내 운영 시스템 지속 점검, 감사 대응 등
금융권 고유 맥락을 다룬다.

구성

본문 8개 페이지

• _index — 금융 규제 환경 개요, FSEC 절차↔ISO 입증자료↔KWG 가이드 대조표, FINOS 성숙도 사다리
• 0-closed-network — 반입 통제·사내 미러·오프라인 취약점 DB 반입(워크드 예제), 망분리 예외 자체 위험평가
• 1-governance — OSPO·OSRB·승인 거버넌스
• 2-identify — 신규·레거시·외주 식별, SBOM, 공급망 플랫폼 연계
• 3-issue-resolve — 취약점 탐지·평가·조치, 라이선스 이슈, 패치 지연 관리
• 4-approve — 승인 워크플로, 망분리 예외 위험평가, 외주 계약
• 5-manage — 사내 운영 시스템 지속 모니터링, 정기 재평가, 감사 증적
• 6-self-check — FSEC 5개 분류를 원본 재작성한 자가점검 점검표

산출물 4종(artifacts/)

• 자가점검 워크북, 정책·절차 템플릿, 감사 증적 목록, 도구 구축 레시피(docker-compose)

현장 사례(KWG 미팅, 발표자료 공유 동의분 — 실명·출처 게재)

• 12차 카카오뱅크 하헌관(컴플라이언스 자동화·폐쇄망 도구 제약), 13차 ISO/IEC 5230 인증,
  20차 ISO/IEC 18974 보안 보증, 25차 금융결제원 유대열. 각 사례에 발표 제목·발표자·미팅
  회차·발표자료 링크를 출처로 표기.

기존 가이드 교차링크

• iso5230_guide, opensource_for_enterprise/2-policy에 "금융권이라면" 안내 박스 추가

검증

• 모든 페이지 hugo --minify 빌드, ko-style-lint, doc-qa 링크·앵커 점검 통과(13파일 0건).
• 각 페이지를 작성자와 분리된 검토자(doc-qa:doc-reviewer)로 사실성·매핑·용어·완성도·문체·저작권 검토. 도구 레시피 코드는 code-review:code-reviewer로 별도 검토. 차단 사항 0.
• 규제 시행일·기관·조항(FSEC 2022, 망분리 로드맵 2024-08-13, 전자금융감독규정 2025-02-05, DORA 2025-01-17, 공급망 플랫폼 2026, 정부 가이드라인 2024-05-13, 공공 SBOM 2027 의무화 목표, FINOS 단계)은 웹으로 교차 확인. 사례 출처는 미팅 페이지와 직접 대조.
• 매핑표의 ISO 입증자료 번호는 저장소 원본(iso5230_guide·iso18974_guide)과 대조 확인.
• FSEC 안내서 체크리스트 문항은 복제하지 않고 다섯 분류 취지만 참고해 원본으로 재작성.

대기(후속 작업, TODO)

• 영어 동기화: content/en/guide/finance-oss-guide/는 이 PR에 포함하지 않았다. 한국어 머지 후 후속 PR로 동기화한다.
• 30차 미팅 감사 대응 보강: 5-manage와 감사 증적 목록의 카카오뱅크 30차(2026-06) 감사 대응 사례는 핵심 세션 발표자료가 아직 공개되지 않아 "보강 예정"으로 두었다. 자료 공개 후 채운다.
• 발행 전 금융권 실무자 검토: 망분리·감사 대응의 현실 정합성을 현업이 확인.