[기획특집] 금융권 제로 트러스트 확산의 열쇠, ‘자율보안’

[컴퓨터월드] 금융당국은 지난 2013년 대규모 전산망 마비 사태 이후 망분리 규제를 도입해 보안 체계를 강화해 왔다. 망분리 규제는 사이버 공격 위험성을 낮추는 데 효과를 거뒀으나, 클라우드와 인공지능(AI) 등 신기술 도입에는 걸림돌로 작용하는 한계도 드러냈다. 금융당국은 변화하는 IT 환경에 대응하고 금융 산업의 디지털 경쟁력을 높이기 위해 보안 규제 선진화와 망분리 개선을 추진하고 있다.

특히 금융당국은 ‘자율보안’을 핵심 키워드로 삼아 금융회사가 스스로 보안 체계를 수립하고 관리하는 방향으로 전환을 유도하고 있다. 이를 통해 기술 변화에 유연하게 대응하면서도 보안 수준을 높이겠다는 전략이다. 이러한 변화 속 금융회사는 자율보안 전환으로의 변화에 대응하고자 제로 트러스트(Zero Trust) 보안 모델을 주목하고 있다.

2013년 전산망 마비로 시작된 망분리 규제

국내 금융권 보안 체계는 망분리 규제를 중심으로 이뤄진다. 망분리는 외부 침입으로부터 내부 전산자원을 보호하기 위해 내부망과 외부망을 분리하는 네트워크 보안 기법이다. 2013년경 전자금융감독규정에 포함됐으며 이후 2016년까지 시중은행 등 제1금융권과 증권사, 보험사 등 제2금융권으로 순차 적용됐다.

2013년 발생한 대규모 전산망 마비 사태는 망분리 규제가 도입된 결정적 계기였다. 그해 3월 20일 KBS, MBC, YTN 등 주요 방송국과 NH농협은행, 신한은행, 제주은행, 우리은행 등 금융회사 4곳에서 외부 공격으로 인해 서버가 마비되는 사건이 벌어졌다. 이 가운데 신한은행에서는 모든 전산이 멈춤에 따라 창구나 현금자동입출금기(ATM) 거래가 중단됐으며 계좌와 연결된 체크카드 결제도 먹통이 돼 버렸다.

늘어나는 전자금융거래도 망분리 필요성을 높인 한 요인이었다. 금융위원회에서 발표한 ‘금융전산 보안 강화 종합 대책’에 따르면, 2013년 3월 기준 전체 금융거래에서 전자금융거래가 차지하는 비중은 87.7%를 기록했다. 인터넷뱅킹과 모바일뱅킹 일평균 거래 금액은 33조 원 이상이었다. 전자금융거래가 보편화되는 만큼 전산망이 공격받을 때 피해가 더 커질 가능성도 높아졌다.

이에 금융위원회는 2013년 7월 금융전산 보안 강화 종합대책을 발표하며 금융회사에 대한 망분리 규제를 공식화했다. 전산센터에는 2014년 말까지 업무용과 인터넷용을 물리적으로 분리해 PC 2대를 사용하는 ‘물리적 망분리’를 의무화했다. 본점·영업점에는 총자산, 임직원 수 등 규모에 따라 단계적으로 추진키로 했다. 전산센터와 달리 본점·영업점은 물리적 망분리와 소프트웨어 차원에서 분리하는 ‘논리적 망분리’ 중 하나를 선택할 수 있었다.

내·외부망 분리로 높아진 보안성

망분리는 설계 방식에 따라 물리적 망분리와 논리적 망분리로 나뉜다. 물리적 망분리는 통신망, 장비 등을 물리적으로 이원화해 인터넷 접속이 가능한 PC와 그렇지 않은 PC로 구분하는 방식이다. 논리적 망분리는 하나의 장비를 사용하나 가상화 등으로 내부 업무 영역과 인터넷 접속 영역을 분리하는 구조다.

국내 금융권 망분리 규제는 전자금융감독규정에 따라 이뤄진다. 전자금융감독규정 제15조에 따라 금융회사 또는 전자금융업자는 해킹 등 전자적 침해 행위로부터 시스템, 통신망을 보호하기 위해 내부 업무용 시스템을 인터넷 등 외부망과 분리·차단 및 접속 금지 조치해야 한다.

