‘금융권 망분리 10년’ AI 혁신 가로 막는 망분리 규제, 대폭 손본다
금융위, '금융부문 망분리 TF' 1차 회의
개선 과제 적극 발굴, 후속 조치 신속 추진
AI·클라우드 기술 대응 어려운 낡은 규제 걷어낸다
정부가 비(非) 전자금융거래업무를 처리하는 금융사 정보시스템을 망분리 의무에서 제외하는 방안을 추진한다. 아울러 이를 골자로 상반기 중 ‘금융부문 망분리 규제 합리화 방안’도 마련하기로 했다. 이는 생성형 인공지능(AI), 클라우드 등을 금융업무에 원활히 도입하기 위한 것으로 2013년 망분리 규제가 시행된 이후 가장 큰 규모의 규제 완화조치가 나올 것으로 예상된다.
금융권 ‘망분리’ 규제 완화된다
금융위원회는 금융혁신기획단장 주재로 12일 유관기관 및 각계 전문가 등과 함께 ‘금융부문 망분리 테스크포스(TF)’ 1차 회의를 개최했다고 밝혔다. 망분리 규제는 도입 이후 해킹 등으로부터 금융시스템을 안전하게 보호하지만, 금융업무의 디지털 전환이 가속화됨에 따라 클라우드·AI 등 디지털 신기술 채택의 장애 요인으로 작용한다는 의견이 제기되고 있다.
이에 금융위는 이번 회의에서 그간 업계에서 제기된 신기술 활용 및 업무상 어려움에 대한 주요 사항들을 검토하고, TF를 통해 개선방안을 마련해 나갈 계획이다. 개선 논의 방안은 크게 △AI 관련 △연구·개발 환경 관련 △SaaS(서비스형 소프트웨어) 이용 관련 △전자금융거래와 무관한 시스템의 규제 적용 관련 등으로 가닥을 잡았다.
먼저 금융위는 ChatGPT 등 생성형 AI 기술을 통한 업무 활용 및 금융서비스 개발 수요가 크지만 AI 기술 특성상 외부망과 연계가 필수적이라 현행 망분리 규제와 상충하는 부분이 있다고 봤다. 이에 금융회사 등 AI 기술 활용에 제약이 되는 내·외부 시스템 간 연계 및 내부 업무처리 자동화 등에 있어 개선 방안을 모색할 계획이다.
금융 IT분야 연구·개발망과 관련된 애로사항 해소 및 IT 개발인력 근무 환경 개선방안도 살핀다. 앞서 금융권은 타 분야와 달리 물리적 망분리 규제로 인해 IT 개발인력 원격근무가 불가함에 따라 우수인력 유출 등 금융회사가 효율적인 개발 환경을 구축하는 데 애로사항이 있었다.
비 전자금융업무, 망분리 대상서 제외
금융위는 또 변화된 디지털 금융환경을 고려해 SaaS 이용을 통한 탄력적이고 혁신적인 업무 수행을 촉진하면서도 SaaS 이용에 따라 인터넷에 상시 연결되는 데 따른 보안 위험을 고려한 합리적 수준의 균형점을 찾을 계획이다.
마지막으로 비전자금융거래업무를 처리하는 정보시스템은 전자금융거래업무를 처리하는 정보시스템과 독립적으로 분리 구성·운영하는 방안도 검토한다. 겸영전금업자의 경우 전자금융업무와 비전자금융업무간 구별 기준이 불분명해 발생했던 망분리 규제 준수 애로사항을 해소한다는 계획이다.
금융위는 “향후 망분리 TF 회의를 지속 개최해 오늘 논의 사항 등을 중심으로 구체적인 개선 방안을 도출하고 업계 건의사항 등을 통해 추가적인 개선 과제도 적극 발굴해 검토해 나갈 예정”이라며 “망분리 TF를 통해 논의된 과제를 모아 상반기 중 ‘금융부문 망분리 규제 합리화 방안’을 마련하고 이후 필요한 후속 조치도 신속하게 추진해 나갈 계획”이라고 말했다.
데이터 분류 중심의 보안체계 적용해야
망분리 정책은 보안을 언급할 때 대두되는 가장 대표적 이슈다. 망분리 시스템을 도입하게 된 계기는 2013년 국내에서 일어난 ‘3.20 사이버테러 사건’이다. 당시 주요 방송사와 은행, 카드 회사 등의 전산망이 모두 마비됐던 사건으로 금융회사의 한 직원의 PC 해킹으로 시작돼 악성 이메일 실행과 액티브엑스(ActiveX)에 의한 감염으로 대형 보안 사고가 발생한 것이다.
이 사건 이후 정부는 PC를 보호하기 위한 강력한 대응책으로 가장 안전하다고 입증된 망분리를 도입했다. 정부는 정보통신망법을 개정해 100만 명 이상의 개인정보를 보유했거나 정보통신 매출이 100억원 이상인 사업자를 대상으로 망분리를 의무화했다. 금융권도 전자금융감독규정에 의해 망분리를 명시했다.
망분리란 문자 그대로 외부 인터넷망과 내부 업무망의 분리로, 외부 해킹이나 침해로부터 내부 자원을 보호하기 위해 네트워크를 이중화한 것이다. 망분리는 ‘물리적 망분리’와 ‘논리적 망분리’로 구분되나, 현재 금융권은 내외부 PC를 별도로 두는 물리적 망분리를 채택하고 있다. 과도한 비용과 업무의 비효율, 열악한 환경 등의 단점이 있지만, 내외부망을 철저히 분리해 내부 정보의 안전성을 높였다.
그러나 망분리 도입 이후 최선의 정책이라는 과거의 시각과 달리 현재에 맞게 바꿔야 한다는 목소리가 끊이지 않았다. 비금융권 망분리는 AI 및 클라우드 등 신기술에 대응하기 어렵고, 재택근무 등 업무 방식의 변화에도 유연하지 못하다는 것이다. 또한 일선 핀테크 회사는 개발 인력의 망분리에 대한 기피 현상으로 구인난을 겪고 있고, 정보 활용을 통한 혁신 사업 발굴에도 어려움을 겪고 있는 것으로 나타났다. 이번에 비 전자금융업무가 망분리 대상에서 제외된 배경이다.
이에 전문가들은 국내도 해외 국가가 채택하는 데이터 분류 중심의 보안체계를 적극적으로 적용해야 한다고 조언한다. 중요한 데이터는 폐쇄망에 저장하고, 그렇지 않은 데이터는 인터넷망에 저장해 활용 가능성을 높여야 한다는 설명이다. 기술을 통한 대안도 적극 고려돼야 한다는 제언도 나온다. 암호화 및 접근제어, 행위분석과 실시간 모니터링, 가상공격 테스트 등 최신 기술의 접목이 꾸준하게 병행돼야 한다는 것이다. 한 업계 전문가에 따르면 최근 보안 시장은 망분리와 VPN 등 기존 체계의 대안으로 제로 트러스트를 눈여겨 보고 있는 것으로 알려졌다. 이는 네트워크 내외부를 막론하고 모든 사용자, 장치, 애플리케이션에 대해 신뢰하지 않고 검증하는 접근 방식이다.