금융회사 정보기술부문의 보호업무 모범규준 해설, 2013. 신년호 감사저널에 게재, 김려성(소프트꼬레아 저자)

[김려성]

금융회사 정보기술부문의 보호업무 모범규준 해설

2013. 신년호 감사저널에 게재

김 려 성 (소프트 꼬레아 저자)

1. 인력‧예산과 정보기술 부문

정보기술(IT)은 마치 살아서 움직이는 맹수와 같다. 맹수를 잘 다스리지 못하면 우리는 피해를 보게 된다. 특히 정보기술을 이용하여 고객의 금융정보를 취급하고 있는 금융회사는 이러한 맹수(IT)를 효과적으로 다스리는 방법을 익혀야 한다. 금융회사는 전자금융거래의 안전성을 확보하고 정보기술부문의 보호업무에 필요한 사항을 숙지함으로써 고객의 금융거래정보를 안전하고 효율적으로 관리해야 하는 선량한 관리자의 책임이 있다. 이번 달에는 금융회사 정보기술(IT)부문 보호업무 모범규준에 대해 살펴보기로 하자.

금융회사 정보기술(IT)부문 보호업무 모범규준

금융위원회와 금융감독원은 2012년 10월 금융회사 정보기술(IT)부문 보호업무 모범규준을 공포했다. 이 규준은 전자금융거래의 안전성을 확보하고 정보기술부문의 보호업무에 필요한 사항을 규정함으로써 전자금융거래법, 동 법 시행령 및 전자금융감독규정의 원활한 시행을 도모하는 것을 목적으로 하며 이 규준의 내용은 총칙, 인력 및 예산, 정보기술부문, 정보기술부문 내부통제, 부칙 등 5장으로 구성되어 있다.

총칙

총칙에서는 목적, 용어의 정의, 적용범위, 전자금융거래법 등과의 관계를 다루고 있으며 이 모범규준에서 사용하는 용어의 정의는 다음과 같다.

①금융기반시설: 금융회사 등의 전자적 제어․관리․처리시스템 및「정보통신망 이용촉진 및 정보보호 등에 관한 법률」제2조제1항제1호의 규정에 따른 정보통신망을 말한다.

②정보보호 또는 정보보안: 컴퓨터 등 정보처리능력을 가진 장치를 이용하여 수집·가공·저장·검색·송신 또는 수신되는 정보의 유출·위변조·훼손 등을 방지하기 위하여 기술적·물리적·관리적 수단을 강구하는 일체의 행위를 말하며 사이버안전을 포함한다.

③정보보호시스템: 정보처리시스템 내 정보를 유출․위변조․훼손하거나 정보처리시스템의 정상적인 서비스를 방해하는 행위 등으로부터 정보 등을 보호하기 위한 장비 및 프로그램을 말한다.

④해킹: 접근을 허가받지 아니하고 정보처리시스템 및 정보통신망에 불법적으로 침투하거나 허가받지 아니한 권한을 불법적으로 갖는 행위 또는 정보처리시스템 및 정보통신망을 공격하거나 해를 끼치는 행위를 말한다.

⑤컴퓨터악성코드: 컴퓨터에서 사용자의 허락 없이 스스로를 복사하거나 변형한 뒤 정보유출, 시스템 파괴 등의 작업을 수행하여 사용자에게 피해를 주는 프로그램을 말한다.

⑥공개용 웹서버: 인터넷 사용자들이 웹페이지를 자유롭게 보고 웹서비스(월드 와이드 웹을 이용한 서비스를 말한다)를 이용할 수 있게 해주는 프로그램이 실행되는 장치를 말한다.

⑦정보통신망: 유․무선, 광선 등 정보통신 수단에 의하여 부호․문자․음향․영상 등을 처리․저장 및 송․수신할 수 있는 정보통신 조직형태를 말한다.

⑧주요정보: 전자금융거래와 관련하여 이용자의 동의를 얻지 아니하고 이를 타인에게 제공ㆍ누설하거나 업무상 목적 외에 사용하여서는 아니 되는 정보로 전자금융거래법 제26조에서 정한 전자금융거래정보를 말한다.

적용범위

이 규준은 전자금융거래법 제2조 제3호의 규정에서 정한 금융기관 및 전자금융업자(이 규준에서 “금융회사 등”이라 한다)에 적용한다. 전자금융거래법에서 정한 금융기관의 범위는 다음과 같다.

