[ET시론] 망분리 규제 10년, 혁신과 보안 균형을 찾아야

Photo Image
김소영 금융위원회 부위원장

2013년 3월 20일, 국내 주요 금융회사와 방송사 전산망이 마비되는 사고가 발생했다. 동시다발적으로 발생한 사이버공격으로 인해 4만8000여대 PC와 서버가 피해를 입었고, 인터넷·모바일뱅킹, ATM 등 일부 전자금융거래가 중단됐다. 이는 일명 '3.20 전산망 마비 사태'라 불리는 사건으로 금융보안의 중요성을 명확히 보여줬다.

이 사건을 계기로 금융권 보안 강화를 위해 망분리 규제가 본격적으로 도입됐다. '망분리'란 금융회사의 네트워크(망)를 '외부망'과 '내부망'으로 분리하는 것으로, 중요 전산자료가 저장된 내부망을 인터넷에 연결된 '외부망'과 차단해 정보 유출을 막는 네트워크 보안기법이다.

망분리는 방식에 따라 '물리적 망분리'와 '논리적 망분리'로 구분할 수 있는데, '물리적 망분리'는 개인당 두 개 PC를 사용하는 등 통신망을 물리적으로 분리하는 엄격한 방식이며, '논리적 망분리'는 한 대 PC에서 일종의 가상화 영역을 통해 통신망을 분리하는 완화된 방식이다.

전자금융감독규정은 전산실에 위치한 정보보호시스템과 이를 관리하는 중요 단말기에는 보다 강력한 통제 방법인 '물리적 망분리'를 적용하도록 의무화하고 있다.

강력한 망분리 규제로 인해 금융권이 그간 각종 사이버위험으로부터 안전하게 보호되어 왔다는 점은 부인할 수 없다. 일례로 2017년 전 세계적으로 대규모 랜섬웨어(ransomware) 공격이 발생했으나, 국내 금융권은 실질적인 피해가 발생하지 않았다. 하지만, 클라우드 이용 확대, 재택근무 증가 등 금융 IT 환경이 급변하는 상황에서 망분리 규제가 업무에 큰 애로사항으로 작용한다는 의견이 지속 제기됐다.

이에, 금융위원회는 금융권 의견을 적극 반영해 망분리 규제를 점진적으로 개선해 왔다. 코로나19를 계기로 늘어나는 재택근무를 지원하고자 내부망으로 원격 접속을 허용했고, 프로그램 개발 환경 효율성 제고를 위해 연구·개발 업무에 대해서는 망분리 규제 예외를 일부 인정했다. 아울러, 금융권에 늘어나는 SaaS(Software as a Service : 클라우드 형태의 소프트웨어 서비스) 수요에 대응하고자 혁신금융서비스를 통해 협업도구, 인사관리, 데이터분석 등 SaaS를 업무망에서 직접 이용할 수 있도록 규제 특례도 부여했다.

지속적인 규제개선에도, 망분리 규제를 도입한지 10년이 지난 지금 망분리 규제를 종합적으로 재검토할 시점이 도래한 것으로 보인다. 특히 챗GPT를 필두로 하는 생성형 인공지능(AI)의 발전과 클라우드 기반으로 업무체계 개편 등 전례 없이 가속화되고 있는 금융권 디지털 전환 물살을 기존 망분리 규제로 대응하기에는 어려움이 있다. 지금은 '금융의 디지털 혁신'과 '금융보안' 사이 새로운 균형점을 모색해야 할 시기다.

금융위원회는 그 균형점을 찾기 위해 4월 민·관·산·학·연 전문가들이 참여하는 '금융권 망분리 TF'를 출범시켰다. 해외 금융회사의 SaaS, AI 등 이용 현황과 글로벌 보안규제 동향 등을 고려할 때 금융권의 신기술 도입과 이를 위한 망분리 규제개선은 더 이상 거스를 수 없는 큰 흐름이라는 공감대를 바탕으로 논의를 시작했다.

TF에서는 금융권 SaaS 이용 범위를 단계적으로 확대하고, 연구·개발 활성화를 위해 개선이 필요한 점을 논의하고 있다. 또, 최근 금융권 수요가 급증한 AI를 안전하게 활용하는 방안도 고민 중이다. 규제개선을 통한 디지털 혁신은 금융회사의 비용을 절감하고 일하는 방식을 개선할 뿐만 아니라, 전에 없던 혁신적인 금융서비스를 출시할 수 있는 가능성을 열어준다는 점에서 금융산업 전반의 경쟁력 강화로 이어질 것으로 기대된다.

Photo Image
금융위원회 - 금융 망분리 개선 검토사항. 출처=금융위원회

하지만, 보안이 전제되지 않은 디지털 혁신은 물거품이 될 수밖에 없다. 국제통화기금(IMF)은 올해 4월에 발표한 '글로벌 금융 안정 보고서'에서 지난 20년간 보고된 글로벌 사이버사고의 약 20%가 금융권을 대상으로 발생했다는 사실을 통해 금융산업이 항상 사이버위험에 크게 노출된 분야임을 강조했다.

또 기술 의존도 증가와 금융혁신에 따른 디지털 연결성이 사이버사고를 증가시키는 주요 요인 중 하나라고 경고했다.

디지털 혁신을 위한 규제개선이 자칫 금융권의 보안 취약점으로 이어지지 않도록 주의해야 한다. 금융회사는 새로운 규제 환경 하에서 신기술 기반 선진 보안체계를 도입하고 내부 보안 거버넌스를 강화하는 등 자체적으로 보안역량을 제고하는 책임감 있는 모습을 보여야 한다. 금융당국 또한 금융회사 보안 수준을 지속 점검, 컨설팅하며 금융권 보안 수준을 강화해 나가야 할 것이다.

금융의 디지털화를 위해서는 금융혁신을 저해하지 않는 유연한 규제 체계가 필요하다. 하지만, 사이버위험이 날로 고도화되고 있는 현실에서 보안성을 유지하는 것 또한 반드시 지켜야 할 핵심 가치다.

또 금융위원회는 금융보안이라는 견고한 원칙 하에 디지털 혁신에 유연하게 대응할 수 있는 새로운 금융 보안규제 체계 구축을 위해 최선을 다할 것이다.

김소영 금융위원회 부위원장

〈필자〉김소영 금융위원회 부위원장은 1990년 서울대 경제학과를 졸업하고 1994년부터 1996년까지 미국 예일대에서 경제학 석사, 박사 과정을 마쳤다. 한국은행 자문교수, 아시아개발은행(ADB) 컨설턴트, 국제결제은행(BIS) 자문역, 대한상공회의소 자문위원 등을 역임했다. 2009년부터 서울대 경제학부 교수로 재직 중이다. 2022년 5월 17일 금융위원회 부위원장에 지명됐다. 대선캠프에서는 경제정책본부장을 맡았고, 제20대 대통령직인수위원회에서도 경제1분과 인수위원을 담당했다.


김시소 기자 siso@etnews.com


브랜드 뉴스룸