금융권 망분리 규제개선, 여전히 부가 조건 부여돼 자율보안 발목 잡아
원칙 중심의 금융권 자율보안 정책, 보안수준 하향 평준화될 수 있어
보안기업 간의 협업과 신기술 및 제품 개발 등은 풀어야할 과제
[보안뉴스 김경애 기자] 금융권 망분리 규제개선을 두고 다양한 의견이 제기됐다. 정책은 원칙 중심의 금융권 자율보안이지만 여전히 부가 조건이 부여돼 발목을 잡고 있다는 의견과 함께 자율보안 정책시 보안수준이 하향 평준화될 수 있다는 우려, 그리고 보안 솔루션 간의 연동 미흡 등 보안기업 간의 협업과 기술의 한계 역시 풀어야할 과제로 제시됐다.
▲금융권 망분리 규제개선 세미나에서 정보보호 활성화를 위한 망분리 규제개선 대응방안이 논의됐다[사진=보안뉴스]
좌장을 맡은 SGA솔루션즈 최영철 대표는 금융권 망분리 규제개선 세미나에서 정보보호 활성화를 위한 망분리 규제개선 대응방안에 대한 다양한 의견을 주문하며, 정보보호산업 발전의 중요성을 강조했다.
먼저 사스(SaaS) 사용시 위탁계약이 별도로 필요하다는 기존 지침과 현재 국정원이 추진하는 다층보안체계와 연동되지 않는다는 점은 아쉬운 부분이라는 의견이 제기됐다.
토스증권 지정호 CISO는 “금융보안 정책이 기존의 규칙(Rule) 방식에서 새로운 원칙(Principle) 방식으로 바뀌는 부분에 대해서는 환영한다”면서도 “그러나 SaaS 서비스 사용 시 SaaS 서비스 제공자 또는 CSP와의 제3자 관리 위탁계약이 별도로 필요하다는 기존 지침과 현재 국가정보원이 추진하고 있는 망분리 개선 정책인 다층보안체계(Multi-Level Security)의 기술적·정책적 방향과 연계되고 있지 않다는 점은 아쉽다”고 밝혔다.
또한 지정호 CISO는 “국내 보안기업에서는 단일 솔루션이 아닌 통합 형태의 솔루션과 서비스가 제시돼야 한다”며 “보안기능 측면에서는 다기능보다는 중요한 핵심 기능의 완전한 구현이 필요하다”고 말했다. 특히 망분리 개선 환경에서는 제로트러스트와 같은 차세대 보안 기술들이 적용돼야 한다고 강조했다.
상명대 유진호 교수는 “원칙 중심의 보안정책이 정보보안 업체들에게 기회가 될 수도 있고 위협이 될 수도 있다”며 “정보보호 역량이 떨어지거나 투자 여력이 없는 기업들의 보안수준을 하향 평준화시킬 수 있다”고 우려했다.
이어 유진호 교수는 “글로벌 보안기업의 트렌드처럼 국내 보안기업들도 SECaaS 클라우드 보안 서비스 개발에 투자해야 하며, 이것이 국내 보안산업의 기초가 돼야 한다”고 설명했다. 또한 “금융권 망분리 개선정책 2단계에서 클라우드 CSP 사용 시 데이터 저장 및 보관 측면에서 CSP 해외 이전이 가능할 수 있도록 개방하는데, 이는 데이터 주권 관점에서 다양한 검토가 필요하다”고 덧붙였다.
안랩 클라우드메이트 최광호 COO는 “SaaS 및 생성형 AI 서비스 사용 시 쉐도우(Shadow) IT의 위험성을 줄일 방안이 필요하다”며 “관리되지 않은 단말의 접속이나 관리되지 않는 시스템들은 보안에 있어 큰 위험이 될 수 있다. 다수의 SaaS를 사용하면서 SaaS와 SaaS 간 발생할 수 있는 API 기반 연동 서비스에 대한 보안성 강화가 요구되고, 모바일 단말 사용의 경우에는 보안위협 요소가 더 많기 때문에 SWG(Secure Web Gateway) 등과 같은 네트워크 보안 기술이 더 필요하다”고 설명했다.
