[디지털데일리 김보민기자] 금융권 망분리 제도가 완화되면서 보안 사각지대를 우려하는 목소리가 커지고 있다. 인공지능(AI)과 서비스형소프트웨어(SaaS) 도입이 빨라질 경우 보안 사고가 발생할 취약점 또한 늘어날 수 있다는 취지다.

금융보안원은 국내 금융회사가 글로벌 프레임워크에 입각해 보안 수준을 진단해야 한다고 제언한다. 오중효 금융보안원 디지털전략본부장은 5일 서울 중구 전국은행연합회에서 열린 '디지털데일리 시큐리티 전략 포럼'을 통해 "금융권 망분리 환경이 변화한 만큼 제로트러스트 기술을 도입하고 전략적 로드맵을 수립할 때"라고 밝혔다.

금융권 망분리 역사는 2013년으로 거슬러 올라간다. 당시 사이버 테러로 금융 전산망이 마비되는 사태가 발생했고 이를 계기로 금융회사 망분리 적용 의무화가 본격화됐다. 이후 클라우드, 재택근무에 이어 AI와 SaaS에 대한 예외 허용 조치가 이어졌다. 금융권이 필요에 따라 신기술을 활용할 수 있도록 제도가 개선된 것이다.

올해에도 완화 기조가 이어지고 있다. 지난 1월에는 내부망에서 SaaS 이용과 망분리를 예외 추진하는 전자금융감독규정시행세칙 개정안이 시전 예고됐다. 오 본부장은 "3월 혹은 4월쯤 SaaS 이용이 제도화될 전망"이라고 전망했다.

글로벌 시장에서는 제로트러스트 중요성이 강조되고 있다. 제로트러스트는 외부뿐만 아니라 내부에서도 위협이 존재한다고 가정하고 기술 및 아키텍처를 강화하는 보안 방법론이다. 해킹 등 대형 보안사고에 대응할 방법으로도 거론되고 있다. 국내 금융권에서도 시중은행 등을 중심으로 제로트러스트를 도입하는 조직이 등장하고 있다.

오 본부장은 "제로트러스트를 기반으로 금융회사가 스스로 보안 역량을 키워야 한다"며 "사이버보안 진단 프레임워크 중요성이 커질 것"이라고 전망했다.

사이버보안 진단 프레임워크는 조직이 사이버 위협을 일관된 기준에 따라 식별, 평가, 관리하고 보안 역량을 성숙시킬 수 있도록 돕는 기준이다. 미국에서는 국립표준기술연구소(NIST)가 개발한 CSF를 활용하고 있다. NIST CSF는 총 6개 분야 106개 항목으로 구성돼 있다.

금융권 사이버보안 관리에 특화된 사이버보안 진단 프레임워크도 있다. 대표적으로 CRI 프로파일은 금융권 사이버보안 관리를 위해 NIST CSF를 기반으로 개발됐다. 미국, 일본, 영국 등 주요국 금융기관에서는 해당 프레임워크를 기준으로 삼고 있다. 총 7개 분야와 318개 항목으로 구성돼 있다.

한국 금융권에 특화된 프레임워크도 있다. 금융보안원은 올해 2월 '금융보안 수준진단 프레임워크 가이드'를 발간해 NIST CSF와 CRI 프로파일을 기반으로 국내 금융 특화 기준을 개발했다. 금융회사는 이를 기반으로 경영진 참여, 전사 보안 문화, 자율적 보안 역량, 보안 체계 등에 대한 현재 수준을 진단할 수 있다. 거버넌스, 공급망, 식별, 보호, 탐지, 대응, 복구 등 7개 분야에 대한 45개 항목으로 보안 수준을 점검해 볼 수 있다.

오 본부장은 "외부 연결이 증가하고 위협이 고도화되는 상황에서 기존 망분리와 경계 중심 보안에는 한계가 있다"며 "향후 위협이 어떻게 다가올지 예측하기 힘든 상황"이라고 평가했다. 그러면서 "사이버보안 진단 프레임워크를 통해서 보안 수준을 먼저 진단하고 제로트러스트 기술을 통해 어떻게 이를 강화할지 전략적 로드맵을 만드는 것이 중요하다"고 강조했다.

한편 금융보안원은 이번 프레임워크가 금융권에 안착할 수 있도록 보안 전문가로 구성된 전담 조직을 신설했다. 올해 3월부터는 희망 금융회사를 대상으로 현장 방문 진단 서비스를 제공한다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -