KISIA 클라우드보안 협의체, 금융권 망분리 규제개선 세미나 개최
클라우드·외부 서비스 이용 범위 넓어지면서 망 경계에 대한 보안 더 중요
보안 산업에 새로운 기회 열어…악성코드 감염 보호·자료유출 보호 등 수요 증가
[서울=뉴시스]송혜리 기자 = 금융 망분리 규제 완화는 보안업계에도 새로운 기회를 제공할 전망이다. 보안업계는 이 기회를 활용해 금융권과 협력하고 새로운 보안 솔루션을 제공하며 금융권의 보안 수준을 더욱 강화할 수 있을 것으로 기대된다.
전문가들은 새로 정립된 자율 보안 원칙을 기업 규모에 맞게 적용하고, 정보보호 공시 제도의 개선과 국산 보안 서비스형소프트웨어(SaaS) 솔루션 영역 확대가 금융권의 보안 강화와 보안 산업 성장의 중요한 열쇠라고 강조했다.
금융권도 생성형 AI와 클라우드 활용 확대
클라우드보안 협의체는 금융당국의 망분리 규제 단계적 개선 계획 발표 이후, 보안체계 강화와 산업계 대응 방안 모색을 위한 논의가 필요하다는 판단에 따라 이날 세미나를 개최했다.
금융위원회는 지난달 금융업계의 디지털 혁신과 보안 강화를 동시에 추진하는 '금융분야 망분리 개선 로드맵'을 발표했다.
이번 로드맵의 주요 목표는 금융회사들이 생성형 인공지능(AI)을 활용한 혁신적 금융서비스를 출시할 수 있도록 규제를 완화하고, 클라우드 기반의 응용 프로그램(SaaS) 이용 범위를 확대하는 것이다. 연구개발(R&D) 환경 개선도 중요한 과제 중 하나로, 연구망과 업무망 간 논리적 망분리를 허용해 소스코드 등의 연구 결과물이 망 간에 더욱 쉽게 이동할 수 있게 된다.
금융위는 현행 금융보안체계가 오랜 기간동안 인터넷 등 외부통신과 분리된 환경을 전제로 구성돼 온 점을 고려해 급격한 규제 완화보다는 단계적 개선을 추진할 방침이다. 다만, IT 환경 변화로 인해 신속한 대응이 필요한 과제는 샌드박스 등을 활용해 규제 애로를 즉시 해소하되, 자율보안체계 확립까지는 시간이 소요되므로 보안상의 문제가 없도록 별도의 보안대책 등 충분한 안전장치를 마련할 예정이다.
서호진 금융보안원 금융혁신지원팀장은 "연말까지 연구개발 환경 개선 등을 위한 전자금융감독규정 개정 절차가 진행되며 '신 금융보안체계' 구축을 위한 연구용역 등을 거쳐 금융보안 법·체계 개편을 추진해 나갈 예정"이라고 말했다.
금융권 망분리 규제 완화, 보안 산업에 새로운 기회 열어
수요기업을 대표해 참석한 지정호 토스증권 정보보호최고책임자(CISO)는 이번 제도 개선으로 ▲악성코드 감염보호 ▲자료유출 보호 ▲암호화 통신 ▲망분리 예외에 대한 대체 통제 ▲개인정보 가명화 ▲모바일단말보호 ▲통합보안 관리 ▲보안 SaaS 등에 수요가 증가할 것으로 내다봤다.
지 CISO는 "기존의 규칙 중심, 열거주의에서 벗어나 원칙 중심으로 보안 관리를 유도하고, 기업이 자율적으로 판단할 수 있는 영역을 확대하려는 노력이 담겼다"고 이번 제도 개선을 평가했다. 그러면서 "특히 클라우드와 AI 서비스를 포함한 다양한 기술적 수단의 활용이 가능해졌다"고 말했다.
유진호 상명대학교 교수도 금융권의 규제 완화가 금융 혁신뿐만 아니라 보안 산업에도 기회를 제공할 수 있다는 점을 강조했다. 그러면서 글로벌 클라우드 서비스 제공자(CSP)의 서비스를 사용할 때, 국산 보안 솔루션이 함께 적용되는 체계를 구축하는 것이 중요하며, 이를 통해 국내 보안업계가 클라우드 산업 성장 속에서도 계속 기회를 얻을 수 있다고 설명했다.
특히 유진호 교수는 정보보호 공시 제도의 개선과 자율 보안 원칙의 적용 방식을 기업 규모에 맞게 차별화할 필요가 있다고 제언했다.
유 교수는 "국내 기업들의 정보보호 공시 내용은 글로벌 기업들에 비해 간소하다"면서 "글로벌 기업들은 보안 활동에 대한 내용을 홍보자료 만들듯 구체적으로 명시하고 있고, 이를 통해 타 기업들에게도 도움을 주고 있다"고 말했다. 이를 통해 금융권 망분리 완화 및 보안 대책 강화에 대한 기업들의 접근 방식을 더 명확하게 드러내고, 보안 솔루션 도입에도 긍정적인 영향을 미칠 수 있을 것이란 설명이다.
또 유 교수는 "자율 보안 원칙이 강화될수록, 일부 기업은 자율성 대신 책임만 강조될 가능성이 있으며, 이는 하향 평준화를 초래할 수 있다"면서 "특히 작은 기업들은 자율적인 보안 체계로 인한 어려움을 겪을 수 있으므로, 기업 규모에 맞춘 차별화된 접근이 필요하다"고 강조했다.
이어 "대형 기업은 자율적인 보안을 허용하되, 중소기업에는 일정한 가이드라인을 제공함으로써 보안 수준을 유지하는 방안이 적절할 수 있다"고 말했다.
◎공감언론 뉴시스 [email protected]