생성형 AI, SaaS 활용, R&d 분야 활성화 등 효율성 제고로 기관-소비자 간 윈윈 구조 형성
경계기반 모델 한계점 극복 노력...올해 제로트러스트 시범 도입 12월까지 모델링 진행 중
이글루코퍼레이션, ‘전자금융 보안의 망분리 개선 정책과 다층보안체계(MLS)’ 소개
[보안뉴스 김영명 기자] 비대면 금융거래 활성화 및 인터넷 은행 출현, 빅데이터 활용 등 금융기관의 인터넷 이용이 활성화되면서 금융기관 대상 대규모 해킹 사건도 발생하고 있다. 이에 따라 금융위원회는 전자금융 보안정책 방향과 보안성 향상 방안 로드맵을 구성했다. 현재 금융보안 기반의 망분리 환경과 공동인증서 등 다양한 인증시스템 도입, 개인정보 처리 등 여러 법률이 제·개정됐다.
▲전자금융 보안정책 및 활용·개선 방안 타임라인[출처=금융위원회, 재구성=이글루코퍼레이션]
금융위원회는 2015년 4월 금융보안원이 공식 출범한 이후 전자금융 보안 분야는 활용에 비중을 두고 2015년에는 금융보안 과잉규제 개선, 공인인증서 및 보안 프로그램 Active X 폐지, 2019년 금융결제 인프라 혁신방안을 발표했다. 이어 2020년 디지털금융 종합 혁신방안, 2022년 금융분야 클라우드 및 망분리 규제 개선 방안, 금융보안 규제 선진화 방향을 발표했다. 올해는 전자금융 감독규정 개정안 규정 변경 예고와 함께 금융분야 망분리 개선 로드맵이 발표됐다.
2022년부터 전자금융 보안 분야에서는 클라우드 도입 문제와 망분리를 개선하기 위한 다양한 연구와 논의를 진행해왔다. 금융위원회는 안전한 전자금융 보안 구축을 위해 망분리를 의무화했지만, 외부 통신망과 분리·차단, 내·외부망의 물리적인 분리는 디지털 신기술의 도입과 활용에 걸림돌이라는 의견이 이어졌다. 대표적으로 클라우드 시스템, 빅데이터 활용, 생성형 AI를 활용한 시스템 구축 등 외부망 연결이 필요한 경우 현재의 망분리 환경으로는 신기술 구현이 어렵다는 지적이다. 이를 완화하기 위해 망분리 적용 예외 규정을 두었지만, 예외 규정의 허가조건은 금융감독원장의 확인 등 문턱이 높았다. 또한, 비조치 의견서도 매년 꾸준히 증가했다.
2023년에 발표된 주요 망분리 비조치 의견으로는 연구·개발망으로 재택근무 등 원격 접속 가능 여부, 망연계 솔루션을 통한 내·외부망 연계가 망분리 규정에 위반되는지 여부, 내부망에서 챗GPT(ChatGPT) 등 외부 서비스 이용이 업무상 불가피할 경우 해당 부분이 망분리 예외로 적용이 가능한지 여부 등이 논의됐다. 이 가운데 챗GPT 등 외부 서비스 이용이 불가피할 경우 망분리 예외를 둘 수 있는지에 대해서는 단순 정보 취득과 업무 편의를 위해서는 불가능했다. 금융위원회는 기존 망분리 환경을 개선해 2020년 디지털금융 종합 혁신방안을 이어나가고, 자율보안체계와 신기술 활용이 가능한 전자금융 체계를 만들기 위해 망분리 개선안을 제시했다.
망분리 개선정책의 추진 방향과 과제는
2013년부터 이어진 망분리 규제안의 변경은 매우 어려운 일이다. 따라서 망분리 개선 정책의 추진방향 3가지 중 첫 번째로 ‘점진적인 단계적 개선 추진’을 목표로 했다. 금융회사의 보안 책임성을 제고하는 법·제도 마련 전에 사전 준비 없이 규제를 완화하면 보안사고 우려가 있으며, IT 환경에 변화가 있을 때는 규제특례를 활용해 빠르게 해결할 수 있기 때문이다.