특히 전산실 내에 위치한 정보처리시스템과 해당 시스템의 운영·개발·보안 목적으로 직접 접속하는 단말기는 외부망으로부터 물리적으로 분리해야 한다. 다만 이용자 고유식별정보나 개인신용정보를 처리하지 않는 연구개발용 시스템은 망분리 규제 예외 대상이다.

물리적 망분리는 인터넷망과 업무망 간 경로를 차단하기 때문에 해킹, 악성코드 감염 등 사이버 공격 위험성을 낮출 수 있다. 실제로 2017년경 전 세계 금융기관에 랜섬웨어 감염이 활발히 일어났는데 국내 금융권에서는 피해가 크지 않았다. 전문가들은 망분리가 랜섬웨어 감염을 막는 데에 기여했다고 평가했다.

금융 환경 변화 속 제도 재정비 필요성 증가

망분리 규제는 10년여간 국내 금융 환경을 지켜 왔다. 내부 정보 유출과 외부 해킹 등으로부터 전산망을 보호하는 데 큰 효과를 거뒀다. 하지만 클라우드, AI 등 신기술을 도입하는 데 도리어 걸림돌로 작용하기도 했다.

국내외를 막론하고 금융회사 간 디지털 경쟁은 치열해지고 있다. 금융회사들은 맞춤형 서비스 등으로 고객 경험을 향상하고, 내부 차원에서는 운영 프로세스를 효율화하기 위해서 클라우드 전환에 나섰다. 금융권은 그간 온프레미스(On-premise)로 구축하는 접근법을 선호했으나, 소프트웨어 시장이 서비스형 소프트웨어(SaaS) 중심으로 넘어가는 점도 영향을 다소 미쳤다.

특히 생성형 AI 열풍은 금융권 클라우드 전환에 불을 지폈다. 2023년 말 오픈AI ‘챗GPT’를 시작으로 마이크로소프트 ‘코파일럿’, 구글 ‘제미나이’ 등 다양한 생성형 AI 서비스가 등장했다. 이들 서비스는 데이터나 통계를 요약·분석하거나 보고서 초안을 작성해 주는 등 업무 효율화에 기여하며 기업 내부로 스며들었다. 그런데 AI 서비스 대다수가 클라우드 기반 서비스를 제공하는 터라 국내 금융회사는 이를 활용하는 데 불편을 겪고 있다.

망분리 외에 경직된 법과 제도도 문제로 꼽힌다. 국내는 전자금융거래법과 그 하위 규정인 전자금융감독규정 등으로 보안 관련 사항을 규율하고 있다. 이 가운데 전자금융거래법은 2006년경 인터넷뱅킹이 활성화된 시기에 제정된 법인데 20년이 가까이 지난 현재에도 큰 변화 없이 유지되고 있는 상태다.

금융보안원 디지털금융전략팀 허세경 팀장은 “전자금융거래법은 전자금융환경에서 마땅한 보안 관련 규제가 없던 시기에 금융 보안 체계를 확립한 법이다. 다만 그 당시 만들어진 형태가 지금까지 큰 변화 없이 이어지고 있어 모바일 금융 환경, AI, 클라우드 등 변화하는 디지털 환경에 대응하기 어렵다”고 설명했다.

금융당국, 보안 규제 선진화 및 망분리 개선 나서

금융위원회는 지난 2022년 ‘금융보안규제 선진화 방안’을 발표했다. 여기에는 급변하는 IT 환경과 새로운 보안 리스크에 금융회사가 대응할 수 있도록, 기존 규제를 정비하고 나아가 자율 보안 체계를 구축하는 방향으로 규율 체계를 개선하는 내용이 담겼다.

구체적으로는 △보안 거버넌스 개선 △규제 정비 △관리·감독 선진화 등 세 가지를 골자로 삼았다. 우선, 보안을 전사적 차원에서 준수하는 핵심 가치로 삼도록 최고정보보호책임자(CISO) 권한을 확대하고, 점차 자율보안체계로 이행하도록 했다. 이에 맞게 금융당국은 목표·원칙 중심으로 바꾸되 대신 사고 발생 시 사후 책임을 강화하는 형태로 규제와 관리·감독 방식을 손질해 나간다는 계획을 세웠다.

망분리 규제에 대한 개선 방안도 수립했다. 금융위원회는 지난해 8월 생성형 AI 허용, SaaS 이용 범위 확대 등을 중심으로 한 ‘금융분야 망분리 개선 로드맵’을 발표했다.