①「금융위원회의 설치 등에 관한 법률」 제38조제1호 내지 제8호ㆍ제10호 내지 제12호에 규정된 기관으로 Ⓐ은행법 또는 장기신용은행법에 의한 인가를 받아 설립된 금융기관 Ⓑ「자본시장과 금융투자업에 관한 법률」에 따른 금융투자업자, 증권금융회사, 종합금융회사 및 명의개서대행회사 Ⓒ보험업법에 의한 보험사업자 Ⓓ상호저축은행법에 의한 상호저축은행과 그 중앙회 Ⓔ신용협동조합법에 의한 신용협동조합 및 그 중앙회 Ⓕ농업협동조합법에 의한 농업협동조합중앙회의 신용사업부문 Ⓖ수산업협동조합법에 의한 수산업협동조합중앙회의 신용사업부문이 해당한다.

②「여신전문금융업법」에 따른 여신전문금융회사

③「우체국예금ㆍ보험에 관한 법률」에 따른 체신관서

④「새마을금고법」에 따른 새마을금고 및 새마을금고연합회

⑤ 그 밖에 법률의 규정에 따라 금융업 및 금융 관련 업무를 행하는 기관이나 단체 또는 사업자로서 대통령령이 정하는 자로 Ⓐ「한국산업은행법」에 따른 한국산업은행 Ⓑ「한국정책금융공사법」에 따른 한국정책금융공사 Ⓒ「중소기업은행법」에 따른 중소기업은행 Ⓓ「한국수출입은행법」에 따른 한국수출입은행 Ⓔ「산림조합법」에 따른 조합과 그 중앙회의 신용사업부문 Ⓕ「농업협동조합법」에 따른 조합 Ⓖ「수산업협동조합법」에 따른 조합 Ⓗ자본시장과 금융투자업에 관한 법률」에 따른 한국거래소 Ⓘ「자본시장과 금융투자업에 관한 법률」에 따른 한국예탁결제원 Ⓙ「금융지주회사법」에 따른 금융지주회사와「금융지주회사법시행령」제2조 제2항 제1호에 해당하는 회사〈금융지주회사법 시행령 제2조 제2항 제1호〉 Ⓚ「보험업법」에 따른 보험협회와 보험요율산출기관 Ⓛ「화재로 인한 재해보상과 보험가입에 관한 법률」에 따른 한국화재보험협회 Ⓜ「자본시장과 금융투자업에 관한 법률」에 따른 한국금융투자협회 Ⓝ「신용정보의 이용 및 보호에 관한 법률」에 따른 신용정보회사와 종합신용정보집중기관 Ⓞ「금융기관부실자산 등의 효율적 처리 및 한국자산관리공사의 설립에 관한 법률」에 따른 한국자산관리공사 Ⓟ「한국주택금융공사법」에 따른 한국주택금융공사 Ⓠ「신용보증기금법」에 따른 신용보증기금 Ⓡ「기술신용보증기금법」에 따른 기술신용보증기금 등이다.

전자금융거래법 등과의 관계

금융회사 정보기술부문의 보호업무 모범규준에서 따로 정하지 아니한 사항은 전자금융거래법, 동법 시행령, 전자금융감독규정 및 동 규정 시행세칙에서 정한 바에 따르며, 이 규준을 적용함에 있어 해석이 필요한 사항은 금융위원회가 해석한 바에 따른다.

금융위기를 계기로

우리나라는 1997년 금융위기를 계기로 금융시스템을 선진화하기 위해 많은 노력을 기울여왔으며, 은행, 증권, 보험 분야에서 상당한 성과가 있었다. 자본시장과 금융투자업에 관한 법률 역시 수차례에 걸쳐 자본시장의 요구에 부응하여 변경 및 개선되었다. 전자금융거래의 안전성을 확보하고 정보기술부문의 보호업무에 필요한 사항을 규정한 전자금융거래법, 동 법 시행령 및 전자금융감독규정을 제정한 바 있다.

금융감독원의 IT부문 검사

금융감독원은 전자금융거래법과 전자금융감독규정 및 동 시행세칙에 따라 2007년에 IT검사매뉴얼을 개편하였다. IT검사 매뉴얼은 검사계획 수립부터 검사착수, 경영면담, 검사보고서 작성 및 검사사후관리 등 검사업무를 순차적으로 정리하였다. 그리고 IT 경영실태평가는 IT 감사, IT 경영, 시스템개발, 도입, 유지보수 그리고 IT 서비스 제공, 지원과 관련하여 평가항목과 점검사항, 착안사항 등을 기재하였다.