두 번째는 최고경영자·이사회의 보고 의무, CISO 권한 확대 등을 통해 내부 보안체계를 강화하고, 검증결과가 미흡하면 시정요구와 이행명령으로 금융권의 보안수준을 스스로 높이도록 유도한다는 것이다. 세 번째는 규제 개선에 따라 금융회사 비용 절감, 금융데이터 사용으로 연구·개발 활용도 상승, 생성형 AI를 통한 분석·예측 고도화 등 업무 효율성 제고에 따른 이익을 소비자와 공유해 윈윈 구조를 만드는 것이다. 이 가운데 규제특례의 규정 방법이 가장 큰 관건이다.
▲금융기관 망분리 개선정책의 1단계 추진 과제 구성도[출처=금융위원회]
첫 번째 규제 샌드박스 ‘생성형 AI’
현재 생성형 AI는 클라우드 기반 인터넷 환경에서만 제공되며 망분리 환경에서는 제약이 있다. 이는 국내 서버가 아닌 해외 AI 모델을 사용할 경우 개인신용 정보의 처리 및 보관이 불가능하기 때문이다. 이러한 문제점으로 금융회사가 생성형 AI를 활용해 가명 처리된 개인신용 정보까지 처리하도록 규제 특례를 허용할 것이며 관련 법령에 대해 관계 부처와 협업해 점차 개선할 예정이다. 또한 자율 보안체계 확립을 위해 보안 거버넌스가 올바르게 작동하는 기업은 규제 샌드박스 심사 시 가점을 줘 자율 보안체계 이행 금융기업에 많은 기회가 부여되는 방안이다.
두 번째 규제 샌드박스 ‘클라우드 기반 응용프로그램(SaaS) 활용’
현재 규제 샌드박스를 통해 업무망에서도 SaaS 사용이 가능하지만 엄격한 조건으로 활용에 제약이 따른다. 대표적으로 고객의 개인신용정보 처리 불가, 협업 금지, 인사 시스템과 관련된 내용만 허용, 모바일 단말 금지로 제한적으로만 사용돼 왔다. 이러한 제약사항을 규제 샌드박스를 통해 업무망에서도 SaaS 활용 범위를 대폭 확대해 가명처리된 개인 신용정보 허용, 보안/고객관리/업무자동화에서 사용 가능, 모바일 단말기에서도 사용 가능하도록 개선할 예정이다. 또한 자율 보안체계를 이행하는 금융기업에게 가점을 줘 많은 기회를 제공하게 된다.
세 번째 규제 샌드박스 ‘연구·개발분야 망분리 개선’
2년 전 연구·개발 환경에서 인터넷 활용 규제가 개선·완화됐지만, 이후에도 물리적 분리 및 개인신용 정보 활용 금지 규제로 제약이 크다는 지적이 있었다. 이를 해결하기 위해 전자금융 감독규정을 개정해 금융회사 등이 연구·개발 결과물을 보다 간편하게 이관하도록 물리적 분리 규정 완화, 개인신용정보 직접 처리로 가명정보 사용 허용, 데이터의 활용범위를 증가시켜 혁신적인 금융상품의 개발환경을 제공할 방침이다. 또한, 규제 샌드박스 운영 성과와 안정성이 검증되면 개인신용 정보까지 직접 처리하도록 규제를 완화해 연구·개발망을 활성화할 예정이다.
금융보안 망분리 개선안의 핵심, ‘제로트러스트 아키텍처와 다층보안체계’
기존 경계기반 모델에서는 내부망과 외부망 사이 경계선을 둬 내부자의 신뢰와 외부자를 신뢰하지 않음을 바탕으로 구성됐다면, 제로트러스트 아키텍처 보안 모델은 모든 사용자를 신뢰하지 않고 철저한 확인을 통해 필요한 만큼의 접근 권한을 제공한다. 이제는 전통적인 경계기반 모델의 한계점 극복을 위한 대체 보안 전략의 필요성이 대두되고 있다.
