금융위 망분리 규제 특례 1차 신청, 망분리 빗장 풀리자 49개사 중 절반 가까이 몰려
클라우드 인증부터 ‘API 키’ 관리까지 까다로운 대체 통제 요건에 실무진 압박감 가중
문광석 원장 “방어자에게 합리적 무기 쥐여준 조치... 중소 금융사 소외는 아쉬워”
[보안뉴스 조재호 기자] 공공부문의 국가망 보안체계(N2SF) 본격화를 시작으로 국내 망분리 정책이 새로운 국면을 맞이했다. 클로드 미토스(Claude Mythos) 등 고성능 AI 보안 위협에 대응해 금융권도 망분리 규제에 대해 긴급 완화 조치에 돌입했다.
[출처: 연합뉴스]
1일 금융권과 보안업계 등에 따르면 금융위원회의 ‘망분리 규제 특례 1차 신청’이 지난달 29일 마감됐다. 이번 규제 특례는 클로드 미토스 같은 고성능 AI 해킹 위협이 대두되면서 방어 측 또한 고성능 AI를 도입해야 할 필요성이 늘어나며 규제를 과감히 개선해야 한다는 내용을 골자로 한다.
주된 내용은 보안목적으로 AI를 활용할 수 있도록 망분리 규제를 1년간 한시적으로 완화하며, 향후 AI 활용 능력에 따라 선별된 금융사를 대상으로 망분리 규제를 전면 해제하는 방안까지 검토하고 있다. 다만, 모든 금융사가 동일한 수준의 보안역량과 AI 활용 역량을 기대하기 어려운 만큼 준비된 금융사부터 규제 완화를 허용해 성공 사례를 축적하고, 이를 금융권 전반으로 단계적 확산할 계획이다.
이에 따라 규제 특례 1차 선정은 민간 전문가 심사 등을 거쳐 10곳 내외를 선정하고, AI 기반 취약점 테스트 및 보안 SaaS 솔루션 구축을 진행한다. 또, 하반기 2·3차 신청 등 총 3회에 걸쳐 대상을 확장해 나갈 예정이다.
망분리는 외부 인터넷망과 내부 업무망을 분리해 사용하도록 한 보안 정책이다. 네트워크와 연결점을 차단해 중요 정보를 다루는 내부 시스템을 보안 위협에서 보호하겠다는 취지로 지난 2006년 도입됐다. 경우에 따라 예외적으로 가상화 PC 등을 활용해 1대의 PC로 망만 구분해 사용하는 논리적 망분리가 병행돼 활용되기도 했다.
전사적 과제로 떠오른 망분리 규제 완화, 선제적 도입 압박감 높아져
망분리 해제라는 파격적인 조치에 금융권은 즉각 반응했다. 이번 1차 신청에만 대상 금융사 49곳 중 절반가량인 20개사가 몰린 것으로 파악되며 현장의 다급함과 AI 도입 열기를 증명했다. 전 산업군에 AI 전환 흐름이 가속화되는 가운데 보수적으로 평가받는 금융권도 예외가 아니라는 이야기다.
한 금융권 보안 전문가는 “망분리에 가로막혀 있던 보안 SaaS·AI를 활용할 수 있는 절호의 기회로 망분리 전면 해제 방안까지 논의되고 있어 전사적 도전 과제로 다뤄지고 있다”며 “이번 조치에 타 부서나 임원진까지 보안에 관심을 가지며, 준비 상황을 확인하고 있다”고 현장의 분위기를 전했다.
또 다른 사례로 최근 한 대형 금융사가 올해 초 도입을 논의하던 보안 솔루션 도입을 전면 보류하고 재검토에 나섰다고 전해진다. 통상 보안 솔루션 도입은 1년 가량의 검증 기간(PoC)을 거치는데, 해당 솔루션이 온프레미스 기반으로 최근 망분리 추세와 동떨어졌다는 이유로 원점 재검토가 이뤄진 것이 아니냐는 추측이 나온다.
