.gif)
10년 전 망분리 정책 변화 필요 절실... 금융 혁신 위한 10년 후 대비해야
망분리의 ‘지나친’ 규제와 ‘모호한’ 열거주의 공통 지적...금융권 보안역량 따라줘야
금융당국, 관련 규제 완화·개선은 단계적 접근 필요...SaaS 도입은 계속 추진
[보안뉴스 이소미 기자] 정부가 실제적인 ‘보안’에 관심을 갖고 망분리 시스템을 도입하게 된 계기는 2013년 국내에서 일어난 ‘3.20 사이버테러 사건’이다. 당시 주요 방송사와 은행, 카드 회사 등의 전산망이 모두 마비되었던 사건으로 금융회사의 한 직원의 PC 해킹으로 시작돼 악성 이메일 실행과 액티브엑스(ActiveX)에 의한 감염으로 대형 보안 사고가 발생한 것이다. 이 사건 이후 정부는 PC를 보호하기 위한 강력한 대응책으로 가장 안전하다고 입증된 물리적·논리적 망분리를 병행 도입했다.
[이미지=gettyimagesbank]
그리고 10년이 지난 현 시점은 디지털 대전환 시대를 맞이하며 생성형 AI, 클라우드, 스마트 오피스, SaaS 기반의 구독형 서비스가 활성화되면서 곳곳에서 신기술을 업무에 활용하기 시작했다. 게다가 코로나19 이후 비대면 환경과 재택근무 형태로 업무환경 변화도 함께 촉발됐다. 이러한 변화는 금융권도 마찬가지다. 금융환경은 대면 중심에서 비대면 중심으로 발전했다. 하지만 금융권 망분리 정책과 규제는 10년 전 그대로 현재까지 유지돼 변화가 필요하다는 업계의 목소리가 나오고 있다.
이에 금융권 망분리 규제 정책 개선과 완화를 위해 금융당국과 금융업계 산·학·연 관계자들이 머리를 맞댔다. 한국정보보호학회가 주최·주관하고 고려대학교 사이버레질리언스 센터가 후원한 이번 토론회는 ‘클라우드, 빅데이터 시대에 금융권 망분리가 가야할 길’이라는 부제로 진행됐다. 패널로는 △금융위원회 김수호 전자금융과장 △금융보안원 서호진 팀장 △김앤장 강형우 전문위원 △토스 지정호 CISO △롯데카드 이창복 CISO △마이크로소프트 신용녀 상무 △네이버클라우드 임정욱 금융리더 △멘로시큐리티 김성래 한국지사장이 참여했으며, 각 금융사 CISO들과 보안업체, 관련 학계 관계자들이 참석했다.
▲은행회관 국제회의실에서 열린 금융권 망분리 정책 개선 끝장 토론회 현장[사진=보안뉴스]
이날 산·학·연의 금융권 보안 담당자들은 디지털 대전환과 코로나19 발생 이후 AI·클라우드·SaaS 등 신기술 활용은 각 분야에 더욱 빠른 추세로 적용됐지만 금융산업 현장에서는 재택근무 환경 조성 제한 및 업무 생산성 저하로 IT 전문인력들의 금융권 기피 현상이 일어날 수 있다는 우려와 함께 제로데이 공격 등 실시간 위협에 대한 대응책 마련이 필요하다는 공통된 의견을 제시했다.
금융업계에 망분리가 도입된 10년 전과 달리 보안체계 성숙도가 높아졌으며 대기업뿐만 아니라 중소규모 금융권 담당자들의 정보보호 전문성 및 보안 운영 역량이 상향 평준화되면서 금융회사 클라우드를 보안 SaaS로 도입해 실시간으로 관리되도록 하는 편이 더욱 안전할 수 있다는 의견이 제기됐다.
김앤장 강형우 전문위원은 “해외에서 다양한 형태의 SaaS 서비스가 제공되는 데, 이는 불가피한 시대적 흐름으로 리스크가 거의 없는 SaaS 도입은 금융산업 발전을 위해 필요한 상황”이라며 “지나치게 구체적인 망분리 규제로 인해 신기술 도입이 어려운 실정”이라고 말했다.
