.gif)
금융권 망분리 10년, 금융권도 생성형 AI 활용 혁신 금융서비스 출시 가능
‘자율보안-결과책임’ 원칙 입각한 신 금융보안체계 구축
[보안뉴스 김영명 기자] 금융위원회(위원장 김병환)는 8월 13일 김병환 금융위원장 주재로 민간 보안전문가들과 금융협회, 금융감독원, 금융보안원 등 관계기관이 참여한 가운데 ‘금융분야 망분리 개선 로드맵’을 발표했다.
이번 발표는 KB국민은행 통합 IT센터(김포)에서 진행됐으며, 금융위원회에서는 김병환 금융위원장, 디지털금융정책관이, 그리고 금융감독원, 금융보안원, 금융협회(은행, 보험, 여신, 금융투자, 핀테크), 민간전문가로는 금융연구원 부원장, 신용정보원 AI 센터장, 안랩 김홍선 전 CEO, 아주대 박춘식 교수 등이 참석했다.
[이미지=gettyimagesbank]
금융위원회는 그동안 여러 차례에 걸친 간담회 등을 통해 금융보안 규제에 따른 금융회사 등의 애로를 직접 청취했으며, ‘금융권 망분리 TF’를 운영해 보안전문가, 업계, 관계기관 등으로부터 의견을 수렴했다. 이 TF에서는 올해 4월부터 6월까지 논의된 내용을 종합적으로 반영해 망분리 개선을 위한 세부 추진과제와 금융보안체계의 선진화 방향을 담은 로드맵을 마련했다.
망분리로 인해 금융회사 및 전자금융업자(이하 금융회사 등)의 업무상 비효율이 크고 신기술 활용이 저해되며 연구·개발이 어렵다는 규제 개선 요청이 지속해서 제기됐다. 특히, 소프트웨어 시장이 자체 구축형에서 클라우드 기반의 구독형(SaaS)으로 빠르게 전환되고 생성형 AI의 활용이 산업의 미래를 좌우하는 상황에서 망분리는 금융경쟁력 저하 요인으로 지적됐다. 또한 일부 금융회사는 인터넷 등 외부 통신과 분리된 환경만을 구축하고 선진 보안체계 도입에 소홀하거나 변화하는 IT 환경에 적절한 보안조치도 갖추지 않는 등 부작용이 존재했다.
금융권 망분리 도입 이후 약 10년이 지난 지금, 금융당국은 낡은 규제를 개선하고 중·장기적으로 금융보안 법·제도를 전면 개편하는 등 혁신과 보안의 새로운 균형을 찾기 위한 패러다임 전환을 추진할 계획이라고 밝혔다. 현행 금융보안체계가 오랜 기간 인터넷 등 외부통신과 분리된 환경을 전제로 구성돼온 점을 고려해 급격한 규제 완화보다는 단계적 개선을 추진한다는 방침이다.
첫 번째로, ‘금융회사 등의 생성형 AI 활용을 허용’하기로 했다. 대부분의 생성형 AI가 클라우드 기반 인터넷 환경에서 제공되지만, 국내 금융권은 외부통신 활용 제한 등으로 인해 생성형 AI 도입에 제약이 있다. 이에 따라 샌드박스를 통해 인터넷 활용 제한 등에 대한 규제 특례를 허용한다는 방침이다. 이와 함께 예상되는 리스크에 대한 보안대책을 조건으로 부과하고 금융감독원·금융보안원이 신청 기업별 보안 점검·컨설팅을 실시하는 등 충분한 안전장치를 마련할 계획이다.