금융회사의 IT부문 내부통제방법론 도입

금융회사들은 국제수준의 경쟁력을 갖추기 위해서 정보기술을 영업수단 뿐 아니라 의사결정도구로 활용하고 있다. 그러나 접근을 허가받지 아니하고 정보통신망에 불법적으로 침투하거나 금융정보를 해킹하는 행위 등을 사전에 철저히 차단하도록 안전성을 강구하여야 한다. 앞으로 경쟁관계에 있는 선진 금융국의 정보기술을 능가하는 관리통제를 위해서도 신뢰할 수 있는 내부통제방법론 도입이 시급하다. 이에 따라 건전한 내부통제기준을 설정하고 그에 걸 맞는 발전된 통제수단의 도입이 절실한 시점이다.

인력 및 예산 부문

금융회사 정보기술(IT)부문 보호업무 모범규준에서 금융회사 등은 규준이 정하는 별표에 따라 총 임직원수의 100분의 5이상을 정보기술부문 인력으로, 정보기술부문 인력의 100분의 5이상을 정보보호인력으로 각각 확보하도록 노력하여야 한다.

조직과 예산

정보처리시스템 및 전자금융업무 관련 전담조직을 확보하여야 하고, 외부주문 등에 관한 계약 내용의 적정성을 검토하고 이를 자체적으로 통제가 가능하도록 회사내부에 조직과 인력을 갖추어야 한다. 규준이 정하는 별표에 따라 정보기술부문 예산의 100분의 7 이상을 정보보호 예산으로 확보하도록 노력하여야 한다.

인력비율 적용 특례

이 규준 시행일 현재 이 규준에서 정한 정보기술부문인력비율(총임직원의 100분 5)과 정보보호인력비율(정보기술부문인력의 100분5)을 초과하는 합리적 사유가 있는 경우를 제외하고 2011년 11월 1일 현재 내부인력비율 이상을 유지하도록 노력하여야 한다.

예산비율 적용 특례 및 권고 수준 미충족 시 조치

이 규준 시행일 현재 이 규준에서 정한 정보보호예산비율(정보기술부문 예산의 100분 7)을 초과하는 합리적 사유가 있는 경우를 제외하고 2011년 11월 1일 현재 비율 이상을 유지하도록 노력하여야 한다. 이 규준에서 정한 인력 및 예산의 권고수준을 충족시키지 못할 경우 그 사유 및 이용자 보호에 미치는 영향 등을 홈페이지 등을 통해 매사업연도 종료 후 1개월 이내에 공시하여야 한다.

정보기술부문의 취약점 분석 평가

전자금융거래의 안전성과 신뢰성을 확보하기 위하여 주기적으로 전자금융기반시설에 대한 취약점 분석 및 정기 평가를 실시하여야 하며 전자금융기반시설에 대해서 매년 평가를 실시하고 홈페이지에 대해서는 매 반기마다 평가를 실시하여야 한다. 금융회사 등은 추진하고자 하는 정보기술부문 관련 사업에 대해 실제 업무에 적용하기 전에 취약점 분석․평가를 실시하고 필요한 보완 조치의 이행을 완료하여야 하며, 금융위원회가 정한 취약점 분석․평가 기준을 준수하고, 자체 평가반 또는 평가전문기관에 의뢰하여 취약점 분석․평가를 할 수 있다.

평가반 운영

금융회사 등이 자체 평가반을 운영할 때에는 반장을 정보보호최고책임자로 하여야 한다. 반원 중 100분 30이상은 정보통신산업진흥법 시행세칙 제7조의 지식정보 보안컨설팅 전문업체 지정기준에서 정한 고급기술인력의 자격을 갖춘 자로 구성하고 전문기관의 인력을 반원으로 참여시킬 수 있다. 취약점분석․평가에 참여하거나 위탁받은 전문기관은 정보보호 관리규정을 수립하여 준수하여야 하고 취약점 분석․평가를 의뢰한 금융회사등에게 제출하여야 한다. 취약점 분석․평가를 종료한 때에는 결과보고서를 최고경영자(CEO : Chief Executive Officer)에게 보고하여 필요한 조치를 이행하고, 정기평가 결과보고서는 정기평가를 종료한 후 30일 이내에 금융위원회에 제출하여야 한다.

