금융권 망분리 정책 개선 끝장토론회 개최
[정보통신신문=박남수기자] 한국정보보호학회는 12일 명동 소재 은행회관 국제회의실에서 금융권 망분리 정책 개선 끝장 토론회(온라인 동시 생중계)를 개최했다고 밝혔다.
고려대 사이버 레질리언스 센터 이경호 교수가 사회를 진행한 이번 토론회에는 금융위원회 담당 과장 및 산업계 전문가가 모여 현재의 금융권 망분리 현황과 이에 따른 다양한 이슈에 대해 심도 있는 논의했다.
발제를 맡은 강형우 김앤장 전문위원은 “기존 망분리 규제처럼 구체적으로 상세하게 규제하는 것이 현 상황과 적합하지 못하다”고 강조했다. 강 위원은 “과거에는 금융회사 내부 전산망 등이 단순해 망분리를 상세하게 규정하는 것이 가능했지만 현재는 금융플랫폼, 음식점, 알뜰배달 등 새로운 서비스가 등장하면서 복잡해졌다”고 설명했다.
강 위원은 “망분리에 대해 업무상 예외에 해당하는 것들은 열거주의를 적용해 해당 상황만 제외된다”면서 “하지만 금융업권이 원하는 클라우드, 스마트오피스, 소프트웨어 개발, AI 등은 열거해놓은 내용에 들어가지 못해 사용하기 어렵다”고 주장했다.
이창복 롯데카드 CISO는 “망분리 가이드라인에서 제시하지 않은 새로운 기술도 망분리 기본 원칙에서 벗어나지 않으면 적용이 가능하다고 명시하고 있음에도 예외 기준을 만들어 통제 항목을 명시하고 있다”고 아쉬움을 드러냈다.
임정욱 네이버 클라우드 금융리더는 “금융권은 은행과 핀테크 등의 디지털 경쟁에 따라 신속하고 민첩한 시장 대응 능력과 혁신기술 및 외부 시스템과 원활한 연동이 가능한 아키텍처를 확보해야 한다”며 “클라우드 등 혁신기술을 적극 활용할 수 있는 환경을 마련해야 한다”고 말했다.
디지털 금융 기반 보안 강화를 위해 망 분리 제도를 개선해야 한다는 의견도 제기됐다.
지정호 토스증권 CISO는 “현재 모든 내부 업무용 시스템을 망분리 대상으로 규제해 보호 자산의 중요도가 낮은 업무에까지 적용하면서 관리 복잡성이 커지고 보안 통제에도 비효율이 발생하고 있다”고 지적했다. 그는 “중요도에 따른 위험 기반 통제를 적용할 수 있도록 이용자의 개인신용정보를 처리하는 내부 업무용 시스템 또는 전자금융 업무를 처리하는 내부 업무용 시스템과 같이 대상을 구체적으로 정의해야 한다”고 말했다.
신용녀 마이크로소프트 상무는 “Microsoft Security Copilot처럼 생성형 AI를 보안 위협 대응에 이용하는 시대가 도래했고 클라우드는 더 이상 보안의 위험 요소가 아니라 오히려 보안을 위해서 더 사용해야 하는 시기가 왔다”며 “글로벌 CSP는 제로 트러스트를 기반으로 서비스를 제공하고 있기 때문에 데이터 기반의 보안 설계 방법 점검 및 검토가 필요하다”고 말했다.
김성래 멘로코리아 지사장은 “망분리가 원래 목적으로 했던 해킹 방어라는 관점에서 규제 항목을 두고, 기업들이 다양하게 새로운 기술과 비용 및 운영 측면에서 효율적인 방식을 자유롭게 선택하고 구축하도록 하고 이후 결과를 가지고 기업에 책임을 묻는 방식으로 변화가 필요하다고 생각한다”고 말했다.
서호진 금융보안원 팀장은 “금융회사마다 보안을 바라보는 관점이 다르기 때문에 관리나 운영이 부족하면, 좋은 솔루션이더라도 침투 가능성이 있으므로 보안만 고려한다면, 물리적 망분리가 현명할 것 같다”고 언급하였지만, “명시되어있는 규제의 적용 과정에서 일부 불가피한 상황이 발생하는데, 이 부분에 대해서는 서로 논의해보면서 보안 대책을 마련하여 개선해나가고 싶다”고 말했다.
김수호 금융위원회 전자금융과장은 “망분리 정책의 기조는 유지하면서 단계적으로 개선이 되어 최종적으로 클라우드를 사용하는 형태로 발전할 것으로 기대된다.”고 언급하며 “현재 규제의 정합성이 맞지 않은 부분은 즉시 개선을 검토하겠다”면서 기존 망분리 정책의 변화에 전향적인 입장을 보였다.
