2단계, 오는 2025년까지 생성형 AI와 사스 활용 규제 특례 정규 제도화
3단계, 결과책임 원칙에 입각한 금융권의 자율보안 체계로 개선
[보안뉴스 김경애 기자] 망분리 규제 개선방안이 1~3단계로 나뉘며 점진적으로 개선된다. 1단계는 연구·개발망이 기존 물리적 망분리에서 논리적 망분리로 개선됐으며, 논리적 망분리에서 사스(SaaS) 사용이 가능하도록 규제가 완화됐다. 2단계는 오는 2025년까지 생성형 AI와 사스 활용 규제 특례를 정규 제도화되고, 3단계는 결과책임 원칙에 입각한 금융권의 자율보안 체계로 개선된다.
[이미지=gettyimagesbank]
그동안 금융권은 첨단기술이 발전하고 있음에도 불구하고, 물리적 망분리로 인해 신기술 활용에 제약이 있었다. 또한 컴플라이언스 규제 위반 등 여러 제약으로 업무의 효율성이 떨어지는 어려움이 존재해 왔다. 그 대표적인 예가 바로 연구·개발망, 사스, 생성형 AI 활용 제약이다.
망분리 규제 개선방안 1단계
망분리 이슈 1. 연구·개발망
연구개발 목적인 경우 망분리 예외(인터넷 연계)를 허용했다. 그러나 망분리 예외에 따른 보안성 확보를 위한 별도의 독립적인 네트워크(물리적 망분리) 구성 등 부가조건이 부여돼 그동안 금융권에선 애로사항이 적지 않았다.
별도 망 구성에 따른 비용부담이 증가하고, 개인정보 및 신용정보의 활용 제한으로 실질적 연구개발이 진행되기 어려웠기 때문이다. 또한 IT 인력의 원격 근무도 필요한 상황이라 효율적으로 운영·개발 연계가 불가능한 문제가 있었다.
이와 관련 금융보안원 서호진 팀장은 금융권 망분리 규제개선 세미나에서 망분리 규제 개선방안 1단계를 제시하며 “연구·개발 업무의 경우 기존 물리적 망분리에서 논리적 망분리로 개선됐다”며 “연구·개발에 가명정보를 활용할 수 있도록 망분리 예외 허용에 가명정보가 허용됐다”고 설명했다.
▲금융권 망분리 규제개선 세미나에서 금융보안원 서호진 팀장인 금융권 망분리 규제 개선방안 3단계에 대해 설명하고 있다[사진=보안뉴스]
망분리 이슈 2. 사스(SaaS)
비중요 업무에 한해 내부망의 사스 이용을 규제특례로 허용했다. 하지만 내부망 사이버침해 예방 등을 위해 사스 제공자에 대한 안전성 평가인 CSP 실시 등 보안 부가조건이 부여됐다. 하지만 이에 대해 금융권에서는 비중요 업무에 한정된 사스 이용 범위를 확대해야 한다며 MS 365 등 협업도구, 보안관리 도구, IT 자원 관리 등 사스 서비스가 다양화되고 비용적인 측면에서 효율적인 장점이 있어 보안성과 편의성 간 균형점을 모색해야 한다는 의견이 제기돼 왔다.
사스 규제 개선에 대해 서호진 팀장은 “사스의 경우 규제샌드박스를 통해 가명정보와 모바일 단말이 허용된다”며 “화상회의, 인사관리, 업무 자동화 등 이용업무 확대를 위해 논리적 망분리의 업무망에서 사스를 사용할 수 있도록 규제가 완화됐다”고 설명했다.
망분리 이슈 3. 생성형 AI
아직까지 생성형 AI에 대한 국내 금융권 활용은 제한적이라 보수적으로 활용되고 있는 상황이다. 이에 따라 금융회사의 AI기 술 활용에 제약이 되는 내·외부 시스템간 연계와 내부 업무처리 자동화 등에 대한 개선방안을 모색할 필요성이 제기됐다. 특히 생성형 AI 기술의 발전으로 보안성을 고려한 합리화 방안 마련이 요구돼 왔다.
이에 대해 서 팀장은 “생성형 AI의 경우 금융정보 처리업무에 대해서는 물리적 망분리에서 규제샌드박스를 통해 가명정보를 허용해 생성형 AI를 활용할 수 있도록 개선됐다”고 설명했다.
망분리 규제 개선방안 2단계
생성형 AI 및 사스 활용 규제 특례 정규 제도화
망분리 규제 개선방안 2단계는 생성형 AI 및 사스 활용 규제 특례의 정규 제도화다. 샌드박스 사례 누적과 샌드박스 성과 검증을 통해 점진적으로 규제를 개선하겠다는 방침이다.
서 팀장은 “개인신용정보 처리 허용 등 규제특례를 고도화할 것”이라며 “가명정보에서 개인신용정보 처리를 허용하고, 개인신용정보의 클라우드 처리 시 전산실 국내 설치 규정 정비를 검토하고 있다”고 밝혔다.
이어 서 팀장은 “제3자 리스크 관리 강화 등 정보처리 위탁제도를 정비할 것”이라며 “제3자에 대한 금융당국 감독권한 등 법적 근거를 마련하고, 위탁업무 중요도 등에 따른 차등화된 보호조치가 되도록 개선할 계획”이라고 밝혔다.
망분리 규제 개선방안 3단계
원칙(Principle) 중심의 금융권 자율보안
망분리 규제 개선방안 3단계는 원칙(Principle) 중심의 금융권 자율보안이다. 금융당국은 법령을 통해 보안 원칙과 목표를 제시하고, 세부사항은 가이드로 안내해 금융회사가 자율적으로 보안을 강화하도록 하겠다는 방침이다.
이와 관련 금융보안원 서호진 팀장은 “사고시 배상책임 강화, 과징금 도입 등에 대한 법적 근거 마련, 중요 사항에 대해 CEO와 이사회 보고, CISO 역할 확대 등을 추진해 책임을 강화할 것”이라며, “금융당국은 금융회사의 자율보안 체계 수립과 이행을 검증하는 등 원칙 중심의 자율보안으로 금융회사의 책임성이 강화된다”고 밝혔다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>