롯데카드 이창복 CISO도 “물리적·논리적 망분리 모두 어떤 정책을 마련해 운영 담당자가 얼마나 관심을 갖고 실행하느냐가 관건”이라고 말했다. 토스 지정호 CISO는 “전자금융감독규정 망분리 구현 방식을 물리적 망분리로 의무화하면서 재택근무 환경 조성이 불가능하다는 점과 함께 클라우드 서비스·오픈소스 등 온라인 연계 업무 도구 활용 제한으로 업무 생산성이 상당히 저하되고 있다”고 말했다. 이어 ”문제는 이로 인해 금융회사 근무 기피 현상과 IT인력 부재로 이어질 수 있다“고 지적하며, ”따라서 개인정보보호법 같이 기업의 보안 요구사항과 업무 역량을 고려해 선택적 망분리가 가능하도록 규제 완화가 필요하다”고 말했다.
이렇듯 패널 참석자들은 망분리 규제 완화 및 각 금융사별 보안 환경에 따른 망분리 적용에 대한 취사 선택이 가능하도록 열어주는 방향을 검토사항으로 요청했다.
이에 금융당국의 입장을 밝힌 금융위원회 김수호 전자금융과장은 “현재 금융업계에서 나오는 어려운 점은 모두 공감하는 바이나 갑작스런 규제 변화에 대한 리스크도 고려해야 하는 게 현실”이라면서, “금융당국의 입장은 국민 안전이 최우선이므로 사실상 강력한 규제가 필요하며, 보이스피싱 업무를 추가로 담당하고 있는 입장에서 더욱 신중하게 대응할 수밖에 없다”고 말했다. 그러면서 “국가 핵심기관으로 연결되어 있는 금융·국방·보건·의료·정보보호 등은 정보 민감도가 상당히 높은데다 각 부처 및 이해관계자들과의 협업도 고려해야 하는 상황”이라면서, “단기간에 완화해 나가는 건 다소 무리가 있지만 단계적·점진적으로 물리적 망분리로 한정짓는 규제를 보다 유연하게 적용할 수 있도록 추진해 보겠다”고 말했다.
망분리 규제 완화 외에도 ‘열거주의’ 기준의 모호한 표현으로 인해 신기술 도입·활용에 제한이 생긴다는 문제점도 제기됐다. 이와 관련 지정호 CISO는 “열거주의식 망분리 예외 허용 조건을 완화해 폭넓은 정의가 필요하다”면서, “전자금융감독규정 시행령 2조에 있는 ‘업무상 불가피한 경우’에 대한 기준이 모호해 정보보호시스템 구축 과정에 필요한 인텔리전스 서비스 이용 가능 여부도 불분명해 현장에서 정책을 활용하는 데 어려움이 있다”고 말했다.
이와 관련해 금융위 김수호 과장은 “열거주의 문제와 관련해 2006년에 나온 전자금융법이 2023년인 지금 변화된 시대 흐름에 맞춰 개정되어야 한다는 점은 금융당국도 동의하다”면서, “금융감독원·금융보안원과 함께 여러 상황에 대응할 수 있도록 세부적인 예시는 가이드라인 형태로 제작하고 위반 시 참조사항으로 완화하는 등 원칙 중심의 전자금융감독규정 개정 작업을 진행 중”이라고 밝혔다.
그 외 사항에 대해 금융보안원 서호진 팀장은 “SaaS 서비스 도입은 망분리 개념과는 다르게 봐야 한다”면서, “기존 물리적·논리적 망분리 모두 인터넷 접속이 되어 있지 않은 상황은 똑같기 때문”이라고 이유를 설명했다. 이어 그는 “SaaS 서비스는 내부망이 인터넷에 접속되는 것이므로 보안 리스크가 상당하기에 금융당국이 규제 샌드박스로 진행하는 것”이라고 덧붙였다. 또한, SaaS 서비스 도입 시 금융회사 내부에서 관리할 부분들이 상당하다며 △부서별 접근 권한 및 인증 부여 △세밀한 접근 범위 설정 등 보다 체계적인 관리가 요구되는 점은 금융회사들의 숙제”라고 말했다.
한편, 금융위원회는 클라우드를 활용한 소프트웨어 서비스(SaaS)의 내부망 이용 등 10건의 혁신금융 서비스를 신규 지정하기로 결정함으로써 현재까지 누적 총 283건의 서비스가 혁신금융 서비스로 지정돼 시장에서의 테스트 기회를 갖게 됐다. 더불어 기존에 지정된 혁신금융 서비스 중 25건의 서비스에 대한 지정기간을 연장했고, 1건의 혁신금융 서비스 관련 규제개선 요청도 수용했다.
