금융분야 망분리 개선 로드맵(24.08.13)

금융권 망분리 10년, 혁신과 보안의 새로운 균형으로의 도약

 

 

□  개요 (검토배경)
    1. 금융권 망분리 도입(`13.12월) 후 10년 넘게 경과

         ※  2013.3.20. 금융회사 대규모 전산망 마비를 계기로 ‘공공부문’의 물리적 망분리를 ‘금융권’에 도입

□  금융권 망분리 란?   
   1. 최초(탄생) 배경
      2006년 정부기관을 시작으로 망분리가 시작되었으며, 2011년 3월 20일 주요 금융기관(농협 등)과 방송사를 대상으로 한 대규모 사이버 공격 사건이 발생됨에 따라, 해당 사건을 계기로 금융권의 정보보안에 대한 경각심이 크게 높아졌고, 보다 강력한 보안 대책이 필요하다는 인식이 확산하게되어  2013년부터 『 전자금융감독규정 제8조 (정보처리시스템의 안정성 확보) 』에 근거하여 금융권 망분리가 시작 됨.

     ※ 나무위키 :  3.20 전산망 마비 사태(사이버 테러)

  2. 시행기준
      내부망과 외부망의 분리 : 금융회사 내부 업무망과 인터넷이 연결된 외부망을 물리적 또는 논리적으로 분리하여, 외부망을 통해 들어오는 사이버 공격이 내부망으로 확산되지 않도록 함
          1) 물리적 분리 : 내부망과 외부망을 완전히 다른 네트워크로 구성하여, 서로 간의 통신을 차단
          2) 논리적 분리 : 동일한 네트워크 상에서 내부망과 외부망을 가상으로 분리하여, 일정한 보안장치를 통해 통신을 통제

  3. 망분리 효과(보안강화)
      망분리 제도는 금융회사뿐만 아니라 전자금융업자와 전산관리 업무를 수행하는 주요 금융 IT 기업에도 적용되었습니다. 이로 인해 금융권의 정보보안이 크게 강화되었으며, 사이버 보안 수준이 전반적으로 높아졌습니다.         

    2. 망분리로 인해 금융회사 및 전자금융업자(이하 “금융회사 등”)의 업무상 비효율이 클 뿐만 아니라, 신기술 활용이 저해되고 연구·개발이 어렵다는 규제 개선요청이 지속 제기

     3. 특히, 소프트웨어 시장이 자체 구축형에서 클라우드 기반의 구독형(SaaS)으로 빠르게 전환되고 생성형 AI의 활용이 산업의 미래를 좌우하는 상황에서, 망분리는 업무상 불편을 넘어 금융경쟁력 저하 요인으로 지적

     4. 또한, 일부 금융회사 등은 인터넷 등 외부 통신과 분리된 환경만을 구축해 놓고 선진 보안체계 도입에 소홀하거나, 규제 그늘에 숨어 변화하고 있는 IT 환경에 부합하는 보안 조치도 적절히 갖추지 않는 등 오히려 금융권 보안 발전이 저해되는 부작용이 존재하는 상황

 

□  망분리 정책 개선 필요성   

    1. 현재,  인터넷 연결을 일괄 차단(SaaS 이용제한)하는 현행 망분리 규제를 고수할 경우 급격하게 변화하는 IT환경에서 생존하기 어려우며, 금융보안의 발전을 오히려 저해할 우려

    2.  소프트웨어(S/W) 시장이 자체구축형에서 → 클라우드 기반의 구독형 SaaS로빠르게 전환되고있으며, 특히 AI 및 보안 관련 S/W는 대부분 SaaS 형태로 제공되고 있음.

    3. 기존 IDC(온프라미스) 자체구축 환경에서 망분리는 높은 보안성을 보장했으나, 클라우드 환경 下 오히려 보안성 약화* 요인으로도 작용

    4. 클라우드 보안 솔루션 및 운영체제(OS) 프로그램 등의 보안패치 다수가 SaaS 형태로배포되는 반면, 망분리 환경은 실시간 업데이트가 어려워 최신 위협에 대응 곤란

 

□  망분리 운영 현황 비교(국내, 해외 등)   

[그림1] 망분리 이상과 현실 비교

[그림2] 망분리 국내, 해외 비교

 

□  망분리 정책 개선 및 추진방향   

    1. 금융회사 등의 생성형 AI 활용을 허용한다.