클라우드 인증·API 가시성 확보 총력전 “자율책임 기반 정책 확대 시급해”
망분리 전면 해제가 전사적 과제로 떠오르며 선제적으로 대응하지 않으면 직무유기로 취급받는 사내 분위기 속에서 보안 담당자들의 압박감도 커지고 있다. 특히 올해 초 금융당국이 제시한 망분리 대체 통제 요건을 단기간 내 구현해야 한다.
대체 통제 요건으로 클라우드 보안인증(CSAP, ISMS-P, FedRAMP 등) 중 1개 이상 보유하고, 엔터프라이즈 AI 사용, 사고·장애 대응 절차 수립 등이 있다. 특히 허용된 서비스 외 외부 인터넷 및 제3자 앱 연계를 차단하고, API 키와 관리자 계정 등 주요 인증 정보에 대한 철저한 점검 및 관리 절차를 수립하도록 했다. 클라우드 환경에서 API 키가 핵심 통제 항목으로 부상한 것이다.
지난해 대규모 정보 유출 사고 중 쿠팡 해킹 사태에서도 API 키 노출이 주요 원인이었음을 감안하면, 공식적인 승인이나 감독을 벗어난 무단 AI 도구 활동 등의 섀도우 AI를 비롯해 API 키 관리 등의 가시성 확보와 통제 대책이 중요해졌다.
문광석 한국정보공학기술사회 미래융합기술원장은 “기존 망분리 규제로 AI 보안이 어려웠던 국내 금융사에 AI 해커에 대응할 무기를 쥐어준 합리적 조치”라며 “망분리 전면 해제라는 인센티브가 명문화되면서 CEO들도 보안에 투자할 명분이 생긴 만큼 훌륭한 사례들이 생길 것으로 기대된다”고 말했다.
이어 “이번 조치가 총 자산 10조, 임직원 1000명 기준인 49개사를 시작으로 순차적인 도입인 만큼 중소 금융사가 소외될 수 있다는 부분은 아쉽다”며 “최근 기업 규모와 관계없이 글로벌 해킹 조직이 공격 표적이 되고 있는 만큼 자율책임 기반의 보안 AI 활용이 더 확대될 수 있는 후속 조치를 기대한다”고 덧붙였다.
[조재호 기자(zephyr@boannews.com)]
클라우드 인증부터 ‘API 키’ 관리까지 까다로운 대체 통제 요건에 실무진 압박감 가중
문광석 원장 “방어자에게 합리적 무기 쥐여준 조치... 중소 금융사 소외는 아쉬워”
[보안뉴스 조재호 기자] 공공부문의 국가망 보안체계(N2SF) 본격화를 시작으로 국내 망분리 정책이 새로운 국면을 맞이했다. 클로드 미토스(Claude Mythos) 등 고성능 AI 보안 위협에 대응해 금융권도 망분리 규제에 대해 긴급 완화 조치에 돌입했다.
[출처: 연합뉴스]
1일 금융권과 보안업계 등에 따르면 금융위원회의 ‘망분리 규제 특례 1차 신청’이 지난달 29일 마감됐다. 이번 규제 특례는 클로드 미토스 같은 고성능 AI 해킹 위협이 대두되면서 방어 측 또한 고성능 AI를 도입해야 할 필요성이 늘어나며 규제를 과감히 개선해야 한다는 내용을 골자로 한다.
주된 내용은 보안목적으로 AI를 활용할 수 있도록 망분리 규제를 1년간 한시적으로 완화하며, 향후 AI 활용 능력에 따라 선별된 금융사를 대상으로 망분리 규제를 전면 해제하는 방안까지 검토하고 있다. 다만, 모든 금융사가 동일한 수준의 보안역량과 AI 활용 역량을 기대하기 어려운 만큼 준비된 금융사부터 규제 완화를 허용해 성공 사례를 축적하고, 이를 금융권 전반으로 단계적 확산할 계획이다.
이에 따라 규제 특례 1차 선정은 민간 전문가 심사 등을 거쳐 10곳 내외를 선정하고, AI 기반 취약점 테스트 및 보안 SaaS 솔루션 구축을 진행한다. 또, 하반기 2·3차 신청 등 총 3회에 걸쳐 대상을 확장해 나갈 예정이다.