또한 클라우드 구성 환경의 경우 상위 보안체계를 제공하는 상위 기관의 보안체계 연동을 위해 시큐리티 랜딩존 같은 방식의 보안체계 연동 방식도 필요하다고 덧붙였다.
솔루션 벤더 관점에서는 SECaaS 기반의 보안 서비스 제공 시 수요 기관과 해당 기관의 상위 보안기관과의 보안 연계성 제공을 위해 수요기관별로 별도의 연동 과업이 발생하는데, 이는 보안 솔루션 벤더 기업 관점에서 비용 부담이 될 수 있어 논의가 필요하다는 의견도 제기됐다.
아울러 제로트러스트와 같은 새로운 보안체계의 기술 도입도 필요하나, 내부 위험관리 측면에서 XDR 등 위험관리 기술의 선제적 도입이 필요하다는 설명이다.
NNSP 김기현 부사장은 금융권 망분리 규제개선에 있어 생성형 AI 사용, 내부망 SaaS 이용, 연구개발망 논리적 분리 등이 국정원이 추진하는 다층보안체계(Multi Level Security)와 유사하다고 분석하며 제로트러스트 보안기술 적용을 제시했다.
이어 김 부사장은 통합보안 등 신기술 및 제품 개발의 중요성을 강조하면서 “현재 금융권 망분리 규제개선 안의 SaaS 이용 구성도를 보면 내부 업무망 단말과 외부 클라우드 서비스 간 연결에서의 보안 강화를 위해 다양한 보안기술이 필요해 보인다”며 “보안기업 간의 협업, 통합 공동 실증사업 등을 통해 솔루션을 구성하고 연동을 추진해야 한다”고 강조했다.
[김경애 기자(boan3@boannews.com)]
원칙 중심의 금융권 자율보안 정책, 보안수준 하향 평준화될 수 있어
보안기업 간의 협업과 신기술 및 제품 개발 등은 풀어야할 과제
[보안뉴스 김경애 기자] 금융권 망분리 규제개선을 두고 다양한 의견이 제기됐다. 정책은 원칙 중심의 금융권 자율보안이지만 여전히 부가 조건이 부여돼 발목을 잡고 있다는 의견과 함께 자율보안 정책시 보안수준이 하향 평준화될 수 있다는 우려, 그리고 보안 솔루션 간의 연동 미흡 등 보안기업 간의 협업과 기술의 한계 역시 풀어야할 과제로 제시됐다.
▲금융권 망분리 규제개선 세미나에서 정보보호 활성화를 위한 망분리 규제개선 대응방안이 논의됐다[사진=보안뉴스]
좌장을 맡은 SGA솔루션즈 최영철 대표는 금융권 망분리 규제개선 세미나에서 정보보호 활성화를 위한 망분리 규제개선 대응방안에 대한 다양한 의견을 주문하며, 정보보호산업 발전의 중요성을 강조했다.
먼저 사스(SaaS) 사용시 위탁계약이 별도로 필요하다는 기존 지침과 현재 국정원이 추진하는 다층보안체계와 연동되지 않는다는 점은 아쉬운 부분이라는 의견이 제기됐다.
토스증권 지정호 CISO는 “금융보안 정책이 기존의 규칙(Rule) 방식에서 새로운 원칙(Principle) 방식으로 바뀌는 부분에 대해서는 환영한다”면서도 “그러나 SaaS 서비스 사용 시 SaaS 서비스 제공자 또는 CSP와의 제3자 관리 위탁계약이 별도로 필요하다는 기존 지침과 현재 국가정보원이 추진하고 있는 망분리 개선 정책인 다층보안체계(Multi-Level Security)의 기술적·정책적 방향과 연계되고 있지 않다는 점은 아쉽다”고 밝혔다.