▲경계기반 보안모델과 제로트러스트 아키텍처 보안모델 비교[자료=이글루코퍼레이션]
현재 경계기반 모델에서 VPN을 통해 기업 내부망에 접속하면 신뢰성이 크다. 그러나 VPN 사용 업무환경은 원격지 접속 시 서버정보 노출과 함께 접속 후 내부 네트워크 상의 다른 네트워크 자원에 접근가능해 보안 위협요소가 크다. 이를 해결하기 위해 제로트러스트 보안모델 도입 시 사용자 자격증명 위조 여부 확인 후 비인가자에 대한 접근으로 판단되면 권한을 박탈한다. 내부자 접근도 강력한 인증을 거쳐 최소한의 데이터 접근으로 피해를 최소화할 수 있다.
우리나라는 과학기술정보통신부와 제로트러스트 포럼에서 지난해 6월에 제로트러스트 가이드라인 1.0을 제시했다. 올해는 45억원의 예산으로 제로트러스트 시범 도입과제를 제시, 실 환경에 적용 가능한 제로트러스트 보안모델 구현 및 성과 확산을 목표로 12월까지 진행 중이다.
다층보안체계의 도입과 핵심 개념은
올해 국가정보원은 관계기관과 산·학·연 사이버안보 전문가로 구성된 ‘민·관 합동 망보안정책 개선 TF’를 발족하고 망분리 체계의 전면 개편을 추진했는데, 그 중심에는 다층보안체계가 있다. 다층보안체계의 핵심은 데이터를 업무 중요도에 따라 등급을 기밀정보(C, Classified), 민감정보(S, Sensitive), 공개정보(O, Open)로 구분하며, 등급에 보안 통제를 차등적용하게 된다. 등급 기준으로 크게 비공개·공개정보로 구분하며, 보안 원칙에 따라 보안 통제를 선정하게 된다. 보안 통제 항목이 적용된 정보에 대해 적절성 평가를 진행하게 되고 업무와 기업 환경에 따라 평가 및 재조정을 하게 된다. 이를 하나의 프레임워크로 구성하면 다음 그림과 같다.
▲다층보안체계 적용 절차 프레임워크[출처=2024 CSK 컨퍼런스, 재구성=이글루코퍼레이션]
하나의 정보시스템 안에 서로 다른 MLS 등급의 여러 데이터가 보관된 경우, 데이터에 따라 각기 다른 보안 수준을 적용해야 하지만 하나의 정보시스템에 보관돼 문제가 발생한다. 이때 해당 업무 정보가 저장된 정보시스템을 대상으로도 C/S/O 등급 평가를 진행해 보안 수준을 결정한다. 정보시스템 등급 결정 기준은 서로 다른 등급의 업무 데이터 중 최상위 등급을 부여받은 데이터를 기준으로 한다. 이러한 보안 원칙에 따라 하나의 시스템에 각기 다른 등급의 정보가 생산 및 저장, 이동하는 경우 보호 조치가 필요한 사항은 다음 표와 같다.
▲정보 및 시스템 등급에 따른 보안원칙[출처=CSK 2024 컨퍼런스, 재구성=이글루코퍼레이션]
전자금융 보안정책과 관련해 이글루코퍼레이션 보안팀은 “전자금융 보안의 망분리 개선안과 다층보안체계의 목표 과정에서 어떤 보안 통제 항목을 마련할지와 규제 샌드박스를 어떻게 활용해 망분리 환경을 안전하게 개선할지가 중요하다”며 “정보보안의 수준이 높아지면 사용자의 편의 및 활용성은 낮아지고, 사용자의 편의와 활용성이 높아지면 정보보안의 수준이 낮아지는 반비례 관계”라고 말했다. 이어 “이번 정책은 사용자의 편의 및 활용과 정보보안 수준 향상에 같은 비중을 두고 있다”며 “금융기관의 이번 망분리 개선안과 다층보안체계, 제로트러스트 아키텍처 보안 모델이 앞으로 정보 시스템을 구성하는 핵심 전략으로 변화될 수 있다는 기대가 있다”고 강조했다.