두 번째로, ‘클라우드 기반의 응용 프로그램(SaaS) 이용 범위를 대폭 확대’한다. 기존에는 문서관리, 인사관리 등 비중요 업무에 대해서만 SaaS 이용이 허용되고, 고객 개인신용정보를 처리할 수 없는 등 엄격한 샌드박스 부가 조건으로 활용에 제한이 있었다. 이에 보안관리, 고객관리(CRM) 등의 업무까지 이용 범위를 확대하고, 가명정보 처리 및 모바일 단말기에서의 SaaS 이용까지 허용하는 등 SaaS 활용도를 제고할 예정이다. 또한 규제 특례 확대에 따른 보안 우려에 대응하기 위해 보안대책을 마련, 샌드박스 지정 조건으로 부과할 계획이다.
세 번째는 ‘금융회사 등의 연구·개발 환경을 개선’한다. 2022년 11월에 연구·개발 환경에서 인터넷을 자유롭게 활용할 수 있도록 한차례 규제가 개선됐지만 연구·개발 환경의 물리적 분리 및 개인신용정보 활용 금지 등에 따라 고객별 특성·수요에 맞는 혁신적인 서비스 연구·개발에 제약이 크다는 지적이 지속 제기됐다. 이에 ‘전자금융감독규정’을 개정해 금융회사 등이 연구·개발 결과물을 보다 간편하게 이관할 수 있도록 물리적 제한을 완화하고, 가명정보 활용을 허용하는 등 혁신적인 금융상품을 개발할 수 있는 환경을 제공한다는 방침이다.
▲망분리 개선 단기 추진 과제 종합 구성도[자료=금융위원회]
2단계에서 샌드박스에서는 개인신용정보까지 활용을 확대하기로 했다. 가명정보 활용을 허용한 1단계 샌드박스의 운영 성과와 안전성이 충분히 검증될 경우, 빠르면 내년에는 2단계 샌드박스를 추진해 금융회사가 가명정보가 아닌 개인신용정보까지 직접 처리하도록 규제 특례의 고도화도 추진한다. 다만 데이터 활용 범위 증가에 따른 추가 보안대책 등도 함께 부과할 예정이다.
샌드박스 운영 경험 등을 토대로 금융보안체계의 선진화를 추진한다. 특히 ‘목표·원칙 중심’의 보안규제, ‘자율보안-결과책임’ 원칙에 입각한 보안체계를 구축한다. 누적된 샌드박스 사례를 통해 혁신성, 소비자 편익, 리스크 관리 등이 충분히 검증된 과제는 정규 제도화하고, 중·장기적으로는 별도의 금융보안법(가칭 디지털 금융보안법)을 마련해 ‘자율보안-결과책임’ 원칙에 입각한 신 금융보안체계를 구축해 나갈 계획이다.
열거식 행위 규칙(Rule) 중심의 금융보안 규제를 목표·원칙(Principle) 중심으로 전환하고, 금융회사 등은 자체 리스크 평가를 바탕으로 세부 보안 통제를 자율로 구성하도록 할 계획이다. 다만 금융회사 등에 부여된 자율 책임은 강화한다는 방침이다. 중요 보안사항의 CEO·이사회 보고의무 등 금융회사 등의 내부 보안 거버넌스를 강화하고, 전산사고 시 배상책임 확대 및 실효성 있는 과징금 도입 등 법적 근거를 마련해 금융회사 등의 보안 노력 제고를 유도할 예정이다.
한편 금융당국은 금융회사 등의 자율보안체계 수립·이행을 검증해 미흡한 경우 시정요구·이행명령을 부과하고 불이행시 엄중 제재하는 등 금융권 보안수준 강화를 위해 노력할 계획이다.
또한 제3자 리스크(비 금융부문의 장애 발생, 정보 유출 등의 사고가 금융부문으로 전이되는 리스크) 관리를 강화하기 위해 제도를 정비할 방침이다. AI, 클라우드, 데이터센터 등 금융권의 제3자에 대한 정보처리 위탁이 증가하는 만큼 리스크 관리방안이 필요하다. EU·영국 등 해외 선진사례 연구를 토대로, 국내 환경에 맞는 도입 방향을 검토해 관련 제도 정비를 추진한다는 계획이다.
