대형사 평균 3단계 ‘발전’ 수준 평가
JP모건 등 글로벌 금융사 경쟁력 근접
망분리 규제 완화·인공지능 전환 탄력
![]() |
![]() |
금융보안원이 새롭게 개발한 ‘금융보안 수준진단 프레임워크’를 통해 국내 대형 금융사들을 점검한 결과, 세계적 금융사 보안 경쟁력과 맞먹는 수준에 달하는 것으로 나타났다. 이번 진단 결과는 금융당국이 추진 중인 망분리 규제 완화 정책에 힘을 실어줄 것으로 전망된다.
▶글로벌 표준 ‘CRI Profile’ 진단 참고…국내 금융사 ‘발전’ 단계=금융보안원은 지난 5개월간 20개 금융사와 작업반을 구성해 금융보안 수준 프레임워크를 기반으로 시범 테스트를 진행했다. 이번 프레임워크는 150여개 해외 금융사가 참여하는 표준 진단 도구인 ‘CRI Profile’ 등을 참고해 고안됐다. 거버넌스·식별·보호·탐지·대응·복구·공급망 등 7개 분야·45개 항목·127개 세부 원칙을 통해 종합적인 진단을 수행하는 것이 특징이다.
시범 테스트 결과, 국내 대형 금융사들은 평균 3단계인 ‘발전’ 수준으로 조사됐다. 이는 JP모건 등 글로벌 금융회사가 기록하는 3.5단계 안팎의 점수와 비교했을 때, 국내 금융사들 역시 세계적 수준의 견고한 보안 역량을 확보하고 있다고 금융보안원은 평가했다.
진단 결과는 ‘초기’, ‘기반’, ‘발전’, ‘고도화’ 등 4단계로 세분화되며, 평균수준의 보안 체계를 갖춘 경우 2단계인 ‘기반’ 등급을 받게 된다.
▶“보안 역량 확인”…망분리 완화 및 AI 도입 가속화 ‘훈풍’=금보원 시범 테스트 결과로 국내 금융사의 보안 수준이 안정 궤도에 오른 것으로 분석되면서, 금융당국의 망분리 규제 완화 기조도 한층 가속화될 것으로 보인다.
‘망분리’는 핵심 업무를 수행하는 내부망과 인터넷을 활용하는 외부망을 물리적으로 분리해 데이터 유출과 해킹 가능성을 원천적으로 차단하는 제도다. 하지만 지난 10년간 망분리가 업무 효율성을 저해하고 신기술 도입을 가로막는다는 지적이 이어졌다. 이에 금융위원회는 2024년 8월 ‘금융분야 망분리 개선 로드맵’을 발표하며 생성형 AI 활용 허용과 SaaS(클라우드 기반 응용 프로그램) 이용 범위 확대 등 규제 혁신에 나섰다.
이창용 한국은행 총재 역시 망분리 완화 필요성을 강조한 바 있다. 이 총재는 1월 한은과 네이버가 개최한 ‘공동 AX(AI 전환) 컨퍼런스’에서 “AI 활용과 기존의 망분리 정책이 양립하기 어려운 단계에 이르렀다”며 “망분리와 관련된 정부의 근본적인 변화가 필요한 시점”이라고 밝혔다. 이어 “3월 망분리 개선이 완료되면 한은 AI의 활용 범위와 성능이 크게 향상될 것”이라고 덧붙였다.
▶‘규제’에서 ‘자율’로…보안 패러다임의 전환=망분리 완화가 본격화하면 금융권은 규제 샌드박스 신청이라는 절차적 부담 없이 다양한 SaaS를 업무에 활용할 수 있게 된다. 사무처리, 협업, 조직관리 등 전반적인 업무 효율이 높아지는 것은 물론, 글로벌 그룹사와의 표준화된 협업 환경 구축을 통해 IT 자원 운영 비용도 절감될 것으로 기대된다.
다만 규제가 풀리는 만큼 금융사의 ‘자율 보안’ 책임은 무거워진다. 이번 프레임워크가 중요한 이유도 여기에 있다. 금융사가 스스로 리스크를 평가하고 보안 통제를 구성할 수 있는 가이드라인 역할을 하기 때문이다. 향후 감독당국 역시 단순 망분리 여부보다는 보안 거버넌스의 실질적 작동 여부와 SaaS 이용에 따른 리스크 관리 체계 등을 중점적으로 점검할 가능성이 크다.
박상원 금융보안원장은 “망분리 완화와 AX 전환 등 급변하는 환경 속에서는 금융회사가 주도적으로 보안을 계획하고 실천하는 ‘자율 보안 역량’이 핵심”이라며 “선진화한 자율보안 문화가 자리 잡을 수 있도록 최선을 다하겠다”고 했다.
▶단순 체크리스트 넘어선 ‘맞춤형 가이드’…3월부터 현장 진단=새로운 프레임워크는 단순히 보안 규정 이행 여부만 따지던 기존의 ‘예/아니오’식 체크리스트 방식에서 벗어나, 현재 보안 수준을 정밀 진단하고 목표 설정 및 구체적 개선 방안까지 제시한다는 점이 특징이다.
금융보안원은 제도 안착을 위해 1월 전담 조직인 ‘자율보안연구팀’을 신설했다. 3월부터 희망 금융사를 대상으로 현장 방문 진단 서비스를 제공할 계획이다. 올해를 ‘금융보안 수준 진단 서비스 원년’으로 삼아 모범 사례를 수집하고, 내년부터는 금융사의 자체 진단을 돕기 위한 자문과 교육 등 지원책을 다각화할 방침이다. 정호원 기자