이행점검

금융위원회는 그 소속직원으로 하여금 금융회사등의 취약점 분석·평가 결과 및 그 이행 실태를 점검하게 할 수 있다. 금융위원회는 금융감독원장 및 평가전문기관의 장에게 이행 실태 점검을 위하여 인력 등 필요한 사항에 대한 지원을 요청할 수 있다. 금융위원회는 취약점 분석․평가가 부실한 금융회사 등에 대해서 이행실태 점검 결과를 통지하고 개선․보완을 요구할 수 있다.「정보통신기반보호법」제9조에 따라 취약점 분석·평가를 한 기관은 당해 연도에 한하여「전자금융감독규정」에 의한 취약점 분석·평가를 한 것으로 본다.

전산실 등 보호대책

전산실 등 주요 시설에 대한 상시 출입은 업무와 직접 관련이 있는 사전 등록자에 한하여 허용하고, 상시 출입이외 출입은 관리책임자의 승인을 받아 출입하며 출입자관리기록부에 기록․보관하여야 한다. 전산실 등 주요 시설에서 무선통신망 설치를 금지하고 차단장치를 마련하여야 한다.

단말기 보호대책

업무담당자 이외의 자가 단말기(개인용 컴퓨터 포함)를 무단으로 조작하지 못하도록 단말기별 취급자 및 비밀번호를 지정하고 화면보호기능을 부여하여야 한다. 중요 단말기는 외부 반출금지, 업무 전용단말기 지정·사용, 사전 지정용도 외 사용금지, 노트북(Laptop) 등 휴대용 전산장비 사용 금지 등 강화된 보호대책을 추가 수립․운용하여야 한다. 정보처리시스템에 접속하는 단말기 사용자의 인가 여부를 확인하고 사용자 로그인 비밀번호를 설정․사용하며 분기별 1회 이상 정기적으로 변경토록 하여야 한다.

비밀번호 및 주요행위 기록 보관

비밀번호는 생년월일, 주민등록번호, 전화번호 등을 포함하지 않은 숫자와 영문자 및 특수문자 등을 혼합하여 8자리 이상으로 부여하여야 한다. 모든 단말기에는 사용자의 주요업무 관련 행위에 대하여 로그기록 및 접근제어, 무선통신망 접속 차단 등 보호대책을 마련하여하여야 한다. 사용자가 단말기에서 업무와 무관한 정보가 저장된 USB 메모리 등 보조기억매체에 접근하는 것을 차단하여야 한다.

전산자료 보호대책

전산자료의 유출, 파괴 등을 방지하기 위하여 정보처리시스템 접근 시 5회 이내의 범위에서 미리 정한 횟수 이상의 접속 오류가 발생하는 경우 정보처리시스템의 사용을 제한하여야 한다. 단말기(개인용 컴퓨터 포함)에 주요정보를 보관하지 않도록 하고, 단말기를 공유하지 아니하여야 한다. 사용자가 전출, 퇴직 등 인사조치가 있을 때에는 지체 없이 해당 사용자 계정 삭제, 계정 사용 중지, 공동 사용 계정 변경 등 정보처리시스템에 대한 접근을 통제하여야 한다.

테스트 및 접근 권한

정보처리시스템에 대한 테스트를 할 때 실제 이용자 정보를 테스트 정보로 사용하지 아니하여야 한다. 부하테스트 등 사용이 불가피한 경우 이용자 정보를 변환하여 사용하고, 테스트 종료 즉시 삭제하여야 한다. 단말기와 전산자료의 접근권한이 부여되는 관리자의 주요 업무 관련 행위는 소관 업무 책임자가 이중 확인 및 모니터링 등의 조치를 실행하여야 한다.

정보처리시스템 보호대책

정보처리시스템의 안전한 운영을 위하여 정보처리시스템의 운영체계, 시스템 유틸리티 등의 긴급하고 중요한 보정(patch)사항이 발생하면 즉시 보정 작업을 실시하여야 한다. 중요도에 따라 정보처리시스템의 운영체제 및 설정내용 등을 정기 백업 및 안전지역(원격지를 말한다)에 소산하고 정기적 검증을 실시한 백업자료를 1년 이상 기록․관리하여야 한다.

