망분리 개선 든든히 지원…금융보안원 “연말 ‘자율보안 프레임워크’ 제공”
금융권은 현재 격변의 시대를 겪고 있다. 지난 8월 나온 망분리 개선 로드맵이 기대와 혼란을 동시에 가져왔다. 망분리 규제가 풀리면서 클라우드나 생성 인공지능(AI) 활용이 더 자유로워진다. 반면 얼마나 어떻게 망분리가 풀리고 보안은 어떻게 지켜야 하는지 고민도 적지 않다.
금융보안원도 고민을 잘 알고 있다. 업계를 돌면서 현장의 이야기를 들었고 장기적으로는 새로운 금융 보안체계를 구축하는 데 힘을 보태기로 했다. 특히 올 연말 금융권이 참고할 수 있는 자율보안 프레임워크를 제공함으로써 변화의 시기를 맞은 금융권을 적극 지원한다는 계획이다.
서호진 금융보안원 금융혁신지원팀장은 29일 <바이라인네트워크>가 양재 엘타워에서 개최한 ‘2024 금융 테크 컨퍼런스’에서 “망분리 개선안에 대한 금융권의 궁금증이 큰 상황”이라며 “올 연말쯤 자율 보안 프레임워크 초안을 제공하겠다”고 밝혔다.
규제 개선 로드맵, 무엇이 달라지나
현재 금융 망분리 규제 개선 로드맵은 1단계로 ▲연구개발망의 망분리 예외 허용 ▲서비스형소프트웨어(Saas)의 활용도 제고 ▲생성AI 사용 허용 등에 초점을 맞췄다.
연구개발망은 지난 2022년 망분리 대상에서 제외되긴 했지만 여전히 내부망과는 단절된 네트워크로 구축해야 하는 애로 사항이 있었다. 업무 단말과 연구개발 단말을 따로 사용하고 백신도 따로 써야 하는 불편함이 있어서다. 당연히 비용 부담이 발생했고, 연구개발한 결과물을 내부망으로 보내는 것도 불가능했다.
SaaS 활용도 협업도구나 인사관리와 같은 비중요 업무에만 허용돼 왔다. 모바일 기기에서의 활용도 막혀 있었다. 특히 클라우드 기반으로 돌아가는 생성AI 솔루션을 쓸 수 없는 건 큰 불편함을 초래했다. 사실상 시대의 흐름을 못 따라가고 있던 셈이다.
규제 개선 로드맵에 따르면, 앞으로는 물리적으로 분리했던 연구개발망과 업무망 사이를 논리적 분리로 바꾸고 연구개발한 결과물의 망간 이동 편의를 확대하기로 했다. 연구개발한 혁신 서비스의 현장 적용이 더 빨라질 수 있다. 또 업무망에서 활용할 수 있는 SaaS의 범위와 활용할 수 있는 데이터 범위도 확대한다. 가명처리된 개인신용정보를 SaaS에서 활용할 수 있도록 풀고, 협업툴과 ERP 정도에 머물던 솔루션 범위도 보안, 고객관리, 업무자동화 등을 추가로 허용한다.
무엇보다 생성AI 활용이 보다 쉬워진다. 금융사가 생성AI를 활용해 가명처리된 개인신용정보까지 처리할 수 있도록 규제 특례를 허용할 방침이다. 이제까지는 국내에 서버가 없는 해외 AI 모델은 가명 정보라도 처리할 수 없었지만 관계 부처가 법령을 다듬어 법적 근거를 만들기로 했다.
금융권 입장에서는 시장에서 적극 활용되는 생성AI 솔루션 등 SaaS를 보다 자유롭게 활용하며 연구개발한 결과물을 서비스에 십분 반영할 수 있는 토대가 마련됐다.
다음 스텝은?
꽤 많은 변화가 이뤄지긴 했지만 사실 로드맵의 1단계에 불과하다. 2단계 절차를 통해 1단계 내용에 담겼던 규제 특례를 제도화하고 특례를 늘리는 방안을 검토한다. 가장 중요한 건 3단계다. 사실상 로드맵의 최종 목표다. 디지털금융보안법(가칭)이 만들어지고 금융권은 당국 가이드에 따라 자율적인 보안 강화에 나서야 한다.
서호진 팀장은 “보안을 기술 영역으로 한정하지 않고 회사의 주요 리스크로 인식하는 체계가 확립돼야 한다”며 “보안에 대한 경영진의 이해와 관심이 높아져야 한다”고 강조했다.
이제까지는 제도에 따라 열거된 규정만 준수하면 됐지만, 이제는 금융사가 스스로 보안을 강화하고 사고가 나면 책임도 더 강하게 지운다. 여기서 금융보안원이 이 같은 시대를 맞는 현장의 걱정을 해소해주기로 했다.
금융보안원은 올해 말 자율보안 프레임워크를 통해 현장이 참고할 기준을 제시한다는 계획이다. 거버넌스를 비롯해 ▲위험 식별·관리 ▲내부통제 및 보호 ▲탐지 및 대응 ▲공급망 ▲복원력 등 6개 분야를 정의하고 관련 프레임워크 개발을 단계적으로 진행한다. 자율보안 수준을 진단할 수 있는 도구를 업계에 제공하고, 이에 따라 프레임워크의 세부사항을 설계할 방침이다.
서 팀장은 해외 금융권의 선진사례를 참고해 국내 환경에 맞는 프레임워크를 선도적으로 개발해야 한다고 강조했다. 국내에서 첫 시도인 만큼 해외를 벤치마킹해 성공 가능성을 높이자는 이야기다.
그는 “회사의 보안 수준이 수치로 나오기 때문에 경영진의 보안 관심도가 높아지는 선순환 구조가 생길 수 있다”며 “좋은 정책이 나올 수 있도록 최선을 다 하겠다”고 말했다.
글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network