[아이티데일리] 금융당국은 지난 2013년 대규모 전산망 마비 사태 이후 망분리 규제를 도입해 보안 체계를 강화해 왔다. 망분리 규제는 사이버 공격 위험성을 낮추는 데 효과를 거뒀으나, 클라우드와 인공지능(AI) 등 신기술 도입에는 걸림돌로 작용하는 한계도 드러냈다. 금융당국은 변화하는 IT 환경에 대응하고 금융 산업의 디지털 경쟁력을 높이기 위해 보안 규제 선진화와 망분리 개선을 추진하고 있다.

특히 금융당국은 ‘자율보안’을 핵심 키워드로 삼아 금융회사가 스스로 보안 체계를 수립하고 관리하는 방향으로 전환을 유도하고 있다. 이를 통해 기술 변화에 유연하게 대응하면서도 보안 수준을 높이겠다는 전략이다. 이러한 변화 속 금융회사는 자율보안 전환으로의 변화에 대응하고자 제로 트러스트(Zero Trust) 보안 모델을 주목하고 있다.

금융당국, 보안 규제 선진화 및 망분리 개선 나서

금융위원회는 지난 2022년 ‘금융보안규제 선진화 방안’을 발표했다. 여기에는 급변하는 IT 환경과 새로운 보안 리스크에 금융회사가 대응할 수 있도록, 기존 규제를 정비하고 나아가 자율 보안 체계를 구축하는 방향으로 규율 체계를 개선하는 내용이 담겼다.

구체적으로는 △보안 거버넌스 개선 △규제 정비 △관리·감독 선진화 등 세 가지를 골자로 삼았다. 우선, 보안을 전사적 차원에서 준수하는 핵심 가치로 삼도록 최고정보보호책임자(CISO) 권한을 확대하고, 점차 자율보안체계로 이행하도록 했다. 이에 맞게 금융당국은 목표·원칙 중심으로 바꾸되 대신 사고 발생 시 사후 책임을 강화하는 형태로 규제와 관리·감독 방식을 손질해 나간다는 계획을 세웠다.

망분리 규제에 대한 개선 방안도 수립했다. 금융위원회는 지난해 8월 생성형 AI 허용, SaaS 이용 범위 확대 등을 중심으로 한 ‘금융분야 망분리 개선 로드맵’을 발표했다.

기존 제도에서는 연구개발망은 망분리 예외 대상에 포함했으나 업무망과는 물리적으로 분리된 형태로 구성됐다. 앞으로는 제도 개선을 통해 이를 논리적 망분리로 전환해 AI, SaaS 등 신기술 활용이 원활해질 수 있도록 지원할 예정이다. 이와 함께 업무망에서 활용하는 SaaS에 대해서도 가명정보와 모바일 단말 사용 등을 허용하고 고객 관리, 업무 자동화 등으로 범위를 확대해 나갈 계획이다.

금융당국이 금융보안 규제를 재정립하는 데 있어 중심에 둔 키워드는 ‘자율보안’이다. 자율보안은 금융당국이 상위 기준만을 제시하고 이를 구현하는 법은 기업과 기관이 자율적인 판단 아래 스스로 마련하는 개념이다. 각 조직에서 목표를 달성하는 방법을 자율적으로 선택하는 만큼 기술 발전이나 환경 변화에 유연한 대응이 가능하며, 특정 분야 솔루션 채택을 강제하지 않아 신기술, 혁신적 서비스 도입이 용이하다는 장점이 있다.

신기술에 걸맞은 ‘자율보안 체계’ 수립 추진

국내 금융보안은 ‘규정(Rule)’ 중심 보안으로 이뤄져 있었다. 정부는 규칙, 지침 등을 상세히 정리한 법과 제도를 마련하고, 금융회사는 이 내용을 준수하는 데 초점을 맞추는 체계다. 내용이 구체적이기 때문에 기업과 기관에서 보안 목표를 수립하기 쉽고, 이 체계를 따르기만 해도 기본적인 보안 수준을 충족할 수 있다. 인터넷뱅킹이 활발해지던 시기에 만들어진 우리나라 전자금융거래법이 규정 중심 보안의 대표적 사례다.

규정 중심 보안은 기업들이 기술 이해도가 높지 않은 시점에서 최소한의 보호 역량을 만들 수 있도록 기여한다. 하지만 단점도 존재한다. 나열된 통제 사항을 지킨다면 보안 책임이 완화되기 때문에 보안 강화가 아니라 규정 준수 그 자체가 목표가 돼 버리는 주객전도 현상이 일어날 수 있다. 또 규정을 바꾸는 데 시간이 오래 걸리기 때문에 새로운 위협, 기술 변화에 대응하기 힘들다. 국내 금융권이 AI와 클라우드를 쉽게 받아들이지 못하고 있는 것은 이러한 규정 중심 보안 체계에서 기인한다.