금융위원회는 이번 로드맵 시행으로 인해 크게 두 가지 효과를 기대하고 있다. 첫째, 이번 망분리 개선을 통해 금융산업 전반의 경쟁력이 크게 제고될 것으로 기대된다. AI와 클라우드(SaaS) 기반의 업무 자동화, 전사적 경영관리(Enterprise Resource Planning, ERP), 준법 감시 프로그램 등의 도입으로 금융권 업무 생산성이 향상되고, 빅데이터 분석 등 금융 데이터 활용도 증가할 것으로 예상된다. 또한 인터넷 접속이 자유로운 연구·개발망의 활용도 제고에 따라 금융회사 등의 IT 개발이 활성화될 수 있으며, 금융권의 우수 IT 인력 유치 효과까지 기대된다.
둘째, 망분리 개선의 이익이 금융산업 뿐만 아니라 금융소비자 효용 증진으로 이어지도록 유도해 나갈 계획이다. 생성형 AI를 활용한 데이터 분석·예측 모델 고도화를 통해 금융 사각지대 해소에 이바지할 것으로 기대된다. 금융권은 생성형 AI를 활용한 이상금융거래탐지시스템 고도화를 통해 부정거래, 신종사기 시도 등 차단으로 금융소비자 보호를 강화할 수 있다.
김병환 금융위원장은 “클라우드, 생성형 AI 등 급변하는 IT 환경 변화에 대응하기 위해 보다 효과적인 망분리 개선 방안이 필요한 시점”이라며 “모든 정책은 글로벌 표준 관점에서 정비한다는 기조하에 우리나라의 대표적인 규제를 개선할 필요가 있다”고 말했다. 이어 “이번 망분리 개선 로드맵이 금융산업의 경쟁력 제고와 금융 소비자의 효용 증진으로 이어질 것”이라며 “금융업권도 보안사고 없이 새로운 제도가 잘 안착하도록 힘써주시길 바란다”고 당부했다.
[김영명 기자(boan@boannews.com)]
‘자율보안-결과책임’ 원칙 입각한 신 금융보안체계 구축
[보안뉴스 김영명 기자] 금융위원회(위원장 김병환)는 8월 13일 김병환 금융위원장 주재로 민간 보안전문가들과 금융협회, 금융감독원, 금융보안원 등 관계기관이 참여한 가운데 ‘금융분야 망분리 개선 로드맵’을 발표했다.
이번 발표는 KB국민은행 통합 IT센터(김포)에서 진행됐으며, 금융위원회에서는 김병환 금융위원장, 디지털금융정책관이, 그리고 금융감독원, 금융보안원, 금융협회(은행, 보험, 여신, 금융투자, 핀테크), 민간전문가로는 금융연구원 부원장, 신용정보원 AI 센터장, 안랩 김홍선 전 CEO, 아주대 박춘식 교수 등이 참석했다.
[이미지=gettyimagesbank]
금융위원회는 그동안 여러 차례에 걸친 간담회 등을 통해 금융보안 규제에 따른 금융회사 등의 애로를 직접 청취했으며, ‘금융권 망분리 TF’를 운영해 보안전문가, 업계, 관계기관 등으로부터 의견을 수렴했다. 이 TF에서는 올해 4월부터 6월까지 논의된 내용을 종합적으로 반영해 망분리 개선을 위한 세부 추진과제와 금융보안체계의 선진화 방향을 담은 로드맵을 마련했다.
망분리로 인해 금융회사 및 전자금융업자(이하 금융회사 등)의 업무상 비효율이 크고 신기술 활용이 저해되며 연구·개발이 어렵다는 규제 개선 요청이 지속해서 제기됐다. 특히, 소프트웨어 시장이 자체 구축형에서 클라우드 기반의 구독형(SaaS)으로 빠르게 전환되고 생성형 AI의 활용이 산업의 미래를 좌우하는 상황에서 망분리는 금융경쟁력 저하 요인으로 지적됐다. 또한 일부 금융회사는 인터넷 등 외부 통신과 분리된 환경만을 구축하고 선진 보안체계 도입에 소홀하거나 변화하는 IT 환경에 적절한 보안조치도 갖추지 않는 등 부작용이 존재했다.
