금융권 망분리 규제개선, ‘개봉박두’ 했지만... 풀어야할 과제 ‘산더미’

2024-09-26 18:45
  • 카카오톡
  • 네이버 블로그
  • url
금융권 망분리 규제개선, 여전히 부가 조건 부여돼 자율보안 발목 잡아
원칙 중심의 금융권 자율보안 정책, 보안수준 하향 평준화될 수 있어
보안기업 간의 협업과 신기술 및 제품 개발 등은 풀어야할 과제


[보안뉴스 김경애 기자] 금융권 망분리 규제개선을 두고 다양한 의견이 제기됐다. 정책은 원칙 중심의 금융권 자율보안이지만 여전히 부가 조건이 부여돼 발목을 잡고 있다는 의견과 함께 자율보안 정책시 보안수준이 하향 평준화될 수 있다는 우려, 그리고 보안 솔루션 간의 연동 미흡 등 보안기업 간의 협업과 기술의 한계 역시 풀어야할 과제로 제시됐다.


▲금융권 망분리 규제개선 세미나에서 정보보호 활성화를 위한 망분리 규제개선 대응방안이 논의됐다[사진=보안뉴스]

좌장을 맡은 SGA솔루션즈 최영철 대표는 금융권 망분리 규제개선 세미나에서 정보보호 활성화를 위한 망분리 규제개선 대응방안에 대한 다양한 의견을 주문하며, 정보보호산업 발전의 중요성을 강조했다.

먼저 사스(SaaS) 사용시 위탁계약이 별도로 필요하다는 기존 지침과 현재 국정원이 추진하는 다층보안체계와 연동되지 않는다는 점은 아쉬운 부분이라는 의견이 제기됐다.

토스증권 지정호 CISO는 “금융보안 정책이 기존의 규칙(Rule) 방식에서 새로운 원칙(Principle) 방식으로 바뀌는 부분에 대해서는 환영한다”면서도 “그러나 SaaS 서비스 사용 시 SaaS 서비스 제공자 또는 CSP와의 제3자 관리 위탁계약이 별도로 필요하다는 기존 지침과 현재 국가정보원이 추진하고 있는 망분리 개선 정책인 다층보안체계(Multi-Level Security)의 기술적·정책적 방향과 연계되고 있지 않다는 점은 아쉽다”고 밝혔다.

또한 지정호 CISO는 “국내 보안기업에서는 단일 솔루션이 아닌 통합 형태의 솔루션과 서비스가 제시돼야 한다”며 “보안기능 측면에서는 다기능보다는 중요한 핵심 기능의 완전한 구현이 필요하다”고 말했다. 특히 망분리 개선 환경에서는 제로트러스트와 같은 차세대 보안 기술들이 적용돼야 한다고 강조했다.

상명대 유진호 교수는 “원칙 중심의 보안정책이 정보보안 업체들에게 기회가 될 수도 있고 위협이 될 수도 있다”며 “정보보호 역량이 떨어지거나 투자 여력이 없는 기업들의 보안수준을 하향 평준화시킬 수 있다”고 우려했다.

이어 유진호 교수는 “글로벌 보안기업의 트렌드처럼 국내 보안기업들도 SECaaS 클라우드 보안 서비스 개발에 투자해야 하며, 이것이 국내 보안산업의 기초가 돼야 한다”고 설명했다. 또한 “금융권 망분리 개선정책 2단계에서 클라우드 CSP 사용 시 데이터 저장 및 보관 측면에서 CSP 해외 이전이 가능할 수 있도록 개방하는데, 이는 데이터 주권 관점에서 다양한 검토가 필요하다”고 덧붙였다.

안랩 클라우드메이트 최광호 COO는 “SaaS 및 생성형 AI 서비스 사용 시 쉐도우(Shadow) IT의 위험성을 줄일 방안이 필요하다”며 “관리되지 않은 단말의 접속이나 관리되지 않는 시스템들은 보안에 있어 큰 위험이 될 수 있다. 다수의 SaaS를 사용하면서 SaaS와 SaaS 간 발생할 수 있는 API 기반 연동 서비스에 대한 보안성 강화가 요구되고, 모바일 단말 사용의 경우에는 보안위협 요소가 더 많기 때문에 SWG(Secure Web Gateway) 등과 같은 네트워크 보안 기술이 더 필요하다”고 설명했다.

또한 클라우드 구성 환경의 경우 상위 보안체계를 제공하는 상위 기관의 보안체계 연동을 위해 시큐리티 랜딩존 같은 방식의 보안체계 연동 방식도 필요하다고 덧붙였다.

솔루션 벤더 관점에서는 SECaaS 기반의 보안 서비스 제공 시 수요 기관과 해당 기관의 상위 보안기관과의 보안 연계성 제공을 위해 수요기관별로 별도의 연동 과업이 발생하는데, 이는 보안 솔루션 벤더 기업 관점에서 비용 부담이 될 수 있어 논의가 필요하다는 의견도 제기됐다.

아울러 제로트러스트와 같은 새로운 보안체계의 기술 도입도 필요하나, 내부 위험관리 측면에서 XDR 등 위험관리 기술의 선제적 도입이 필요하다는 설명이다.

NNSP 김기현 부사장은 금융권 망분리 규제개선에 있어 생성형 AI 사용, 내부망 SaaS 이용, 연구개발망 논리적 분리 등이 국정원이 추진하는 다층보안체계(Multi Level Security)와 유사하다고 분석하며 제로트러스트 보안기술 적용을 제시했다.

이어 김 부사장은 통합보안 등 신기술 및 제품 개발의 중요성을 강조하면서 “현재 금융권 망분리 규제개선 안의 SaaS 이용 구성도를 보면 내부 업무망 단말과 외부 클라우드 서비스 간 연결에서의 보안 강화를 위해 다양한 보안기술이 필요해 보인다”며 “보안기업 간의 협업, 통합 공동 실증사업 등을 통해 솔루션을 구성하고 연동을 추진해야 한다”고 강조했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

연관 뉴스

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 알티솔루션

    • 인콘

    • 엔텍디바이스코리아

    • 마이크로시스템

    • TVT코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 다후아테크놀로지코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 비전정보통신

    • 인텔리빅스

    • 경인씨엔에스

    • 세연테크

    • 성현시스템

    • 한결피아이에프

    • 유니뷰코리아

    • 디비시스

    • 프로브디지털

    • 스피어AX

    • 투윈스컴

    • 트루엔

    • 한국씨텍

    • 위트콘

    • 유에치디프로

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 제이슨

    • 라온시큐어

    • 시만텍

    • 유니닥스

    • 사이버아크

    • 한국IBM

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 유투에스알

    • 에이앤티코리아

    • 네티마시스템

    • 태정이엔지

    • 에이티앤넷

    • (주)일산정밀

    • 주식회사 에스카

    • 두레옵트로닉스

    • 넥스텝

    • 모스타

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엘림광통신

    • 보문테크닉스

    • 지와이네트웍스

    • 티에스아이솔루션

    • 구네보코리아주식회사

    • 동양유니텍

    • 엔에스티정보통신

    • 엔시드

    • 포커스에이치앤에스

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기