반면, 원칙 중심 보안은 최소 권한, 심층 방어와 같은 근본 원칙에 기반해 보안 체계를 구축 및 운영하는 접근 방식이다. 특정 요건을 맞추기 위한 기술, 솔루션 도입보다는 보안 조치가 필요한 이유, 시스템을 구축하는 환경 등 보안에 대한 본질적인 이해를 요구한다.

원칙 중심 보안은 규정 중심 보안에 비해 기술 변화에 능동적으로 대응할 수 있는 개념이다. 세부 사항이 정해져 있지 않아 기업은 원칙을 바탕으로 구현 방식을 전환함으로써 유연한 시스템을 구성할 수 있다. 규정 준수를 넘어 조직의 특성, 환경에 맞춘 보안 체계 구현도 가능하다.

개정 이전 전자금융감독규정 제32조는 규정 중심 보안의 한계를 드러낸 사례다. 해당 조항은 비밀번호를 숫자, 영문자 및 특수문자를 혼합해 사용하고 분기별 1회 이상 변경하도록 규정했다. 이는 한국인터넷진흥원(KISA)에서 2008년 발간한 ‘패스워드 선택 및 이용 안내서’에 담긴 내용이 반영된 사항이다.

2017년 미국 국립표준기술연구소(NIST)는 비밀번호의 과도한 복잡성과 변경주기 요구사항이 사용성을 떨어뜨리고 역효과를 초래한다고 판단, 관련 내용을 폐기했다. 이에 KISA에서 안내서에 해당 내용을 삭제 처리했다. 하지만 올해 2월 개정안이 시행되기 전까지는 비밀번호 복잡성 및 변경주기 규제가 남아 있었다. 규정 중심 보안이 왜 빠른 IT 기술 변화에 대응하는 데 어려움이 있는지를 보여준 지점이다.

자율보안 체계 자리 잡은 해외 선진국

해외 선진국에서는 이미 원칙 중심 보안이 자리 잡고 있다. 먼저 영국은 2008년 글로벌 금융 위기 이후 규제 체계를 원칙 중심 접근 방식으로 전환했다. 영국 금융행위감독청(FCA)는 세부 규정 방식의 규제가 금융시장에서 발생하는 문제를 예방하는 데 실패했으며, 금융회사들이 목적을 이해하기보다 규정 문구 해석에 치우도록 만들었다고 판단했다. 이에 원칙과 결과를 중시하는 상위 규정 형태로 규제 방식을 바꿨다.

영국 건전성감독청(PRA)에서는 감독 지침 ‘SS1/21’을 통해 금융회사가 고객과 시장에 서비스를 지속적으로 제공할 수 있도록 운영 복원력(Resilience)을 확보하는 방안을 원칙 중심으로 마련했다. 해당 지침은 금융회사에 ‘심각하지만 가능성 있는(Severe but Plausible)’ 시나리오에 대한 복원력을 테스트하는 등 사이버 위협을 비롯한 다양한 운영 중단 요인으로부터 서비스를 보호하는 방안을 마련토록 지시한다.

유럽연합(EU)에서는 올해 1월부터 디지털운영복원력법(DORA)이 시행됐다. DORA는 디지털 위협에 대응하기 위한 유연성 강화와 규제 효율성 제고를 목표로, EU 전역에 대한 ICT 위험 관리 프레임워크를 표준화하는 내용으로 구성됐다. 구체적 내용을 서술하기보다 금융회사가 내부 환경에 맞는 위험 관리 체계를 구축하도록 유도하는 형태로 만들어졌다.

미국 뉴욕주에서는 2017년부터 원칙 중심의 보안 조치 사항이 담긴 사이버보안 규정(23 NYCRR 500)을 시행 중이다. 해당 규정은 위험 평가에 기반한 정책 수립을 통해 각 회사가 직면한 위험을 식별하고 취약한 지점에 자원을 집중하는 맞춤형 사이버보안 체계를 지향한다. 이를 위해 미국 연방금융기관 심사위원회(FFIEC)에서 발간한 사이버보안 평가 도구를 적극 활용할 것을 권고하고 있다.

