컨텐츠 바로가기

12.07 (토)

"규칙보다는 원칙"…한국표 자율보안 프레임워크, 연말 베일 벗는다

댓글 첫 댓글을 작성해보세요
주소복사가 완료되었습니다
디지털데일리

<이미지를 클릭하시면 크게 보실 수 있습니다>


[디지털데일리 김보민기자] 금융권 자율보안 프레임워크가 올해 말 공개된다. 망분리 개선을 비롯해 인공지능(AI) 기술 도입 등 주요 과제가 산적한 가운데, 이번 프레임워크는 금융권이 규칙보다 원칙에 중점을 둔 보안 체계를 수립하도록 도울 전망이다.

김진욱 금융보안원 수석은 7일 서울 영등포구 콘래드서울 호텔에서 열린 '피스콘(FISCON) 2024' 발표를 통해 "올해 말까지 자율보안 프레임워크 1.0를 완성하고, 내년부터 설명회를 개최할 예정"이라고 밝혔다.

자율보안 프레임워크는 금융회사가 자산, 대내외 환경, 경영 철학 및 가치 등을 종합적으로 고려한 다음 스스로 위험 관리부터 이용자 보호, 신뢰 강화까지 보안체계를 만드는 일련의 과정을 뜻한다. 각 금융회사에 특화된 원칙을 기반으로 보안체계를 수립하는 것이 특징이다.

한국의 경우 대규모 금융 전산사고 등을 계기로 그간 원칙이 아닌 규칙 기반 보안체계를 강조해왔다. 획일적으로 내외부 망을 차단하는 망분리 규제가 대표적이다. 그러던 중, 클라우드를 비롯해 서비스형소프트웨어(SaaS)와 AI 등 기술 도입에 대한 수요가 커지면서 점차 규칙이 완화되는 흐름을 보여왔다.

지난 2016년 금융권 클라우드 활용이 허용된 것이 시작이었다. 이후 2018년 금융권 클라우드 이용이 확대됐고, 2022년 클라우드 규제 개선 및 연구개발 활용이 허용됐다. 금융회사에 물리적 혹은 논리적 망분리 선택 가능성을 부여했다는 점에서 의의가 있는 변화였다. 지난해에는 금융회사 내부망 SaaS 허용이 추진됐고, 올해에는 망분리 규제 개선 로드맵이 발표됐다.

자율보안 프레임워크가 등장한 이유도 같은 이유다. 망분리 규제가 완화되면서 클라우드와 생성형 AI 활용이 자유로워지는 만큼, 금융권 안팎의 격변과 애로사항을 보완하고 대응 방안을 알려줄 만한 안내를 한다는 구상이다.

김 수석은 "설명회를 통해 금융회사 담당자들의 의견을 수렴하고 민간과 학계 의견 또한 들어볼 계획"이라며 "이후 (프레임워크를) 업데이트한 다음, 금융회사가 이를 자가 평가 도구로 활용할 수 있게 도구 형태로 개발할 예정"이라고 말했다. 이어 "(희망 의사를 밝힌) 금융회사를 대상으로 파일럿 테스트를 진행하는 것도 계획하고 있다"고 밝혔다.

현재 금융보안원은 ▲거버넌스 ▲위험 관리 ▲내부통제 및 보호 ▲탐지 및 대응 ▲복원력 ▲공급망 등 6개 분야에서 프레임워크 개발을 진행하고 있다. 사이버보안 프레임워크를 비롯해 글로벌 선진 사례를 벤치마킹하는 작업도 추진 중이다. 사이버보안 프레임워크는 미국 국립표준기술연구소(NIST)가 자국 주요 기반시설에 대한 사이버 위협 대비 및 위험 관리 개선을 목적으로 개발됐다. 이 밖에도 미국, 영국, 유럽연합(EU), 일본 등에서 사용하는 'CRI 프로파일'도 참고 중이다.

한편 일각에서는 자율보안 체계가 본격화될 경우, 기존 안전성 평가 제도가 힘을 잃는 것이 아니냐는 의견도 나오고 있다. 현재 금융권에서 SaaS를 사용하려면 안전성 평가를 요구받고 있는데, 규칙이 아닌 원칙 중심 프레임워크로 전환하게 되면 샌드박스에서 허용되지 않는 SaaS도 쓸 수 있게 되는 것이 아니냐는 취지다.

이와 관련해 김 수석은 "금융 당국이 아니기 때문에 확정적으로 말하기는 어렵다"고 답했다. 대신 "2016년 (클라우드 도입) 이후 2년에 한 번씩 규제 완화에 대한 정책이 나왔고, 2022년 이후에는 6개월에서 1년 단위로 규제 완화 정책이 나왔다"며 "변화를 고려했을 때 당장 관련 평가가 갑자기 없어지지는 않겠지만, 금융회사에서도 프레임워크를 비롯해 규제 완화를 미리 준비할 필요가 있다고 생각한다"고 말했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.