[자율보안 ③] 금융권서 높아진 제로 트러스트 관심도

[아이티데일리] 금융당국은 지난 2013년 대규모 전산망 마비 사태 이후 망분리 규제를 도입해 보안 체계를 강화해 왔다. 망분리 규제는 사이버 공격 위험성을 낮추는 데 효과를 거뒀으나, 클라우드와 인공지능(AI) 등 신기술 도입에는 걸림돌로 작용하는 한계도 드러냈다. 금융당국은 변화하는 IT 환경에 대응하고 금융 산업의 디지털 경쟁력을 높이기 위해 보안 규제 선진화와 망분리 개선을 추진하고 있다.

특히 금융당국은 ‘자율보안’을 핵심 키워드로 삼아 금융회사가 스스로 보안 체계를 수립하고 관리하는 방향으로 전환을 유도하고 있다. 이를 통해 기술 변화에 유연하게 대응하면서도 보안 수준을 높이겠다는 전략이다. 이러한 변화 속 금융회사는 자율보안 전환으로의 변화에 대응하고자 제로 트러스트(Zero Trust) 보안 모델을 주목하고 있다.

‘원칙 중심 보안’과 함께 주목받는 제로 트러스트

원칙 중심 보안은 회사가 내부 환경, 산업 특성을 고려한다는 점에서 기존 규정 중심 보안보다 안전하면서도 유연한 방법론이다. 하지만 추상적인 개념에 근거해 아키텍처를 설계해야 하기에 시간이 소요되며 조직 내 보안 전문성도 요구된다.

‘제로 트러스트’는 원칙 중심 보안이 내재한 추상성, 구현 난도를 구체적인 방법론을 통해 해소할 수 있다. 제로 트러스트는 ‘절대 믿지 말고 계속 검증하라(Never Trust, Always Verify)’는 기본 철학을 중심으로, 네트워크 경계가 아니라 보호 자산에 집중하는 보안 전략이다.

제로 트러스트는 아키텍처에 따라 세부 사항에 차이는 있으나 △인증 체계 강화 △마이크로 세그멘테이션(Micro Segmentation) △소프트웨어 정의 경계(Software Defined Perimeter; SDP) 등 세 가지 원칙을 핵심으로 삼는다. 이들 원칙을 지키는 선에서 기업, 기관이 처한 상황에 맞게 제로 트러스트 보안을 구현한다. 원칙을 부여하고 목표를 달성하는 방법은 자체적으로 마련한다는 점에서 원칙 중심 보안과 제로 트러스트는 일맥상통한다.

IT 환경 변화는 제로 트러스트 확산의 계기로 작용하고 있다. 망분리 규제는 내부망을 신뢰하고 외부망은 의심하는 네트워크 기반 경계 보안 모델에 근거한다. 하지만 금융권 클라우드 전환이 본격화하며 네트워크상 내외부 구분이 불분명해졌으며, 코로나19 대유행 후 늘어난 원격근무로 네트워크 환경도 복잡해졌다. 금융회사가 내부망과 외부망은 완벽히 나눠 관리하기엔 힘든 상황이다.

제로 트러스트 보안은 위협이 언제 어디서나 발생할 수 있다는 전제로 요건을 갖추지 않은 사용자·기기가 데이터, 서버 등 주요 자원에 접근하지 못하도록 제한하는 구조다. 클라우드 전환, AI 서비스 도입으로 내·외부망 간 경계가 희미해질수록 그 가치는 빛을 발할 가능성이 높다.

제로 트러스트에 높은 관심 보이는 금융권

우리나라 금융권에는 아직 망분리 규제가 남아 있어 모든 네트워크 환경에 제로 트러스트를 구축할 수는 없다. 대신 금융회사들은 망분리로부터 자유로운 연구개발망에 제로 트러스트 모델을 구현하거나 네트워크 중 일부 영역에 시범 운영하는 방안을 고민하고 있다.

금융권에서는 제로 트러스트의 가능성을 시험하고자 정부에서 추진하는 시범사업에 관심을 보이고 있다. 가장 적극적인 곳은 KB국민은행이다. KB국민은행은 2018년부터 클라우드 전환을 펼쳐 왔다. 2020년 프라이빗 클라우드인 ‘더케이(The K) 클라우드’를 구축해 서비스형 인프라(IaaS)와 컨테이너 활용 환경을 확보했고, 2021년에는 퍼블릭 클라우드를 이용하는 공통 플랫폼 ‘KB 원 클라우드’를 구축했다.

KB국민은행은 지난해 과학기술정보통신부와 한국인터넷진흥원(KISA)이 주관한 ‘제로 트러스트 도입 시범사업’에 수요기업으로 참여했다. 자사 원 클라우드에 제로 트러스트 모델을 시범 적용한 뒤 이를 전 그룹사에 확대 적용한다는 목표였다.