[김영명 기자(boan@boannews.com)]
경계기반 모델 한계점 극복 노력...올해 제로트러스트 시범 도입 12월까지 모델링 진행 중
이글루코퍼레이션, ‘전자금융 보안의 망분리 개선 정책과 다층보안체계(MLS)’ 소개
[보안뉴스 김영명 기자] 비대면 금융거래 활성화 및 인터넷 은행 출현, 빅데이터 활용 등 금융기관의 인터넷 이용이 활성화되면서 금융기관 대상 대규모 해킹 사건도 발생하고 있다. 이에 따라 금융위원회는 전자금융 보안정책 방향과 보안성 향상 방안 로드맵을 구성했다. 현재 금융보안 기반의 망분리 환경과 공동인증서 등 다양한 인증시스템 도입, 개인정보 처리 등 여러 법률이 제·개정됐다.
▲전자금융 보안정책 및 활용·개선 방안 타임라인[출처=금융위원회, 재구성=이글루코퍼레이션]
금융위원회는 2015년 4월 금융보안원이 공식 출범한 이후 전자금융 보안 분야는 활용에 비중을 두고 2015년에는 금융보안 과잉규제 개선, 공인인증서 및 보안 프로그램 Active X 폐지, 2019년 금융결제 인프라 혁신방안을 발표했다. 이어 2020년 디지털금융 종합 혁신방안, 2022년 금융분야 클라우드 및 망분리 규제 개선 방안, 금융보안 규제 선진화 방향을 발표했다. 올해는 전자금융 감독규정 개정안 규정 변경 예고와 함께 금융분야 망분리 개선 로드맵이 발표됐다.
2022년부터 전자금융 보안 분야에서는 클라우드 도입 문제와 망분리를 개선하기 위한 다양한 연구와 논의를 진행해왔다. 금융위원회는 안전한 전자금융 보안 구축을 위해 망분리를 의무화했지만, 외부 통신망과 분리·차단, 내·외부망의 물리적인 분리는 디지털 신기술의 도입과 활용에 걸림돌이라는 의견이 이어졌다. 대표적으로 클라우드 시스템, 빅데이터 활용, 생성형 AI를 활용한 시스템 구축 등 외부망 연결이 필요한 경우 현재의 망분리 환경으로는 신기술 구현이 어렵다는 지적이다. 이를 완화하기 위해 망분리 적용 예외 규정을 두었지만, 예외 규정의 허가조건은 금융감독원장의 확인 등 문턱이 높았다. 또한, 비조치 의견서도 매년 꾸준히 증가했다.
2023년에 발표된 주요 망분리 비조치 의견으로는 연구·개발망으로 재택근무 등 원격 접속 가능 여부, 망연계 솔루션을 통한 내·외부망 연계가 망분리 규정에 위반되는지 여부, 내부망에서 챗GPT(ChatGPT) 등 외부 서비스 이용이 업무상 불가피할 경우 해당 부분이 망분리 예외로 적용이 가능한지 여부 등이 논의됐다. 이 가운데 챗GPT 등 외부 서비스 이용이 불가피할 경우 망분리 예외를 둘 수 있는지에 대해서는 단순 정보 취득과 업무 편의를 위해서는 불가능했다. 금융위원회는 기존 망분리 환경을 개선해 2020년 디지털금융 종합 혁신방안을 이어나가고, 자율보안체계와 신기술 활용이 가능한 전자금융 체계를 만들기 위해 망분리 개선안을 제시했다.
망분리 개선정책의 추진 방향과 과제는
2013년부터 이어진 망분리 규제안의 변경은 매우 어려운 일이다. 따라서 망분리 개선 정책의 추진방향 3가지 중 첫 번째로 ‘점진적인 단계적 개선 추진’을 목표로 했다. 금융회사의 보안 책임성을 제고하는 법·제도 마련 전에 사전 준비 없이 규제를 완화하면 보안사고 우려가 있으며, IT 환경에 변화가 있을 때는 규제특례를 활용해 빠르게 해결할 수 있기 때문이다.