해외에서는 자율보안 체계 아래 자신들의 보안 수준을 높이는 방안을 마련하기 위한 금융회사들의 노력도 이어지고 있다. 일례로 미국 CRI(Cyber Risk Institute)에서는 JP모건, 골드만삭스, 모건스탠리 등 유수의 금융회사와 함께 금융 서비스 분야 사이버보안 프로파일을 제작했다. 해당 자료는 전 세계 2,500개 이상의 규제, 지침 및 감독조항 분석을 통해 △거버넌스 △식별 △보호 △탐지 △대응 △복구 △공급망 관리 등 7개 분야에 걸쳐 금융회사가 보안 실태를 점검할 수 있는 진단 항목 278개를 제공한다.

[인터뷰] “‘원칙 중심 보안’, 금융권 보안 수준 높이는 우수한 방향성”

Q. ‘원칙 중심 보안’이 그간 국내에 자리 잡지 못한 까닭은.

“원칙 중심 보안이란 목표를 정해두고 이를 달성하기 위한 세부 사항은 기업, 기관의 몫으로 남겨두는 형태다. 그렇기에 기본적으로 법과 제도를 지키는 곳에서 내부 상황을 점검하고 스스로 체계를 수립할 수 있는 역량을 갖추고 있어야 한다. 그동안 금융당국에서도 원칙 중심 보안을 추구하고 싶었으나 기업과 기관에서 보안을 이해하고 환경에 맞는 방법을 세울 줄 아는 능력이 부족한 실정이었다. 이 때문에 세세한 방식을 규정하고 이를 준수하도록 만드는 규정 중심 보안을 택할 수밖에 없었다.”

“전자금융감독규정이 마련된 지 20여 년이 지났다. 그 사이 우리나라에서 정보보호에 대한 중요성이 높아졌으며 조직, 인력, 예산 등 여러 부분에서 보안을 강화하기 위한 노력이 이어졌다. 이러한 변화에 따라 금융당국에서도 원칙 중심 보안이 가능하다는 판단하에 선진화 방안 추진에 나섰다.”

Q. 자율보안으로 금융회사의 보안 수준이 낮아질 가능성은 없는지.

“원칙 중심 보안은 규정 중심 보안에 비해 결코 규제와 보안을 약화하는 체계가 아니다. 실질적으로는 더 강화한다고 볼 수 있다. 기업, 기관이 갖춘 역량에 따라 달라질 수 있으나 보안을 높인다는 본래 목적에는 원칙 중심 보안이 더 효과적이다.”

“더군다나 원칙 중심 보안과 함께 하는 키워드가 사후 규제와 책임성 강화다. 금융회사가 알아서 보안 체계를 수립하는 자율성을 보장하는 만큼, 이후 사고가 발생하면 더 많은 책임을 묻게 되는 구조로 법과 제도가 달라질 것이다. 가령 원칙 중심 보안이 자리 잡은 후에 SK텔레콤 해킹 사건과 같은 일이 일어난다면 더 큰 부담을 짊어질 가능성이 농후하다.”

“망분리 역시 원칙 중심으로 전환한다 해서 완화된다 볼 수 없다. 전자금융감독규정은 금융회사에 대해 전산망에는 물리적 망분리를 의무화하고, 그 외 업무망에는 물리적 망분리와 논리적 망분리는 선택해 적용토록 하고 있다. 그런데 국내 모든 망분리 관련 사항이 이처럼 세세한 규정을 바탕으로 하지는 않는다. 가령 국가정보원의 ‘국가정보보안기본지침’에서는 망분리와 관련해 특정한 보안대책을 수립·시행해야 한다고 규정할 뿐 세부 내용을 모두 기술하지는 않는다.”

Q. 원칙 중심 보안을 위해 국내 금융권이 준비해야 할 점은.

“자율보안 그리고 원칙 중심 보안은 결국 법과 제도를 준수하는 이들의 역량에 따라 좌우된다. 따라서 금융권 전반에서 보안 거버넌스가 강화될 필요가 있다. 경영진, 이사회처럼 의사결정권자들이 보안에 책임을 느끼고 인력을 확보해 관련 조직을 강화하고 이를 위한 투자를 더욱 확대하는 등 전반적인 운영 체계를 바꿔야 한다는 이야기다.”

“제로 트러스트처럼 이미 나와 있는 아키텍처를 참고하는 방향도 있다. 제로 트러스트는 중요 자원에 초점을 맞추고 핵심 원칙에 따라 통제를 강화하는 전략이다. 이 또한 기업과 기관에서 내부 환경에 맞게 보안 체계를 수립하기 때문에 원칙 중심 보안의 한 예라고 볼 수 있다.”