망분리는 외부 인터넷망과 내부 업무망을 분리해 사용하도록 한 보안 정책이다. 네트워크와 연결점을 차단해 중요 정보를 다루는 내부 시스템을 보안 위협에서 보호하겠다는 취지로 지난 2006년 도입됐다. 경우에 따라 예외적으로 가상화 PC 등을 활용해 1대의 PC로 망만 구분해 사용하는 논리적 망분리가 병행돼 활용되기도 했다.
전사적 과제로 떠오른 망분리 규제 완화, 선제적 도입 압박감 높아져
망분리 해제라는 파격적인 조치에 금융권은 즉각 반응했다. 이번 1차 신청에만 대상 금융사 49곳 중 절반가량인 20개사가 몰린 것으로 파악되며 현장의 다급함과 AI 도입 열기를 증명했다. 전 산업군에 AI 전환 흐름이 가속화되는 가운데 보수적으로 평가받는 금융권도 예외가 아니라는 이야기다.
한 금융권 보안 전문가는 “망분리에 가로막혀 있던 보안 SaaS·AI를 활용할 수 있는 절호의 기회로 망분리 전면 해제 방안까지 논의되고 있어 전사적 도전 과제로 다뤄지고 있다”며 “이번 조치에 타 부서나 임원진까지 보안에 관심을 가지며, 준비 상황을 확인하고 있다”고 현장의 분위기를 전했다.
또 다른 사례로 최근 한 대형 금융사가 올해 초 도입을 논의하던 보안 솔루션 도입을 전면 보류하고 재검토에 나섰다고 전해진다. 통상 보안 솔루션 도입은 1년 가량의 검증 기간(PoC)을 거치는데, 해당 솔루션이 온프레미스 기반으로 최근 망분리 추세와 동떨어졌다는 이유로 원점 재검토가 이뤄진 것이 아니냐는 추측이 나온다.
클라우드 인증·API 가시성 확보 총력전 “자율책임 기반 정책 확대 시급해”
망분리 전면 해제가 전사적 과제로 떠오르며 선제적으로 대응하지 않으면 직무유기로 취급받는 사내 분위기 속에서 보안 담당자들의 압박감도 커지고 있다. 특히 올해 초 금융당국이 제시한 망분리 대체 통제 요건을 단기간 내 구현해야 한다.
대체 통제 요건으로 클라우드 보안인증(CSAP, ISMS-P, FedRAMP 등) 중 1개 이상 보유하고, 엔터프라이즈 AI 사용, 사고·장애 대응 절차 수립 등이 있다. 특히 허용된 서비스 외 외부 인터넷 및 제3자 앱 연계를 차단하고, API 키와 관리자 계정 등 주요 인증 정보에 대한 철저한 점검 및 관리 절차를 수립하도록 했다. 클라우드 환경에서 API 키가 핵심 통제 항목으로 부상한 것이다.
지난해 대규모 정보 유출 사고 중 쿠팡 해킹 사태에서도 API 키 노출이 주요 원인이었음을 감안하면, 공식적인 승인이나 감독을 벗어난 무단 AI 도구 활동 등의 섀도우 AI를 비롯해 API 키 관리 등의 가시성 확보와 통제 대책이 중요해졌다.
문광석 한국정보공학기술사회 미래융합기술원장은 “기존 망분리 규제로 AI 보안이 어려웠던 국내 금융사에 AI 해커에 대응할 무기를 쥐어준 합리적 조치”라며 “망분리 전면 해제라는 인센티브가 명문화되면서 CEO들도 보안에 투자할 명분이 생긴 만큼 훌륭한 사례들이 생길 것으로 기대된다”고 말했다.
이어 “이번 조치가 총 자산 10조, 임직원 1000명 기준인 49개사를 시작으로 순차적인 도입인 만큼 중소 금융사가 소외될 수 있다는 부분은 아쉽다”며 “최근 기업 규모와 관계없이 글로벌 해킹 조직이 공격 표적이 되고 있는 만큼 자율책임 기반의 보안 AI 활용이 더 확대될 수 있는 후속 조치를 기대한다”고 덧붙였다.
[조재호 기자(zephyr@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.png){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