금융권 망분리 도입 이후 약 10년이 지난 지금, 금융당국은 낡은 규제를 개선하고 중·장기적으로 금융보안 법·제도를 전면 개편하는 등 혁신과 보안의 새로운 균형을 찾기 위한 패러다임 전환을 추진할 계획이라고 밝혔다. 현행 금융보안체계가 오랜 기간 인터넷 등 외부통신과 분리된 환경을 전제로 구성돼온 점을 고려해 급격한 규제 완화보다는 단계적 개선을 추진한다는 방침이다.
첫 번째로, ‘금융회사 등의 생성형 AI 활용을 허용’하기로 했다. 대부분의 생성형 AI가 클라우드 기반 인터넷 환경에서 제공되지만, 국내 금융권은 외부통신 활용 제한 등으로 인해 생성형 AI 도입에 제약이 있다. 이에 따라 샌드박스를 통해 인터넷 활용 제한 등에 대한 규제 특례를 허용한다는 방침이다. 이와 함께 예상되는 리스크에 대한 보안대책을 조건으로 부과하고 금융감독원·금융보안원이 신청 기업별 보안 점검·컨설팅을 실시하는 등 충분한 안전장치를 마련할 계획이다.
두 번째로, ‘클라우드 기반의 응용 프로그램(SaaS) 이용 범위를 대폭 확대’한다. 기존에는 문서관리, 인사관리 등 비중요 업무에 대해서만 SaaS 이용이 허용되고, 고객 개인신용정보를 처리할 수 없는 등 엄격한 샌드박스 부가 조건으로 활용에 제한이 있었다. 이에 보안관리, 고객관리(CRM) 등의 업무까지 이용 범위를 확대하고, 가명정보 처리 및 모바일 단말기에서의 SaaS 이용까지 허용하는 등 SaaS 활용도를 제고할 예정이다. 또한 규제 특례 확대에 따른 보안 우려에 대응하기 위해 보안대책을 마련, 샌드박스 지정 조건으로 부과할 계획이다.
세 번째는 ‘금융회사 등의 연구·개발 환경을 개선’한다. 2022년 11월에 연구·개발 환경에서 인터넷을 자유롭게 활용할 수 있도록 한차례 규제가 개선됐지만 연구·개발 환경의 물리적 분리 및 개인신용정보 활용 금지 등에 따라 고객별 특성·수요에 맞는 혁신적인 서비스 연구·개발에 제약이 크다는 지적이 지속 제기됐다. 이에 ‘전자금융감독규정’을 개정해 금융회사 등이 연구·개발 결과물을 보다 간편하게 이관할 수 있도록 물리적 제한을 완화하고, 가명정보 활용을 허용하는 등 혁신적인 금융상품을 개발할 수 있는 환경을 제공한다는 방침이다.
▲망분리 개선 단기 추진 과제 종합 구성도[자료=금융위원회]
2단계에서 샌드박스에서는 개인신용정보까지 활용을 확대하기로 했다. 가명정보 활용을 허용한 1단계 샌드박스의 운영 성과와 안전성이 충분히 검증될 경우, 빠르면 내년에는 2단계 샌드박스를 추진해 금융회사가 가명정보가 아닌 개인신용정보까지 직접 처리하도록 규제 특례의 고도화도 추진한다. 다만 데이터 활용 범위 증가에 따른 추가 보안대책 등도 함께 부과할 예정이다.