해킹 등 침해행위 방지 대책

정보처리시스템 및 정보통신망을 해킹, 서비스거부(DoS : Denial of Service) 공격 등 침해행위로부터 방지하기 위하여 다음 사항을 포함한 대책을 수립․운용하여야 한다. 해킹, DoS공격 등 침해행위로 인한 사고를 방지하기 위한 침입탐지, 침입차단, DoS대응 등 적절한 정보보호시스템을 설치 및 운영, 해킹 등 침해행위에 대비한 시스템프로그램 등의 긴급하고 중요한 보정(patch)사항이 발생하면 즉시 보정작업을 실시, 내부통신망과 연결된 단말기에서 설치된 정보보호시스템을 우회한 인터넷 등 외부통신망(무선통신망 포함) 접속을 금지하고, 정보처리시스템 및 정보통신망에 대해서 매년 취약점 분석·평가를 실시한 후 이행계획을 수립․시행하여야 한다.

책임자 지정 등

정보보호시스템에 대하여 책임자를 지정․운영하여야 하며, 운영결과는 1년 이상 보존하여야 한다. 해킹 등 침해행위 발생 사실을 인지한 즉시 대처할 수 있도록 금융 ISAC과 연계 등 적절한 대책을 마련하여야 한다.

무선통신망 설치 시 준수사항

전산실 등 주요 시설이외시설에서 무선통신망을 설치․운용할 때에는 해킹 등 침해행위로 인한 사고에 대비하여 다음의 사항을 준수하여야 한다. 무선통신망 이용 업무는 최소한으로 국한하고 정보보호최고책임자의 승인을 받아 사전에 지정할 것, 무선통신망을 통한 불법 접속을 방지하기 위한 사용자인증, 암호화, 무선인터페이스(Interface)기능 통제, 무선접속장비(Access Point: AP) 접근 통제 등 보안대책을 수립할 것, 지정된 업무 용도와 사용 지역(zone) 이외 무선통신망 접속을 차단하기 위한 차단시스템 구축 및 실시간 모니터링체계를 운영할 것, 비인가 무선접속장비 설치·접속 여부, 중요 정보 노출여부 등 무선통신망에 대해 주기적 점검을 실시할 것 등이다.

악성코드 관련대책

악성코드 감염을 방지하기 위하여 필요한 대책을 수립․운용하고, 악성코드 확산 및 악성코드 감염으로 인한 피해를 최소화하기 위하여 금융ISAC과 연계 등 필요한 조치를 신속하게 취하여야 한다. 악성코드감염방지대책에 포함될 사항은 응용프로그램을 사용할 때에는 악성코드 검색프로그램 등으로 진단 및 치료 후 사용, 악성코드 검색 및 치료프로그램은 최신버전으로 유지, 악성코드 감염에 대비하여 복구 절차를 마련, 중요 단말기는 악성코드 감염여부를 매일 점검하여야 한다. 해킹 등 침해행위로부터 전자금융거래 및 관련 이용자 정보를 보호하기 위해 개인용 컴퓨터 등 이용자의 전자적 장치에 보안프로그램 설치 등 보안대책을 적용하여야 한다.

공개용 웹서버 관리 대책

홈페이지 등 공개용 웹서버의 안전한 관리를 위하여 적절한 대책을 수립․운용하여야 한다. 홈페이지 등 공개용 웹서버에 대해 취약점 분석․평가를 6개월마다 실시하고 이행계획을 수립․시행하여야 한다. 단말기(개인용 컴퓨터 포함) 등에서 음란, 도박 등 업무와 무관한 프로그램 또는 인터넷 사이트 접근 대한 통제대책을 강구하여야 한다. 공개용 웹서버 안전관리대책에 포함될 사항은 공개용 웹서버를 내부통신망과 분리하여 내부통신망과 외부통신망사이의 독립된 통신망에 설치하고 네트워크 및 웹 접근제어 수단으로 보호할 것, 공개용 웹서버에 접근할 수 있는 사용자계정을 업무관련자만 접속할 수 있도록 제한하고 불필요한 계정 또는 서비스번호(Port)는 삭제할 것,(단, 사용자계정은 아이디 및 비밀번호 이외에 공인인증서 등을 추가 인증수단으로 반드시 적용할 것) 공개용 웹서버에서 제공하는 서비스를 제외한 다른 서비스 및 시험․개발 도구 등의 사용을 제한할 것, DMZ 구간 내에 주요정보를 저장 및 관리하지 아니할 것(단, 거래로그를 관리하기 위한 경우에는 예외로 하되 이 경우 반드시 암호화하여 저장․관리하고 업무목적이 종료된 경우에는 주요정보 포함 거래로그 폐기 등 보호조치를 시행할 것) 등이다.