또한 지정호 CISO는 “국내 보안기업에서는 단일 솔루션이 아닌 통합 형태의 솔루션과 서비스가 제시돼야 한다”며 “보안기능 측면에서는 다기능보다는 중요한 핵심 기능의 완전한 구현이 필요하다”고 말했다. 특히 망분리 개선 환경에서는 제로트러스트와 같은 차세대 보안 기술들이 적용돼야 한다고 강조했다.
상명대 유진호 교수는 “원칙 중심의 보안정책이 정보보안 업체들에게 기회가 될 수도 있고 위협이 될 수도 있다”며 “정보보호 역량이 떨어지거나 투자 여력이 없는 기업들의 보안수준을 하향 평준화시킬 수 있다”고 우려했다.
이어 유진호 교수는 “글로벌 보안기업의 트렌드처럼 국내 보안기업들도 SECaaS 클라우드 보안 서비스 개발에 투자해야 하며, 이것이 국내 보안산업의 기초가 돼야 한다”고 설명했다. 또한 “금융권 망분리 개선정책 2단계에서 클라우드 CSP 사용 시 데이터 저장 및 보관 측면에서 CSP 해외 이전이 가능할 수 있도록 개방하는데, 이는 데이터 주권 관점에서 다양한 검토가 필요하다”고 덧붙였다.
안랩 클라우드메이트 최광호 COO는 “SaaS 및 생성형 AI 서비스 사용 시 쉐도우(Shadow) IT의 위험성을 줄일 방안이 필요하다”며 “관리되지 않은 단말의 접속이나 관리되지 않는 시스템들은 보안에 있어 큰 위험이 될 수 있다. 다수의 SaaS를 사용하면서 SaaS와 SaaS 간 발생할 수 있는 API 기반 연동 서비스에 대한 보안성 강화가 요구되고, 모바일 단말 사용의 경우에는 보안위협 요소가 더 많기 때문에 SWG(Secure Web Gateway) 등과 같은 네트워크 보안 기술이 더 필요하다”고 설명했다.
또한 클라우드 구성 환경의 경우 상위 보안체계를 제공하는 상위 기관의 보안체계 연동을 위해 시큐리티 랜딩존 같은 방식의 보안체계 연동 방식도 필요하다고 덧붙였다.
솔루션 벤더 관점에서는 SECaaS 기반의 보안 서비스 제공 시 수요 기관과 해당 기관의 상위 보안기관과의 보안 연계성 제공을 위해 수요기관별로 별도의 연동 과업이 발생하는데, 이는 보안 솔루션 벤더 기업 관점에서 비용 부담이 될 수 있어 논의가 필요하다는 의견도 제기됐다.
아울러 제로트러스트와 같은 새로운 보안체계의 기술 도입도 필요하나, 내부 위험관리 측면에서 XDR 등 위험관리 기술의 선제적 도입이 필요하다는 설명이다.
NNSP 김기현 부사장은 금융권 망분리 규제개선에 있어 생성형 AI 사용, 내부망 SaaS 이용, 연구개발망 논리적 분리 등이 국정원이 추진하는 다층보안체계(Multi Level Security)와 유사하다고 분석하며 제로트러스트 보안기술 적용을 제시했다.
이어 김 부사장은 통합보안 등 신기술 및 제품 개발의 중요성을 강조하면서 “현재 금융권 망분리 규제개선 안의 SaaS 이용 구성도를 보면 내부 업무망 단말과 외부 클라우드 서비스 간 연결에서의 보안 강화를 위해 다양한 보안기술이 필요해 보인다”며 “보안기업 간의 협업, 통합 공동 실증사업 등을 통해 솔루션을 구성하고 연동을 추진해야 한다”고 강조했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