        ㅇ 대부분의 생성형 AI가 클라우드 기반의 인터넷 환경에서 제공되는 반면,국내 금융권은 인터넷 등 외부 통신 활용 제한 등으로 인해 생성형 AI 도입에 제약이 있는 상황이다.

        ㅇ  이에, 샌드박스를 통해 인터넷 활용 제한 등에 대한 규제 특례를 허용한다. 이와 함께, 예상되는 리스크에 대한 보안대책을 조건으로 부과하고 금융감독원·금융보안원이 신청 기업별 보안 점검·컨설팅을 실시하는 등 충분한 안전장치를 마련할 계획

[그림3] 생성형 AI 망분리 개선 구성도

 

 

    2. 클라우드 기반의 응용 프로그램(SaaS) 이용 범위를 대폭 확대한다.

        ㅇ 기존에는 문서관리, 인사관리 등 비중요 업무에 대해서만 SaaS 이용이 허용되고, 고객 개인신용정보를 처리할 수 없는 등 엄격한 샌드박스 부가조건이 부과되어 활용이 제한되었다.

        ㅇ  이에, 보안관리, 고객관리(CRM) 등의 업무까지 이용 범위를 확대하고, 가명정보 처리 및 모바일 단말기에서의 SaaS 이용까지 허용하는 등 SaaS 활용도를 제고할 예정이다. 마찬가지로, 규제 특례 확대에 따른 보안 우려에 대응하기 위해 보안대책을 마련하여 샌드박스 지정 조건으로 부과할 계획이다.

 

    3. 금융회사 등의 연구·개발 환경을 개선한다.

        ㅇ `22.11월 연구·개발 환경에서 인터넷을 자유롭게 활용할 수 있도록 한차례 규제가 개선되었으나, 연구·개발 환경의 물리적 분리 및 개인신용정보 활용 금지 등에 따라 고객별 특성·수요에 맞는 혁신적인 서비스 연구·개발에 제약이 크다는 지적이 지속 제기되었다.

        ㅇ  이에, ｢전자금융감독규정｣을 개정하여 금융회사 등이 연구·개발 결과물을 보다 간편하게 이관할 수 있도록 물리적 제한을 완화하고, 가명정보 활용을 허용하는 등 혁신적인 금융상품을 개발할 수 있는 환경을 제공하고자 한다.

[그림4] 연구/개발망 망분리 개선 구성도

 

    4. 자율보안-결과책임 원칙에 입각한 新 금융보안체계 구축

        1) 현행 : 세세한 보안수단 규정에 열거, “규정만 지키면 면책”이란 인식 만연

         - 금융회사는 최소 기준만을 준수할 뿐 적극적 보안투자에 소홀하고, 일률적·경직적 규정으로 인해 IT 리스크에 유연한 대응이 어려움

 

        2) 개선방향 : 자율보안-결과책임 원칙에 입각한 新금융보안체계 구축을 위해디지털금융보안법(가칭) 을 제정, “규칙(Rule) →원칙(Principle)중심”으로 규제 전환

        - 금융당국은 법령을 통해 주요 보안 원칙·목표를 제시하고, 구체적· 기술적 보안 통제사항은 가이드로 모범사례 제시(준수 의무사항은 아님)

       - 금융회사는 업무환경, 인프라, 보안역량 등에 대한 자체 리스크평가를 통해 자율적으로 세부 보안통제를 구성하고 당국에 보고

       - 전산사고 등에 대한 배상책임 강화, 실효성 있는 과징금 도입등금융회사의 책임 강화를 위한 법적 근거 마련

       - 중요 보안사항의 최고경영자(CEO) 및 이사회 보고의무, 정보보호최고책임자(CISO) 역할 확대 등 금융회사의 내부 보안체계를 강화

        -  금융당국은 금융회사의 자율보안체계 수립 이행 등을 검증하고, 점검 결과 일정 수준 이하의 금융회사의 경우 보안수준 제고를위한시정요구·이행명령을 부과, 불이행시 엄중제재 및 영업정지 등 조치

 

□  망분리 개선 단기 추진과제 종합 구성도   

[그림5] 망분리 개선 종합 구성도

 

 

[별첨] 금융분야 망분리 규제 개선 로드맵_20240813.pdf

1.55MB

 

※ 출처 : 금융위원회 보도자료

 

이상.  끝.