[이소미 기자(boan4@boannews.com)]
망분리의 ‘지나친’ 규제와 ‘모호한’ 열거주의 공통 지적...금융권 보안역량 따라줘야
금융당국, 관련 규제 완화·개선은 단계적 접근 필요...SaaS 도입은 계속 추진
[보안뉴스 이소미 기자] 정부가 실제적인 ‘보안’에 관심을 갖고 망분리 시스템을 도입하게 된 계기는 2013년 국내에서 일어난 ‘3.20 사이버테러 사건’이다. 당시 주요 방송사와 은행, 카드 회사 등의 전산망이 모두 마비되었던 사건으로 금융회사의 한 직원의 PC 해킹으로 시작돼 악성 이메일 실행과 액티브엑스(ActiveX)에 의한 감염으로 대형 보안 사고가 발생한 것이다. 이 사건 이후 정부는 PC를 보호하기 위한 강력한 대응책으로 가장 안전하다고 입증된 물리적·논리적 망분리를 병행 도입했다.
[이미지=gettyimagesbank]
그리고 10년이 지난 현 시점은 디지털 대전환 시대를 맞이하며 생성형 AI, 클라우드, 스마트 오피스, SaaS 기반의 구독형 서비스가 활성화되면서 곳곳에서 신기술을 업무에 활용하기 시작했다. 게다가 코로나19 이후 비대면 환경과 재택근무 형태로 업무환경 변화도 함께 촉발됐다. 이러한 변화는 금융권도 마찬가지다. 금융환경은 대면 중심에서 비대면 중심으로 발전했다. 하지만 금융권 망분리 정책과 규제는 10년 전 그대로 현재까지 유지돼 변화가 필요하다는 업계의 목소리가 나오고 있다.
이에 금융권 망분리 규제 정책 개선과 완화를 위해 금융당국과 금융업계 산·학·연 관계자들이 머리를 맞댔다. 한국정보보호학회가 주최·주관하고 고려대학교 사이버레질리언스 센터가 후원한 이번 토론회는 ‘클라우드, 빅데이터 시대에 금융권 망분리가 가야할 길’이라는 부제로 진행됐다. 패널로는 △금융위원회 김수호 전자금융과장 △금융보안원 서호진 팀장 △김앤장 강형우 전문위원 △토스 지정호 CISO △롯데카드 이창복 CISO △마이크로소프트 신용녀 상무 △네이버클라우드 임정욱 금융리더 △멘로시큐리티 김성래 한국지사장이 참여했으며, 각 금융사 CISO들과 보안업체, 관련 학계 관계자들이 참석했다.
▲은행회관 국제회의실에서 열린 금융권 망분리 정책 개선 끝장 토론회 현장[사진=보안뉴스]
이날 산·학·연의 금융권 보안 담당자들은 디지털 대전환과 코로나19 발생 이후 AI·클라우드·SaaS 등 신기술 활용은 각 분야에 더욱 빠른 추세로 적용됐지만 금융산업 현장에서는 재택근무 환경 조성 제한 및 업무 생산성 저하로 IT 전문인력들의 금융권 기피 현상이 일어날 수 있다는 우려와 함께 제로데이 공격 등 실시간 위협에 대한 대응책 마련이 필요하다는 공통된 의견을 제시했다.
금융업계에 망분리가 도입된 10년 전과 달리 보안체계 성숙도가 높아졌으며 대기업뿐만 아니라 중소규모 금융권 담당자들의 정보보호 전문성 및 보안 운영 역량이 상향 평준화되면서 금융회사 클라우드를 보안 SaaS로 도입해 실시간으로 관리되도록 하는 편이 더욱 안전할 수 있다는 의견이 제기됐다.
김앤장 강형우 전문위원은 “해외에서 다양한 형태의 SaaS 서비스가 제공되는 데, 이는 불가피한 시대적 흐름으로 리스크가 거의 없는 SaaS 도입은 금융산업 발전을 위해 필요한 상황”이라며 “지나치게 구체적인 망분리 규제로 인해 신기술 도입이 어려운 실정”이라고 말했다.
