경험 중심 1인칭 답변
전자금융 리스크 평가는 정보보호 측면과 운영 안정성 측면을 함께 봐야 한다고 생각합니다. 수업에서 전자금융거래법과 금융보안원 가이드를 다루면서 취약점 평가(VA)와 위협 분석(TA)이 병행되어야 한다는 것을 배웠습니다. 방법론으로는 ISMS-P 기준의 위험 평가 절차가 국내 금융권에 가장 널리 쓰이며, 자산 식별 → 취약점 분석 → 위협 시나리오 매핑 → 위험 수준 결정의 순서로 진행됩니다. 또한 제3자 연계 서비스(PG, VAN 등)의 연쇄 리스크가 점점 중요해지고 있다는 점도 학습했습니다. 앞으로도 리스크를 평가할 때 단일 시스템이 아니라 연결된 전체 구조를 보는 방식을 유지하겠습니다.
리스크는 가장 약한 연결에서 현실이 됩니다. 앞으로도 전자금융 리스크를 다룰 때 컴플라이언스 준수와 운영 리스크 관리를 동시에 보는 방식을 유지하겠습니다. 규정은 최소 기준이고, 실질적 보호는 더 깊은 분석에서 나옵니다. 파트너사 연계 리스크까지 포함한 전체 구조를 항상 염두에 두겠습니다.