전자금융거래 프로그램 검증

악성코드를 이용한 전자금융사고에 대비하여 전자금융거래에서 이용자에게 제공하거나 거래를 처리하기 위한 전자금융거래프로그램(거래전문포함)의 위․변조 여부 등 무결성을 검증할 수 있는 방법을 제공하여야 한다. 전자금융거래프로그램 검증 방법(예시): 금융회사 등이 배포한 프로그램과 PC, 스마트폰 등 이용자의 전자적 장치에서 구동되는 프로그램의 파일크기․해쉬 결과 확인 등을 통해 프로그램 무결성 검증을 실시하여야 한다.

전자자금 이체 보안

부정한 전자자금이체로 인한 이용자의 피해를 최소화할 수 있도록 접근매체의 안전성 및 전자금융거래 이용수단의 보안성 등을 고려하여 이용자의 세부 이체한도를 설정하고 각각에 따라 적합한 거래이용수단 적용 등 적절한 보안대책을 마련하여 시행하여야 한다. 거래이용수단(예시): 공인인증서, 2 channel 인증, 보안토큰(HSM: Hardware Security Module), OTP(One Time Password) 인증, 휴대폰SMS인증, 보안카드 등의 대책을 강구하여야 한다. <다음호에 계속>

참고자료

전자금융거래법 [시행 2012.9.2] [법률 제11461호, 2012.6.1, 타법개정] 금융위원회(전자금융팀)

전자금융감독규정 [시행 2011.10.10] [금융위원회고시 제2011-18호, 2011.10.10, 전부개정] 금융위원회(은행과)

금융회사 정보기술(IT)부문 보호업무 모범규준 2012. 10, 금융위원회, 금융감독원

IT 검사매뉴얼 2006. 금융감독원

김려성, 공공기관의 정보시스템 감리 시행, 감사저널 2007.3. (사)한국감사협회

김려성, 은행, 증권, 보험 등 금융회사의 IT부문 내부통제방법론 도입, 감사저널 2007.4. (사)한국감사협회

김려성, 전산감사 용어론(電算監査 用語論), 감사저널 2007.5. (사)한국감사협회

김려성, IT 건강진단, 우리 회사의 IT는 얼마나 건강할까? 감사저널 2007.6. (사)한국감사협회

김려성, 정보기술 다스리기(IT Governance), 감사저널 2007.8. (사)한국감사협회

김려성, 정보보호[情報保護] 버그(Bug)가 살고 있는 컴퓨터, 감사저널 2007.9. (사)한국감사협회

김려성, 정보보호[情報保護] 누가 우리(IT)를 괴롭히는가?, 감사저널 2007.11. (사)한국감사협회

김려성, 감사실무의 정보화, 감사절차(監査節次)의 자동화, 감사저널 2008.2. (사)한국감사협회

김려성, 정보보호[情報保護] 해커(Hacker)냐? 보안관이냐? 감사저널 2008.3. (사)한국감사협회

김려성, [정보시스템 범죄 수사] cyber범죄의 전자증거 제출, 컴퓨터 포렌식(Computer Forensic), 감사저널 2008.4. (사)한국감사협회

김려성, 감사실무의 정보화 감사실 정보화! 이것이 알고 싶다, 감사저널 2008.5. (사)한국감사협회

김려성, 정보보호[情報保護] IT 가상 전쟁, 감사저널 2008.6. (사)한국감사협회

김려성, IT감사, 리스크 관리[Risk Management] 너는 누구냐?, 감사저널 2008.7. (사)한국감사협회

김려성, IT 감사-GRC(Governance Risk management Compliance) 指向 ‘e-감사’에센스(Essence), 감사저널 2008.11. (사)한국감사협회

김려성, IT내부통제와 IT감사, 제9기 내부감사연수에서 강의 2009.6.24.~26, (사)한국감사협회

김려성, 감사실무의 정보화, 감사실 정보화! 이것이 알고 싶다, 소프트꼬레아(Soft Corea) 2010.6.15. (주)진한엠엔비

Ron Weber 김태성 옮김 INFORMATION SYSTEMS CONTROL AND AUDIT 정보시스템 통제 및 감사 -정보보안관리- 2003.7.15. 청문각 발행

김현수, 정보시스템 진단과 감리 1999.6. 법영사 발행

정보과학회지 2012.1 제30권 제1호 통권272호, 특집 제목: 보안 참조

IT Governance Institute COBIT 4.0, 황경태 번역, ISACA KOREA CHAPTER, 한국정보시스템 감사통제협회