롯데카드 이창복 CISO도 “물리적·논리적 망분리 모두 어떤 정책을 마련해 운영 담당자가 얼마나 관심을 갖고 실행하느냐가 관건”이라고 말했다. 토스 지정호 CISO는 “전자금융감독규정 망분리 구현 방식을 물리적 망분리로 의무화하면서 재택근무 환경 조성이 불가능하다는 점과 함께 클라우드 서비스·오픈소스 등 온라인 연계 업무 도구 활용 제한으로 업무 생산성이 상당히 저하되고 있다”고 말했다. 이어 ”문제는 이로 인해 금융회사 근무 기피 현상과 IT인력 부재로 이어질 수 있다“고 지적하며, ”따라서 개인정보보호법 같이 기업의 보안 요구사항과 업무 역량을 고려해 선택적 망분리가 가능하도록 규제 완화가 필요하다”고 말했다.
이렇듯 패널 참석자들은 망분리 규제 완화 및 각 금융사별 보안 환경에 따른 망분리 적용에 대한 취사 선택이 가능하도록 열어주는 방향을 검토사항으로 요청했다.
이에 금융당국의 입장을 밝힌 금융위원회 김수호 전자금융과장은 “현재 금융업계에서 나오는 어려운 점은 모두 공감하는 바이나 갑작스런 규제 변화에 대한 리스크도 고려해야 하는 게 현실”이라면서, “금융당국의 입장은 국민 안전이 최우선이므로 사실상 강력한 규제가 필요하며, 보이스피싱 업무를 추가로 담당하고 있는 입장에서 더욱 신중하게 대응할 수밖에 없다”고 말했다. 그러면서 “국가 핵심기관으로 연결되어 있는 금융·국방·보건·의료·정보보호 등은 정보 민감도가 상당히 높은데다 각 부처 및 이해관계자들과의 협업도 고려해야 하는 상황”이라면서, “단기간에 완화해 나가는 건 다소 무리가 있지만 단계적·점진적으로 물리적 망분리로 한정짓는 규제를 보다 유연하게 적용할 수 있도록 추진해 보겠다”고 말했다.
망분리 규제 완화 외에도 ‘열거주의’ 기준의 모호한 표현으로 인해 신기술 도입·활용에 제한이 생긴다는 문제점도 제기됐다. 이와 관련 지정호 CISO는 “열거주의식 망분리 예외 허용 조건을 완화해 폭넓은 정의가 필요하다”면서, “전자금융감독규정 시행령 2조에 있는 ‘업무상 불가피한 경우’에 대한 기준이 모호해 정보보호시스템 구축 과정에 필요한 인텔리전스 서비스 이용 가능 여부도 불분명해 현장에서 정책을 활용하는 데 어려움이 있다”고 말했다.
이와 관련해 금융위 김수호 과장은 “열거주의 문제와 관련해 2006년에 나온 전자금융법이 2023년인 지금 변화된 시대 흐름에 맞춰 개정되어야 한다는 점은 금융당국도 동의하다”면서, “금융감독원·금융보안원과 함께 여러 상황에 대응할 수 있도록 세부적인 예시는 가이드라인 형태로 제작하고 위반 시 참조사항으로 완화하는 등 원칙 중심의 전자금융감독규정 개정 작업을 진행 중”이라고 밝혔다.
그 외 사항에 대해 금융보안원 서호진 팀장은 “SaaS 서비스 도입은 망분리 개념과는 다르게 봐야 한다”면서, “기존 물리적·논리적 망분리 모두 인터넷 접속이 되어 있지 않은 상황은 똑같기 때문”이라고 이유를 설명했다. 이어 그는 “SaaS 서비스는 내부망이 인터넷에 접속되는 것이므로 보안 리스크가 상당하기에 금융당국이 규제 샌드박스로 진행하는 것”이라고 덧붙였다. 또한, SaaS 서비스 도입 시 금융회사 내부에서 관리할 부분들이 상당하다며 △부서별 접근 권한 및 인증 부여 △세밀한 접근 범위 설정 등 보다 체계적인 관리가 요구되는 점은 금융회사들의 숙제”라고 말했다.
한편, 금융위원회는 클라우드를 활용한 소프트웨어 서비스(SaaS)의 내부망 이용 등 10건의 혁신금융 서비스를 신규 지정하기로 결정함으로써 현재까지 누적 총 283건의 서비스가 혁신금융 서비스로 지정돼 시장에서의 테스트 기회를 갖게 됐다. 더불어 기존에 지정된 혁신금융 서비스 중 25건의 서비스에 대한 지정기간을 연장했고, 1건의 혁신금융 서비스 관련 규제개선 요청도 수용했다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
