HOME / 컨설팅서비스 소식 및 상담 / 클라우드 보안 및 정보보호 동향 소식

클라우드 보안 및 정보보호 동향 소식

금융위원회 금융부문 망분리 T/F」 1차 회의(SaaS솔루션 이용 시 인터넷 상시 연결에 대한 합리적 보안수준 검토)

SH보안감사 24/04/19 조회 72
안녕하십니까 ^.^
SH보안감사 입니다.

금융위원회는 24.4.12.(금) 유관기관 및 각계 전문가 과 함께「금융부문 망분리 T/F 1차 회의를 개최하였습니다.
- 금융부문 망분리 정책 개선방향 중 금융회사, 전자금융업자 및  SaaS 솔루션을 도입 시 SaaS 이용에 따라 인터넷 상시 연결되는 데 따른 보안 위험을 고려한 합리적 수준 균형점을 모색할 계획이라고 보도했습니다.


 금융위원회는 제도 도입 후 10년이 지난 시점에서 변화된 IT 환경을 감안하여 관련 규제 수준에 대한 종합적인 재검토가 필요하다는 판단으로 망분리 규제 합리화를 추진할 계획이다.


  망분리 규제는 외부 침입으로부터 내부 전산자원을 보호하기 위해 내부망과 외부망을 분리하는 네트워크 보안기법의 일종으로, 13년 대규모 금융전산사고를 계기로 금융부문 망분리 규제를 도입하면서 14년 말에는 전산시스템의 물리적 망분리를 채택*하였다.


 * 금융회사 및 전자금융업자는 내부망에 연결된 전산시스템·단말기를 외부망과 물리적으로 분리하여 접속을 제한


 망분리 규제는 도입 이후 해킹 등으로부터 금융시스템을 안전하게 보호하는데 기여*하였으나, 금융업무의 디지털 전환이 가속화됨에 따라 클라우드인공지능(AI) 등 디지털 신기술 채택의 장애 요인으로 작용한다는 의견이 제기되고 있다.


 * 전 세계가 ‘17년 랜섬웨어 감염사고로 피해를 입었음에도 국내 금융권은 피해가 없었음


  정부는 그간 감독규정 개정, 규제 샌드박스 운영 등 지속적인 제도 개선을 추진해 왔으나, 금융회사 등의 신기술 활용 및 업무상 어려움이 여전히 있어 유관기관 및 전문가 등으로 T/F를 구성하여 관련 제도의 개선 방안 논의할 계획이다.


  금융위원회는 금번 회의에서 그간 업계에서 제기되어 온 신기술 활용 및 업무상 어려움에 대한 다음과 같은 주요 사항들을 검토하였고, T/F를 통하여 개선방안을 마련해 나갈 계획이다.


가. 연구·개발 환경 관련

  

  최근 인공지능(AI), 클라우드 등 신기술 기반의 금융서비스 개발은 인터넷 연결을 통한 오픈소스 활용이 필수적이나, 망분리 규제로 인해 유연한 개발 환경을 구현하기가 곤란하였다.


  이에 따라, `22.11월에는 망분리 규제 완화의 일환으로 연구ㆍ개발망에 대한 망분리 예외를 허용하였으나, 부가조건에 따라 소스코드를 내부망으로 연계하는 것에 불편이 존재하며 개인신용정보의 활용이 제한되어 실질적인 연구ㆍ개발이 이루어지기에 어려운 측면이 있었다.


  한편, 금융권은 타 분야와 달리 물리적 망분리 규제로 인해 IT 개발인력의 원격근무가 불가함에 따라 우수인력의 유출 등의 문제도 있었으며, 금융회사가 효율적인 개발 환경을 구축하는 데 애로가 있었다.


  이에 금융 IT분야 연구·개발망과 관련된 애로사항 해소 및 IT 개발인력 근무 환경 개선방안을 모색할 예정이다.


나. 인공지능(AI) 활용 관련


  ChatGPT 등 생성형 AI 기술을 통한 업무 활용 및 금융서비스 개발 수요가 크나AI 기술의 특성상 외부망과의 연계가 필수적임에 따라 현행 망분리 규제와 상충되는 부분이 있다.


  이에 금융회사 등의 AI기술 활용에 제약이 되는 내·외부 시스템간 연계 및 내부 업무처리 자동화 등에 있어 개선방안을 모색할 계획이다.


다. SaaS 이용 관련


  최근 금융권에서는 업무 효율성 및 비용절감을 위해 다양한 업무에 SaaS* 도입하고자 하나, 망분리 규제 등으로 인해 SaaS를 이용하기 어려웠다.


* Software as a Service(서비스형 소프트웨어) : 개인이나 기업이 컴퓨팅 소프트웨어를 필요한 만큼 쓸 수 있는 개념


  이에 금융위원회는 ’23.9월부터 내부망에서의 SaaS 이용에 대해 금융규제 샌드박스를 통한 특례를 부여해 업무 불편을 해소하기 위해 노력하였으나, 금융회사가 SaaS를 다양한 업무 활용*하는 데에는 부족한 측면이 있었다.


* 개발 및 보안, 개인신용정보를 처리하는 업무 등


  변화된 디지털 금융환경을 고려하여 SaaS 이용을 통한 탄력적이고 혁신적인 업무 수행을 촉진하면서도 SaaS 이용에 따라 인터넷에 상시 연결되는 데 따른 보안 위험을 고려한 합리적 수준의 균형점을 모색할 계획이다.


라. 전자금융거래와 무관한 시스템의 규제 적용 관련


  현행 규제에서는 非전자금융거래업무에 대해 망분리 등 보안 규제를 배제하는 기준이 없어 사실상 모든 시스템에 망분리 규제가 적용되고 있으며, 특히 겸영전금업자의 경우 전자금융업무와 非전자금융업무간 구별 기준이 불분명*하여 망분리 규제 준수에 애로가 있었다.


  * 전자금융업은 겸업주의 특성상 전자금융업무에 대해서만 각종 보안규제 등 적용

→ 최근 금융-비금융 융합 가속화로 업무 간 구분이 불분명한 경우 다수 발생


  이에 非전자금융거래업무를 처리하는 정보시스템은 전자금융거래업무를 처리하는 정보시스템과 독립적으로 분리 구성·운영하고, 망분리를 일부 완화하는 방안 등을 검토할 계획이다.


  금융위원회는 향후 망분리 T/F 회의를 지속 개최하여 오늘 논의 사항 등을 중심으로 구체적인 개선 방안을 도출해 나가는 한편, 업계 건의사항 등을 통해 추가적인 개선 과제도 적극 발굴해 검토해 나갈 예정이다. 망분리 T/F를 통해 논의된 과제를 모아 상반기 금융부문 망분리 규제 합리화 방안」을 마련하고, 이후 필요한 후속조치도 신속하게 추진해 나갈 계획이다.


감사합니다.

첨부파일
  1. 240412(보도자료) 변화된 IT환경의 망분리 규제 합리화를 위한 「금융부문 망분리 T/F」 1차 회의 개최.pdf 다운로드횟수[3]