이 사업에는 엠시큐어를 주관사로 엠엘소프트, 에스엔에이, 이스톰, 피앤피시큐어가 컨소시엄으로 참여했다. 엠시큐어는 제로 트러스트 보안 아키텍처를 총괄하며 신뢰도 알고리즘, 동적 취약점 점검 도구 구현을 맡았다. 엠엘소프트는 네트워크 접근제어 분야에서 SDP와 마이크로 세그멘테이션 구현을 담당했으며, 이스톰은 대역 외 인증 기술로 네트워크 보안성을 높였다.

피앤피시큐어는 데이터베이스(DB)와 시스템 접근제어를 맡았다. 피앤피시큐어는 기존에 KB국민은행에서 이용 중이던 자사 DB접근제어 솔루션 ‘DB세이퍼(DB SAFER)’를 제로 트러스트 아키텍처에 맞춰 고도화시켰다. 또한 안면인증 솔루션 ‘페이스락커(FaceLocker)’로 무자각 지속 인증 체계를 구축했다.

지난해 사업에 참여한 피앤피시큐어 기술본부 윤진하 부장은 “금융회사들은 자율보안 기조에 따라 새로운 체계를 수립하는 과정에서 클라우드, AI를 포용하는 해결책으로 제로 트러스트 모델을 고려하고 있다”며 “금융권에서 제로 트러스트에 많은 관심을 나타내고 있으며, 이와 관련한 세미나, 컨퍼런스도 여러 차례 열리고 있다”고 설명했다.

아직은 시작 단계… 체계 구축 위한 프레임워크 개발 추진

금융당국은 자율보안 체계를 확산하기 위해 노력하고 있다. 2022년 발표된 금융보안 선진화 방안에 따라 올해 2월 전자금융감독규정 일부를 개정했다. 293개에 달하던 규칙은 166개로 줄었으며, 건물·설비·전산실 관리 및 각종 내부통제·사업운영 등과 관련해 금융회사의 자율성은 늘어났다. 또 CISO가 정보보호위원회 주요 심의·의결사항 등을 이사회 보고하도록 해 내부 의사결정 체계를 개선했다.

자율보안을 위한 첫 단추를 끼웠으나 아직 갈 길은 멀다. 두 번째 단계는 법 개선이다. 금융당국에서는 자율보안 체계와 사후 책임을 강화하는 내용을 골자로 법안을 마련하고 있다. 초안에는 금융사들이 자율보안 체계를 제대로 구축하지 않을 경우, 과징금을 부과하거나, 금융보안 사고가 일어나면 회사 전체 매출 3%(최대 200억 원) 범위에서 징벌적 과징금을 내리는 내용이 담겼다.

금융당국은 법과 규정 정비가 완료되면 자율보안 체계로의 패러다임 전환을 이끌어 갈 계획이다. 새로운 체계에서는 금융회사가 자체적으로 마련한 위험관리 계획을 보고하며, 금융당국이 이 계획의 적정성을 평가하고 이행을 검증하는 구조로 변화할 전망이다.

초기 단계인 만큼 아직 국내 금융권의 자율보안 이해도는 미진하다. 금융보안원 허세경 팀장은 “금융회사는 오랜 기간 이어진 규정 중심 규제에 익숙해져 있다”며 “올해 초 전자금융감독규정 중 일부가 원칙 중심으로 바뀌었으나, 아직은 금융권에서 자사 환경에서 발생할 수 있는 리스크를 자율적으로 관리하기란 힘들다”고 설명했다.

금융보안원에서는 금융회사가 자사 환경에 맞는 보안 수준을 진단할 수 있도록 자율보안 프레임워크를 개발하고 있다. 자율보안 프레임워크는 △거버넌스 △위협식별 및 관리 △내부통제 및 보호 △탐지 △대응 △공급망 △복원력 등 7개 분야에 대해 보안 수준을 측정할 수 있는 항목으로 구성된다. 이 가운데 ‘내부통제 및 보호’ 분야에서는 과기정통부에서 발간한 ‘제로 트러스트 가이드라인 2.0’ 중 일부 내용이 포함될 것으로 전해졌다.

금융보안원은 미국 CRI 프로파일 등 국내외 보안 기준을 참고하되 우리나라 금융현실을 반영할 수 있도록 금융회사들과 협력을 이어가고 있다. 현재 업권별로 주요 금융회사 17곳과 함께 작업반을 구성해 개발 중이다. 올 하반기에는 희망하는 금융회사를 대상으로 자율보안 프레임워크를 실제 적용할 계획이다.