금융위원회가 2024.8.13 기존 망분리 규제를 개선하고 금융 보안에 관한 패러다임을 전환하기 위해 관련 법과 제도를 전면 개편하는 내용의 금융보안망분리 개선 로드맵을 발표하였습니다. 금융권 망분리 규제는 2013년에 발생한 사이버 테러 사건으로 인하여 국내 일부 은행의 전산 서비스가 중단된 것을 계기로 도입되었으나, 금융 경쟁력 저하 및 금융권 보안 발전 저해 요인으로 지적되어 왔습니다. 또한 최근 모든 시장에 큰 화두인 생성형 Ai 도입에 걸림돌이라는 지적과 함께 망분리 규제 완화는 지속적으로 논의되었습니다.
망분리는 왜 도입되었을까?
2013년 3월 20일 주요 방송사들의 컴퓨터가 일제히 작동을 멈췄던 사건이 있었습니다. 비슷한 시간에는 주요 은행들의 서버에도 문제가 생기기 시작하면서 점차 더 큰 문제임이 드러났습니다. 신한은행의 모든 전산이 마비되면서 창구거래, ATM 거래가 모두 중단되고, 결국 모든 거래가 중단되는 사태가 벌어졌습니다. 방송사와 은행망에 대한 해킹 공격이 동시다발적으로 이루어지면서 업무 마비 뿐만 아니라 피해 기업들의 자료까지 손실을 보는 아주 큰 피해가 있었습니다. 그 사건을 이른바 ‘3.20 사이버테러’사건으로 불릴 정도로 아주 심각한 사건으로 불리게 되었습니다. 이 사건을 통해 금융당국은 ‘금융전산 보안강화 종합대책’의 일환으로 망분리 규제를 도입하게 되었고, 그 동안 해킹 등의 위협에서 금융시스템을 안전하게 보호하는 역할을 해왔습니다.
그 때는 맞고 지금은 틀리다.
그러나 현재 기업들의 이야기는 매우 다릅니다. 금융시스템을 안전하게 보장하고자 하는 규제가 오히려 ‘갈라파고스 규제’로써 성장을 저해한다는 지적을 받게 되었습니다. 왜 그럴까요? 바로 Ai 때문입니다. 금융사가 외부 서버에 구축된 AI 클라우드 서비스를 사용할 수 없어서 입니다. 다양한 업계에서 Ai를 통한 디지털 혁신을 추진하고 있는 가운데 우리나라의 금융사들은 ‘망분리 규제’로 인해 Ai를 활용하는 것에 큰 제약을 받고 있었습니다. 빅데이터 분석을 통한 고객 맞춤형 금육상품 개발과 자문 서비스 제공 등 금융권의 Ai 활용이 점점 다양해지고 고도화되는 가운데 데이터 활용 및 공유 관련 규제 등으로 금융권의 Ai 활용 필요성에 비해 실제 활용도는 매우 저조하다는 조사결과가 발표되기도 했습니다.
금융권 망분리규제 완화를 어떻게 극복할 수 있을까?
금융분야 로드맵이 발표된 이후 우려의 목소리도 있습니다. 개인의 신용정보까지 Ai 서비스에 이용할 수 있게 되기 때문에 민감정보 유출에 대한 우려가 큰 상황입니다. 그러나 다수의 보안 전문가들은 아래와 같은 의견으로 망분리 규제 완화에 대한 목소리를 높였습니다.
“2차 규제 샌드박스 형태가 개인 맞춤형 서비스를 더 다양하게 만들 수 있다는 점에서 가야 할 방향성은 맞다. 이러한 혁신의 태도는 바람직하다” “만약 개인정보가 국외 이전 시 해당 정보가 피싱에 악용될 수 있다는 점을 인지하고 관련 보안책을 철저히 세워야 할 것” (익명을 요구한 한 대학교수)
김승주 고려대 정보보호대학원 교수는 “미국은 예전부터 데이터 중요도를 중심으로 망분리를 도입해왔고 제로 트러스트를 기반으로 하고 있다”고 강조했다. 이어 “앞으로 금융사 각 사가 데이터 중요도 별로 나눠 개별적으로 정보보호 체계를 세우게 될 것이고 소비자는 이에 따라 원하는 서비스를 선택해 사용하면 된다”고 설명했다.
다중보안체계(MLS)와 사용자 인증 관련 보안 솔루션 시장은 더 활성화될 전망이다. 김 교수는 “제로 트러스트 기반 시스템에서 사용자 인증은 필수 솔루션”이라며 “앞으로 국내 보안업체들이 이러한 솔루션과 서비스 제공에 대비해야 할 것”이라고 말했다.
2013년 망분리 규제로부터 10년이 지난 지금, 망분리 개선은 피할 수 없는 글로벌 대세가 되었습니다. 금융권 기업들이 더 안전한 보안 환경에서 가파르게 성장할 수 있는 방법은 무엇일까요? 바로 더 고도화되고 안전한 정보보호 솔루션과 서비스가 제공되고, 탁월한 역량의 정보보호 관리자들이 세워지는 것입니다.
빠르게 변화하는 비즈니스 환경에서 앞서가는 것은 매우 중요합니다. 앞서가는 민첩성과 함께 안전한 보안 환경을 요구하는 것들은 여전히 충돌되는 지점이 있지만, 효과적인 보안 솔루션은 기업 성장의 걸림돌이 되지 않고 오히려 더 큰 날개를 달아줍니다.
PLURA는 클라우드 환경에서 완전하게 동작하는 통합 보안 플랫폼 입니다.
PLURA는 웹방화벽, 호스트 보안, 통합보안이벤트 관리 제품이 수직적으로 통합된 혁신적인 정보보안 클라우드 플랫폼 입니다. 마이터 어택을 기반으로 크리덴셜 스터핑과 APT 해킹 공격에 대응하며 제로트러스트 아키텍처의 핵심 구성 요소를 제공합니다. 기존 망분리에서 내부 사용자와 외부 사용자를 구분하는 관점이 있었다면 PLURA는 제로트러스트의 원칙을 기반으로 모든 접근을 잠재적 보안 위협으로 바라봅니다. 공격은 진화되어가고 IT 환경은 빠르게 변화하기 때문에 단순 경계를 기반으로 위협을 판단하는 것은 더 이상 적합하지 않습니다. 또한, 단일 보안 제품들의 연동으로 보안 아키텍처를 구축하는 것도 적합하지 않습니다. PLURA는 플랫폼의 장점을 극대화한 기술력으로 통합적인 보안의 비전을 제시합니다.
[참조]
금융권 IT종사자 75% 이상, “망분리·데이터결합 규제로 AI 개발 불편”, 폴리스tv
