금융권 망분리 규제개선 3단계 키포인트

2024-09-24 15:59
  • 카카오톡
  • 네이버 블로그
  • url
금융권 망분리 규제 개선 방안 1단계, 연구·개발망 논리적 망분리 개선...사스 사용 가능
2단계, 오는 2025년까지 생성형 AI와 사스 활용 규제 특례 정규 제도화
3단계, 결과책임 원칙에 입각한 금융권의 자율보안 체계로 개선


[보안뉴스 김경애 기자] 망분리 규제 개선방안이 1~3단계로 나뉘며 점진적으로 개선된다. 1단계는 연구·개발망이 기존 물리적 망분리에서 논리적 망분리로 개선됐으며, 논리적 망분리에서 사스(SaaS) 사용이 가능하도록 규제가 완화됐다. 2단계는 오는 2025년까지 생성형 AI와 사스 활용 규제 특례를 정규 제도화되고, 3단계는 결과책임 원칙에 입각한 금융권의 자율보안 체계로 개선된다.


[이미지=gettyimagesbank]

그동안 금융권은 첨단기술이 발전하고 있음에도 불구하고, 물리적 망분리로 인해 신기술 활용에 제약이 있었다. 또한 컴플라이언스 규제 위반 등 여러 제약으로 업무의 효율성이 떨어지는 어려움이 존재해 왔다. 그 대표적인 예가 바로 연구·개발망, 사스, 생성형 AI 활용 제약이다.

망분리 규제 개선방안 1단계
망분리 이슈 1. 연구·개발망

연구개발 목적인 경우 망분리 예외(인터넷 연계)를 허용했다. 그러나 망분리 예외에 따른 보안성 확보를 위한 별도의 독립적인 네트워크(물리적 망분리) 구성 등 부가조건이 부여돼 그동안 금융권에선 애로사항이 적지 않았다.

별도 망 구성에 따른 비용부담이 증가하고, 개인정보 및 신용정보의 활용 제한으로 실질적 연구개발이 진행되기 어려웠기 때문이다. 또한 IT 인력의 원격 근무도 필요한 상황이라 효율적으로 운영·개발 연계가 불가능한 문제가 있었다.

이와 관련 금융보안원 서호진 팀장은 금융권 망분리 규제개선 세미나에서 망분리 규제 개선방안 1단계를 제시하며 “연구·개발 업무의 경우 기존 물리적 망분리에서 논리적 망분리로 개선됐다”며 “연구·개발에 가명정보를 활용할 수 있도록 망분리 예외 허용에 가명정보가 허용됐다”고 설명했다.


▲금융권 망분리 규제개선 세미나에서 금융보안원 서호진 팀장인 금융권 망분리 규제 개선방안 3단계에 대해 설명하고 있다[사진=보안뉴스]

망분리 이슈 2. 사스(SaaS)
비중요 업무에 한해 내부망의 사스 이용을 규제특례로 허용했다. 하지만 내부망 사이버침해 예방 등을 위해 사스 제공자에 대한 안전성 평가인 CSP 실시 등 보안 부가조건이 부여됐다. 하지만 이에 대해 금융권에서는 비중요 업무에 한정된 사스 이용 범위를 확대해야 한다며 MS 365 등 협업도구, 보안관리 도구, IT 자원 관리 등 사스 서비스가 다양화되고 비용적인 측면에서 효율적인 장점이 있어 보안성과 편의성 간 균형점을 모색해야 한다는 의견이 제기돼 왔다.

사스 규제 개선에 대해 서호진 팀장은 “사스의 경우 규제샌드박스를 통해 가명정보와 모바일 단말이 허용된다”며 “화상회의, 인사관리, 업무 자동화 등 이용업무 확대를 위해 논리적 망분리의 업무망에서 사스를 사용할 수 있도록 규제가 완화됐다”고 설명했다.

망분리 이슈 3. 생성형 AI
아직까지 생성형 AI에 대한 국내 금융권 활용은 제한적이라 보수적으로 활용되고 있는 상황이다. 이에 따라 금융회사의 AI기 술 활용에 제약이 되는 내·외부 시스템간 연계와 내부 업무처리 자동화 등에 대한 개선방안을 모색할 필요성이 제기됐다. 특히 생성형 AI 기술의 발전으로 보안성을 고려한 합리화 방안 마련이 요구돼 왔다.

이에 대해 서 팀장은 “생성형 AI의 경우 금융정보 처리업무에 대해서는 물리적 망분리에서 규제샌드박스를 통해 가명정보를 허용해 생성형 AI를 활용할 수 있도록 개선됐다”고 설명했다.

망분리 규제 개선방안 2단계
생성형 AI 및 사스 활용 규제 특례 정규 제도화

망분리 규제 개선방안 2단계는 생성형 AI 및 사스 활용 규제 특례의 정규 제도화다. 샌드박스 사례 누적과 샌드박스 성과 검증을 통해 점진적으로 규제를 개선하겠다는 방침이다.

서 팀장은 “개인신용정보 처리 허용 등 규제특례를 고도화할 것”이라며 “가명정보에서 개인신용정보 처리를 허용하고, 개인신용정보의 클라우드 처리 시 전산실 국내 설치 규정 정비를 검토하고 있다”고 밝혔다.

이어 서 팀장은 “제3자 리스크 관리 강화 등 정보처리 위탁제도를 정비할 것”이라며 “제3자에 대한 금융당국 감독권한 등 법적 근거를 마련하고, 위탁업무 중요도 등에 따른 차등화된 보호조치가 되도록 개선할 계획”이라고 밝혔다.

망분리 규제 개선방안 3단계
원칙(Principle) 중심의 금융권 자율보안

망분리 규제 개선방안 3단계는 원칙(Principle) 중심의 금융권 자율보안이다. 금융당국은 법령을 통해 보안 원칙과 목표를 제시하고, 세부사항은 가이드로 안내해 금융회사가 자율적으로 보안을 강화하도록 하겠다는 방침이다.

이와 관련 금융보안원 서호진 팀장은 “사고시 배상책임 강화, 과징금 도입 등에 대한 법적 근거 마련, 중요 사항에 대해 CEO와 이사회 보고, CISO 역할 확대 등을 추진해 책임을 강화할 것”이라며, “금융당국은 금융회사의 자율보안 체계 수립과 이행을 검증하는 등 원칙 중심의 자율보안으로 금융회사의 책임성이 강화된다”고 밝혔다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 알티솔루션

    • 인콘

    • 엔텍디바이스코리아

    • 마이크로시스템

    • TVT코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 다후아테크놀로지코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 비전정보통신

    • 인텔리빅스

    • 경인씨엔에스

    • 세연테크

    • 성현시스템

    • 한결피아이에프

    • 유니뷰코리아

    • 디비시스

    • 프로브디지털

    • 스피어AX

    • 투윈스컴

    • 트루엔

    • 한국씨텍

    • 위트콘

    • 유에치디프로

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 제이슨

    • 라온시큐어

    • 시만텍

    • 유니닥스

    • 사이버아크

    • 한국IBM

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 유투에스알

    • 에이앤티코리아

    • 네티마시스템

    • 태정이엔지

    • 에이티앤넷

    • (주)일산정밀

    • 주식회사 에스카

    • 두레옵트로닉스

    • 넥스텝

    • 모스타

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엘림광통신

    • 보문테크닉스

    • 지와이네트웍스

    • 티에스아이솔루션

    • 구네보코리아주식회사

    • 동양유니텍

    • 엔에스티정보통신

    • 엔시드

    • 포커스에이치앤에스

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기