[자율보안 ①] 금융권 지켜온 ‘망분리’…기술 변화 속 재정비 목소리

[아이티데일리] 금융당국은 지난 2013년 대규모 전산망 마비 사태 이후 망분리 규제를 도입해 보안 체계를 강화해 왔다. 망분리 규제는 사이버 공격 위험성을 낮추는 데 효과를 거뒀으나, 클라우드와 인공지능(AI) 등 신기술 도입에는 걸림돌로 작용하는 한계도 드러냈다. 금융당국은 변화하는 IT 환경에 대응하고 금융 산업의 디지털 경쟁력을 높이기 위해 보안 규제 선진화와 망분리 개선을 추진하고 있다.

특히 금융당국은 ‘자율보안’을 핵심 키워드로 삼아 금융회사가 스스로 보안 체계를 수립하고 관리하는 방향으로 전환을 유도하고 있다. 이를 통해 기술 변화에 유연하게 대응하면서도 보안 수준을 높이겠다는 전략이다. 이러한 변화 속 금융회사는 자율보안 전환으로의 변화에 대응하고자 제로 트러스트(Zero Trust) 보안 모델을 주목하고 있다.

2013년 전산망 마비로 시작된 망분리 규제

국내 금융권 보안 체계는 망분리 규제를 중심으로 이뤄진다. 망분리는 외부 침입으로부터 내부 전산자원을 보호하기 위해 내부망과 외부망을 분리하는 네트워크 보안 기법이다. 2013년경 전자금융감독규정에 포함됐으며 이후 2016년까지 시중은행 등 제1금융권과 증권사, 보험사 등 제2금융권으로 순차 적용됐다.

2013년 발생한 대규모 전산망 마비 사태는 망분리 규제가 도입된 결정적 계기였다. 그해 3월 20일 KBS, MBC, YTN 등 주요 방송국과 NH농협은행, 신한은행, 제주은행, 우리은행 등 금융회사 4곳에서 외부 공격으로 인해 서버가 마비되는 사건이 벌어졌다. 이 가운데 신한은행에서는 모든 전산이 멈춤에 따라 창구나 현금자동입출금기(ATM) 거래가 중단됐으며 계좌와 연결된 체크카드 결제도 먹통이 돼 버렸다.

늘어나는 전자금융거래도 망분리 필요성을 높인 한 요인이었다. 금융위원회에서 발표한 ‘금융전산 보안 강화 종합 대책’에 따르면, 2013년 3월 기준 전체 금융거래에서 전자금융거래가 차지하는 비중은 87.7%를 기록했다. 인터넷뱅킹과 모바일뱅킹 일평균 거래 금액은 33조 원 이상이었다. 전자금융거래가 보편화되는 만큼 전산망이 공격받을 때 피해가 더 커질 가능성도 높아졌다.

이에 금융위원회는 2013년 7월 금융전산 보안 강화 종합대책을 발표하며 금융회사에 대한 망분리 규제를 공식화했다. 전산센터에는 2014년 말까지 업무용과 인터넷용을 물리적으로 분리해 PC 2대를 사용하는 ‘물리적 망분리’를 의무화했다. 본점·영업점에는 총자산, 임직원 수 등 규모에 따라 단계적으로 추진키로 했다. 전산센터와 달리 본점·영업점은 물리적 망분리와 소프트웨어 차원에서 분리하는 ‘논리적 망분리’ 중 하나를 선택할 수 있었다.

내·외부망 분리로 높아진 보안성

망분리는 설계 방식에 따라 물리적 망분리와 논리적 망분리로 나뉜다. 물리적 망분리는 통신망, 장비 등을 물리적으로 이원화해 인터넷 접속이 가능한 PC와 그렇지 않은 PC로 구분하는 방식이다. 논리적 망분리는 하나의 장비를 사용하나 가상화 등으로 내부 업무 영역과 인터넷 접속 영역을 분리하는 구조다.

국내 금융권 망분리 규제는 전자금융감독규정에 따라 이뤄진다. 전자금융감독규정 제15조에 따라 금융회사 또는 전자금융업자는 해킹 등 전자적 침해 행위로부터 시스템, 통신망을 보호하기 위해 내부 업무용 시스템을 인터넷 등 외부망과 분리·차단 및 접속 금지 조치해야 한다.

특히 전산실 내에 위치한 정보처리시스템과 해당 시스템의 운영·개발·보안 목적으로 직접 접속하는 단말기는 외부망으로부터 물리적으로 분리해야 한다. 다만 이용자 고유식별정보나 개인신용정보를 처리하지 않는 연구개발용 시스템은 망분리 규제 예외 대상이다.

물리적 망분리는 인터넷망과 업무망 간 경로를 차단하기 때문에 해킹, 악성코드 감염 등 사이버 공격 위험성을 낮출 수 있다. 실제로 2017년경 전 세계 금융기관에 랜섬웨어 감염이 활발히 일어났는데 국내 금융권에서는 피해가 크지 않았다. 전문가들은 망분리가 랜섬웨어 감염을 막는 데에 기여했다고 평가했다.

금융 환경 변화 속 제도 재정비 필요성 증가

망분리 규제는 10년여간 국내 금융 환경을 지켜 왔다. 내부 정보 유출과 외부 해킹 등으로부터 전산망을 보호하는 데 큰 효과를 거뒀다. 하지만 클라우드, AI 등 신기술을 도입하는 데 도리어 걸림돌로 작용하기도 했다.

국내외를 막론하고 금융회사 간 디지털 경쟁은 치열해지고 있다. 금융회사들은 맞춤형 서비스 등으로 고객 경험을 향상하고, 내부 차원에서는 운영 프로세스를 효율화하기 위해서 클라우드 전환에 나섰다. 금융권은 그간 온프레미스(On-premise)로 구축하는 접근법을 선호했으나, 소프트웨어 시장이 서비스형 소프트웨어(SaaS) 중심으로 넘어가는 점도 영향을 다소 미쳤다.

특히 생성형 AI 열풍은 금융권 클라우드 전환에 불을 지폈다. 2023년 말 오픈AI ‘챗GPT’를 시작으로 마이크로소프트 ‘코파일럿’, 구글 ‘제미나이’ 등 다양한 생성형 AI 서비스가 등장했다. 이들 서비스는 데이터나 통계를 요약·분석하거나 보고서 초안을 작성해 주는 등 업무 효율화에 기여하며 기업 내부로 스며들었다. 그런데 AI 서비스 대다수가 클라우드 기반 서비스를 제공하는 터라 국내 금융회사는 이를 활용하는 데 불편을 겪고 있다.

망분리 외에 경직된 법과 제도도 문제로 꼽힌다. 국내는 전자금융거래법과 그 하위 규정인 전자금융감독규정 등으로 보안 관련 사항을 규율하고 있다. 이 가운데 전자금융거래법은 2006년경 인터넷뱅킹이 활성화된 시기에 제정된 법인데 20년이 가까이 지난 현재에도 큰 변화 없이 유지되고 있는 상태다.

금융보안원 디지털금융전략팀 허세경 팀장은 “전자금융거래법은 전자금융환경에서 마땅한 보안 관련 규제가 없던 시기에 금융 보안 체계를 확립한 법이다. 다만 그 당시 만들어진 형태가 지금까지 큰 변화 없이 이어지고 있어 모바일 금융 환경, AI, 클라우드 등 변화하는 디지털 환경에 대응하기 어렵다”고 설명했다.