샌드박스 운영 경험 등을 토대로 금융보안체계의 선진화를 추진한다. 특히 ‘목표·원칙 중심’의 보안규제, ‘자율보안-결과책임’ 원칙에 입각한 보안체계를 구축한다. 누적된 샌드박스 사례를 통해 혁신성, 소비자 편익, 리스크 관리 등이 충분히 검증된 과제는 정규 제도화하고, 중·장기적으로는 별도의 금융보안법(가칭 디지털 금융보안법)을 마련해 ‘자율보안-결과책임’ 원칙에 입각한 신 금융보안체계를 구축해 나갈 계획이다.
열거식 행위 규칙(Rule) 중심의 금융보안 규제를 목표·원칙(Principle) 중심으로 전환하고, 금융회사 등은 자체 리스크 평가를 바탕으로 세부 보안 통제를 자율로 구성하도록 할 계획이다. 다만 금융회사 등에 부여된 자율 책임은 강화한다는 방침이다. 중요 보안사항의 CEO·이사회 보고의무 등 금융회사 등의 내부 보안 거버넌스를 강화하고, 전산사고 시 배상책임 확대 및 실효성 있는 과징금 도입 등 법적 근거를 마련해 금융회사 등의 보안 노력 제고를 유도할 예정이다.
한편 금융당국은 금융회사 등의 자율보안체계 수립·이행을 검증해 미흡한 경우 시정요구·이행명령을 부과하고 불이행시 엄중 제재하는 등 금융권 보안수준 강화를 위해 노력할 계획이다.
또한 제3자 리스크(비 금융부문의 장애 발생, 정보 유출 등의 사고가 금융부문으로 전이되는 리스크) 관리를 강화하기 위해 제도를 정비할 방침이다. AI, 클라우드, 데이터센터 등 금융권의 제3자에 대한 정보처리 위탁이 증가하는 만큼 리스크 관리방안이 필요하다. EU·영국 등 해외 선진사례 연구를 토대로, 국내 환경에 맞는 도입 방향을 검토해 관련 제도 정비를 추진한다는 계획이다.
금융위원회는 이번 로드맵 시행으로 인해 크게 두 가지 효과를 기대하고 있다. 첫째, 이번 망분리 개선을 통해 금융산업 전반의 경쟁력이 크게 제고될 것으로 기대된다. AI와 클라우드(SaaS) 기반의 업무 자동화, 전사적 경영관리(Enterprise Resource Planning, ERP), 준법 감시 프로그램 등의 도입으로 금융권 업무 생산성이 향상되고, 빅데이터 분석 등 금융 데이터 활용도 증가할 것으로 예상된다. 또한 인터넷 접속이 자유로운 연구·개발망의 활용도 제고에 따라 금융회사 등의 IT 개발이 활성화될 수 있으며, 금융권의 우수 IT 인력 유치 효과까지 기대된다.
둘째, 망분리 개선의 이익이 금융산업 뿐만 아니라 금융소비자 효용 증진으로 이어지도록 유도해 나갈 계획이다. 생성형 AI를 활용한 데이터 분석·예측 모델 고도화를 통해 금융 사각지대 해소에 이바지할 것으로 기대된다. 금융권은 생성형 AI를 활용한 이상금융거래탐지시스템 고도화를 통해 부정거래, 신종사기 시도 등 차단으로 금융소비자 보호를 강화할 수 있다.
김병환 금융위원장은 “클라우드, 생성형 AI 등 급변하는 IT 환경 변화에 대응하기 위해 보다 효과적인 망분리 개선 방안이 필요한 시점”이라며 “모든 정책은 글로벌 표준 관점에서 정비한다는 기조하에 우리나라의 대표적인 규제를 개선할 필요가 있다”고 말했다. 이어 “이번 망분리 개선 로드맵이 금융산업의 경쟁력 제고와 금융 소비자의 효용 증진으로 이어질 것”이라며 “금융업권도 보안사고 없이 새로운 제도가 잘 안착하도록 힘써주시길 바란다”고 당부했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)