두 번째는 최고경영자·이사회의 보고 의무, CISO 권한 확대 등을 통해 내부 보안체계를 강화하고, 검증결과가 미흡하면 시정요구와 이행명령으로 금융권의 보안수준을 스스로 높이도록 유도한다는 것이다. 세 번째는 규제 개선에 따라 금융회사 비용 절감, 금융데이터 사용으로 연구·개발 활용도 상승, 생성형 AI를 통한 분석·예측 고도화 등 업무 효율성 제고에 따른 이익을 소비자와 공유해 윈윈 구조를 만드는 것이다. 이 가운데 규제특례의 규정 방법이 가장 큰 관건이다.
▲금융기관 망분리 개선정책의 1단계 추진 과제 구성도[출처=금융위원회]
첫 번째 규제 샌드박스 ‘생성형 AI’
현재 생성형 AI는 클라우드 기반 인터넷 환경에서만 제공되며 망분리 환경에서는 제약이 있다. 이는 국내 서버가 아닌 해외 AI 모델을 사용할 경우 개인신용 정보의 처리 및 보관이 불가능하기 때문이다. 이러한 문제점으로 금융회사가 생성형 AI를 활용해 가명 처리된 개인신용 정보까지 처리하도록 규제 특례를 허용할 것이며 관련 법령에 대해 관계 부처와 협업해 점차 개선할 예정이다. 또한 자율 보안체계 확립을 위해 보안 거버넌스가 올바르게 작동하는 기업은 규제 샌드박스 심사 시 가점을 줘 자율 보안체계 이행 금융기업에 많은 기회가 부여되는 방안이다.
두 번째 규제 샌드박스 ‘클라우드 기반 응용프로그램(SaaS) 활용’
현재 규제 샌드박스를 통해 업무망에서도 SaaS 사용이 가능하지만 엄격한 조건으로 활용에 제약이 따른다. 대표적으로 고객의 개인신용정보 처리 불가, 협업 금지, 인사 시스템과 관련된 내용만 허용, 모바일 단말 금지로 제한적으로만 사용돼 왔다. 이러한 제약사항을 규제 샌드박스를 통해 업무망에서도 SaaS 활용 범위를 대폭 확대해 가명처리된 개인 신용정보 허용, 보안/고객관리/업무자동화에서 사용 가능, 모바일 단말기에서도 사용 가능하도록 개선할 예정이다. 또한 자율 보안체계를 이행하는 금융기업에게 가점을 줘 많은 기회를 제공하게 된다.
세 번째 규제 샌드박스 ‘연구·개발분야 망분리 개선’
2년 전 연구·개발 환경에서 인터넷 활용 규제가 개선·완화됐지만, 이후에도 물리적 분리 및 개인신용 정보 활용 금지 규제로 제약이 크다는 지적이 있었다. 이를 해결하기 위해 전자금융 감독규정을 개정해 금융회사 등이 연구·개발 결과물을 보다 간편하게 이관하도록 물리적 분리 규정 완화, 개인신용정보 직접 처리로 가명정보 사용 허용, 데이터의 활용범위를 증가시켜 혁신적인 금융상품의 개발환경을 제공할 방침이다. 또한, 규제 샌드박스 운영 성과와 안정성이 검증되면 개인신용 정보까지 직접 처리하도록 규제를 완화해 연구·개발망을 활성화할 예정이다.
금융보안 망분리 개선안의 핵심, ‘제로트러스트 아키텍처와 다층보안체계’
기존 경계기반 모델에서는 내부망과 외부망 사이 경계선을 둬 내부자의 신뢰와 외부자를 신뢰하지 않음을 바탕으로 구성됐다면, 제로트러스트 아키텍처 보안 모델은 모든 사용자를 신뢰하지 않고 철저한 확인을 통해 필요한 만큼의 접근 권한을 제공한다. 이제는 전통적인 경계기반 모델의 한계점 극복을 위한 대체 보안 전략의 필요성이 대두되고 있다.
