금융보안원 “해외 금융권, 회사별 위험 따라 보안체계 운영”
금융보안원은 미국과 일본 등 주요국 금융권의 자율보안체계 운영 현황을 조사했다고 30일 밝혔다.
이번 조사는 인공지능(AI)과 클라우드 확산에 대응해 국내 금융회사의 자율보안 역량을 강화하기 위해 진행했다. 자율보안체계는 금융회사가 업무 특성과 위험 수준을 자체 평가하고 이에 맞는 보안 대책을 수립·개선하는 방식이다.
금융보안원은 국내 금융권이 외부 연결을 차단하는 망분리 중심의 보안체계를 운영해 왔다고 설명했다. 금융 분야의 AI 활용이 늘고 미토스(Mythos) 같은 고성능 AI 위협이 등장하면서 경계 기반 통제만으로는 새로운 위협에 대응하기 어렵다고 분석했다.
조사 결과 미국과 일본, 유럽연합(EU), 홍콩은 정부나 민간이 마련한 보안체계를 기반으로 금융회사가 자체 보안 수준을 점검하고 있다. 일률적인 통제를 적용하는 대신 회사의 업무 특성과 위험 수준에 따라 보안 조치의 범위와 강도를 정한다.
미국 금융권은 미국 국립표준기술연구소(NIST)의 사이버보안 프레임워크(CSF)를 활용한다. CSF는 거버넌스와 식별, 보호, 탐지, 대응, 복구 등 사이버위험 관리 전반을 점검하는 기준이다.
민간 비영리단체 사이버리스크연구소(CRI)는 CSF를 금융 환경에 맞게 재구성한 ‘CRI 프로파일(CRI Profile)’을 개발했다. CRI 프로파일은 7개 분야 318개 항목으로 구성됐다. 금융회사의 규모와 위험 수준에 따라 평가 항목을 다르게 적용한다. 미국 재무부와 다수 금융회사도 이를 활용하고 있다.
미국 통화감독청(OCC)은 은행의 사이버보안 수준을 점검하는 ‘사이버보안 감독 업무(CSW)’를 운영한다. CSW는 식별과 보호, 탐지, 대응, 복구, 특수영역 등 6개 분야 89개 항목으로 구성됐다.
일본 금융청(FSA)은 금융권 사이버보안 가이드라인을 마련했다. 가이드라인은 관리체계 구축과 위험 인식, 공격 방어, 탐지, 대응·복구, 제3자 위험 등 6개 분야 18개 항목을 다룬다. 항목별 기본 조치와 고도화된 권고 조치를 구분해 제시한다.
EU는 디지털운영복원력법(DORA)을 통해 금융회사가 정보통신기술(ICT) 위험을 자체 평가하고 위험 수준과 조직 규모, 영향도에 따라 보안 조치를 적용하도록 규정한다.
홍콩 금융관리국은 사이버복원력 평가체계(C-RAF)를 운영한다. 금융회사는 자체 위험 수준을 측정한 뒤 보안통제 성숙도를 평가한다. 모의해킹을 통해 실제 대응 역량도 검증한다.
국내 금융권은 금융보안원이 지난 2월 공개한 ‘금융보안 수준진단 프레임워크’를 기반으로 자체 보안 진단을 진행하고 있다. 금융보안원과 금융회사는 CRI 프로파일 등 해외 사례를 참고해 국내 금융 환경에 맞는 진단 기준을 공동 개발했다.
금융보안원은 올해 금융회사 18곳을 대상으로 현장 진단을 지원한다. 전화·이메일 상담과 실무자 교육도 제공한다. 해외 사례를 반영해 진단체계를 고도화하고 금융회사의 보안 운영 사례를 발굴·공유할 계획이다.
박상원 금융보안원 원장은 “고성능 AI 위협 확산으로 금융회사가 스스로 보안 수준을 진단하고 개선하는 자율보안체계의 중요성이 커지고 있다”며 “금융보안 수준진단 프레임워크를 기반으로 금융회사의 자율보안 역량을 높일 수 있도록 지원하겠다”고 말했다.
글. 바이라인네트워크
<곽중희 기자>god8889@byline.network



