금보원, 금융보안 프레임워크 개발…12월 가이드 발표 예정

정부가 금융보안의 새로운 체계 도입을 추진하고 있다. 기존 규칙 중심의 금융보안 체계 대신 ‘원칙중심-결과책임’이라는 새로운 금융보안체계 구축을 추진하는 것이다.

업무에 사용하는 기기의 다양화, AI 등 신기술 등장, 업무 형태의 다양화, 공급망 해킹 등 사이버 위협이 복잡 다변화되었고, 글로벌 빅테크 등 제3자 기술을 사용하는 사례가 늘어나면서 기존 행위규칙 중심의 금융보안 체계로는 새로운 리스크에 효과적으로 대응하기에 한계가 있다고 판단했다.

오중효 금융보안원 자율보안/디지털전략본부 본부장은 지난 달 26일 바이라인네트워크가 개최한 <2025 금융 테크 컨퍼런스>에서 “기존의 세세한 행위 규칙 중심의 규제를 벗어나 ‘원칙 중심’의 자율보안 체계로의 대전환을 추진 중”이라고 밝혔다.

이를 위해 금융보안원은 ‘금융보안 프레임워크’를 개발, 신금융보안체계의 안정적 정착을 지원한다는 방침이다. 금융회사 스스로 보안 리스크를 식별·관리하면서, 보안문화와 책임의식을 성숙시킬 수 있도록 하겠다는 것이다.

금보원이 새롭게 만들고 있는 프레임임워크는 미국 국립표준기술연구소(NIST)의 CSF(CyberSecurity Framework)와 ‘CRI 프로파일’을 토대로 수준진단 항목을 개발했다. 여기에 국내 금융회사가 준수해야 할 전자금융거래법령 및 ISMS-P 내용 등을 추가했으며 성숙도 등급을 4단계로 구분했다.

금보원은 금융보안 프레임워크 작업반을 지난 4월부터 8월까지 운영하면서 새로운 프레임워크를 구성해 9월부터 시험테스트를 진행하고 있다. 이 기간 동안 금융보안 수준진단 항목의 실효성을 검증하고 모범사례를 발굴하여 프레임워크를 개선할 방침이다.

12월에는 금융보안 수준진단 항목, 모범사례 등을 종합하여 금융회사의 보안역량 제고를 위한 단계적 수행방안을 담은 가이드를 개발해 발표할 예정이다. 이후 금보원은 2026년부터 ‘자율보안평가팀’을 신설하여 진단 서비스도 본격화한다.

긍융보안 프레임워크는 각 분야별로 조직의 보안 수준을 Initial → Defined → Managed → Advanced로 나눠 평가할 수 있도록 구성되어 있으며, 이를 통해 금융회사의 자율 보안체계 수준을 정량적・정성적으로 파악하고 개선 방향을 수립할 수 있다.

이 프레임워크는 금융회사의 정보보호 활동별로 7대 분야에서 47개 항목, 135개 세부원칙으로 구성돼 있다. 금융회사가 스스로 자산 및 리스크를 식별・관리하고, 보안수준을 자율적으로 진단・개선할 수 있도록 가이드 제공하는 것이 목적이다.

7개 분야는 ① 거버넌스 ② 식별 ③ 보호 ④ 탐지 ⑤ 대응 ⑥ 복구 ⑦ 공급망 등이다.

거버넌스는 경영진의 참여, 전략 수립, 보안 정책, 인력/자원 확보 등에 대한 내용을 담고 있고 식별은 자산 식별, 중요도 평가, 위험 평가 및 대응 계획 등을 다룬다. 보호는 인증, 암호화, 접근통제, 로그관리, 백업, 패치관리 등 전반적 보안 기술을 규정하고, 탐지는 이상 행위 탐지, 내부자 모니터링, 탐지 규칙 설정 등이다. 대응은 사고 발생 시 대응 체계, 분석・관리, 재발 방지 등을 규정하고 있으며 복구는 사고 후 안전한 복구 및 보안성 점검을 다루며, 공급망은 외부 공급사 관리, 계약 요건 정의, 출구 전략 등을 다룬다.

오중효 본부장은 “이제 금융보안은 규제를 넘어서 각 회사의 환경과 리스크에 맞는 자율적・선제적 대응 역량 확보가 핵심”이라며 “이번 프레임워크가 국내 금융권 보안 체계의 표준이 될 것으로 기대된다”고 전했다.

글. 바이라인네트워크
<심재석 기자>shimsky@byline.network