▲경계기반 보안모델과 제로트러스트 아키텍처 보안모델 비교[자료=이글루코퍼레이션]
현재 경계기반 모델에서 VPN을 통해 기업 내부망에 접속하면 신뢰성이 크다. 그러나 VPN 사용 업무환경은 원격지 접속 시 서버정보 노출과 함께 접속 후 내부 네트워크 상의 다른 네트워크 자원에 접근가능해 보안 위협요소가 크다. 이를 해결하기 위해 제로트러스트 보안모델 도입 시 사용자 자격증명 위조 여부 확인 후 비인가자에 대한 접근으로 판단되면 권한을 박탈한다. 내부자 접근도 강력한 인증을 거쳐 최소한의 데이터 접근으로 피해를 최소화할 수 있다.
우리나라는 과학기술정보통신부와 제로트러스트 포럼에서 지난해 6월에 제로트러스트 가이드라인 1.0을 제시했다. 올해는 45억원의 예산으로 제로트러스트 시범 도입과제를 제시, 실 환경에 적용 가능한 제로트러스트 보안모델 구현 및 성과 확산을 목표로 12월까지 진행 중이다.
다층보안체계의 도입과 핵심 개념은
올해 국가정보원은 관계기관과 산·학·연 사이버안보 전문가로 구성된 ‘민·관 합동 망보안정책 개선 TF’를 발족하고 망분리 체계의 전면 개편을 추진했는데, 그 중심에는 다층보안체계가 있다. 다층보안체계의 핵심은 데이터를 업무 중요도에 따라 등급을 기밀정보(C, Classified), 민감정보(S, Sensitive), 공개정보(O, Open)로 구분하며, 등급에 보안 통제를 차등적용하게 된다. 등급 기준으로 크게 비공개·공개정보로 구분하며, 보안 원칙에 따라 보안 통제를 선정하게 된다. 보안 통제 항목이 적용된 정보에 대해 적절성 평가를 진행하게 되고 업무와 기업 환경에 따라 평가 및 재조정을 하게 된다. 이를 하나의 프레임워크로 구성하면 다음 그림과 같다.
▲다층보안체계 적용 절차 프레임워크[출처=2024 CSK 컨퍼런스, 재구성=이글루코퍼레이션]
하나의 정보시스템 안에 서로 다른 MLS 등급의 여러 데이터가 보관된 경우, 데이터에 따라 각기 다른 보안 수준을 적용해야 하지만 하나의 정보시스템에 보관돼 문제가 발생한다. 이때 해당 업무 정보가 저장된 정보시스템을 대상으로도 C/S/O 등급 평가를 진행해 보안 수준을 결정한다. 정보시스템 등급 결정 기준은 서로 다른 등급의 업무 데이터 중 최상위 등급을 부여받은 데이터를 기준으로 한다. 이러한 보안 원칙에 따라 하나의 시스템에 각기 다른 등급의 정보가 생산 및 저장, 이동하는 경우 보호 조치가 필요한 사항은 다음 표와 같다.
▲정보 및 시스템 등급에 따른 보안원칙[출처=CSK 2024 컨퍼런스, 재구성=이글루코퍼레이션]
전자금융 보안정책과 관련해 이글루코퍼레이션 보안팀은 “전자금융 보안의 망분리 개선안과 다층보안체계의 목표 과정에서 어떤 보안 통제 항목을 마련할지와 규제 샌드박스를 어떻게 활용해 망분리 환경을 안전하게 개선할지가 중요하다”며 “정보보안의 수준이 높아지면 사용자의 편의 및 활용성은 낮아지고, 사용자의 편의와 활용성이 높아지면 정보보안의 수준이 낮아지는 반비례 관계”라고 말했다. 이어 “이번 정책은 사용자의 편의 및 활용과 정보보안 수준 향상에 같은 비중을 두고 있다”며 “금융기관의 이번 망분리 개선안과 다층보안체계, 제로트러스트 아키텍처 보안 모델이 앞으로 정보 시스템을 구성하는 핵심 전략으로 변화될 수 있다는 기대가 있다”고 강조했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