기존 제도에서는 연구개발망은 망분리 예외 대상에 포함했으나 업무망과는 물리적으로 분리된 형태로 구성됐다. 앞으로는 제도 개선을 통해 이를 논리적 망분리로 전환해 AI, SaaS 등 신기술 활용이 원활해질 수 있도록 지원할 예정이다. 이와 함께 업무망에서 활용하는 SaaS에 대해서도 가명정보와 모바일 단말 사용 등을 허용하고 고객 관리, 업무 자동화 등으로 범위를 확대해 나갈 계획이다.

금융당국이 금융보안 규제를 재정립하는 데 있어 중심에 둔 키워드는 ‘자율보안’이다. 자율보안은 금융당국이 상위 기준만을 제시하고 이를 구현하는 법은 기업과 기관이 자율적인 판단 아래 스스로 마련하는 개념이다. 각 조직에서 목표를 달성하는 방법을 자율적으로 선택하는 만큼 기술 발전이나 환경 변화에 유연한 대응이 가능하며, 특정 분야 솔루션 채택을 강제하지 않아 신기술, 혁신적 서비스 도입이 용이하다는 장점이 있다.

신기술에 걸맞은 ‘자율보안 체계’ 수립 추진

국내 금융보안은 ‘규정(Rule)’ 중심 보안으로 이뤄져 있었다. 정부는 규칙, 지침 등을 상세히 정리한 법과 제도를 마련하고, 금융회사는 이 내용을 준수하는 데 초점을 맞추는 체계다. 내용이 구체적이기 때문에 기업과 기관에서 보안 목표를 수립하기 쉽고, 이 체계를 따르기만 해도 기본적인 보안 수준을 충족할 수 있다. 인터넷뱅킹이 활발해지던 시기에 만들어진 우리나라 전자금융거래법이 규정 중심 보안의 대표적 사례다.

규정 중심 보안은 기업들이 기술 이해도가 높지 않은 시점에서 최소한의 보호 역량을 만들 수 있도록 기여한다. 하지만 단점도 존재한다. 나열된 통제 사항을 지킨다면 보안 책임이 완화되기 때문에 보안 강화가 아니라 규정 준수 그 자체가 목표가 돼 버리는 주객전도 현상이 일어날 수 있다. 또 규정을 바꾸는 데 시간이 오래 걸리기 때문에 새로운 위협, 기술 변화에 대응하기 힘들다. 국내 금융권이 AI와 클라우드를 쉽게 받아들이지 못하고 있는 것은 이러한 규정 중심 보안 체계에서 기인한다.

반면, 원칙 중심 보안은 최소 권한, 심층 방어와 같은 근본 원칙에 기반해 보안 체계를 구축 및 운영하는 접근 방식이다. 특정 요건을 맞추기 위한 기술, 솔루션 도입보다는 보안 조치가 필요한 이유, 시스템을 구축하는 환경 등 보안에 대한 본질적인 이해를 요구한다.

원칙 중심 보안은 규정 중심 보안에 비해 기술 변화에 능동적으로 대응할 수 있는 개념이다. 세부 사항이 정해져 있지 않아 기업은 원칙을 바탕으로 구현 방식을 전환함으로써 유연한 시스템을 구성할 수 있다. 규정 준수를 넘어 조직의 특성, 환경에 맞춘 보안 체계 구현도 가능하다.

개정 이전 전자금융감독규정 제32조는 규정 중심 보안의 한계를 드러낸 사례다. 해당 조항은 비밀번호를 숫자, 영문자 및 특수문자를 혼합해 사용하고 분기별 1회 이상 변경하도록 규정했다. 이는 한국인터넷진흥원(KISA)에서 2008년 발간한 ‘패스워드 선택 및 이용 안내서’에 담긴 내용이 반영된 사항이다.

2017년 미국 국립표준기술연구소(NIST)는 비밀번호의 과도한 복잡성과 변경주기 요구사항이 사용성을 떨어뜨리고 역효과를 초래한다고 판단, 관련 내용을 폐기했다. 이에 KISA에서 안내서에 해당 내용을 삭제 처리했다. 하지만 올해 2월 개정안이 시행되기 전까지는 비밀번호 복잡성 및 변경주기 규제가 남아 있었다. 규정 중심 보안이 왜 빠른 IT 기술 변화에 대응하는 데 어려움이 있는지를 보여준 지점이다.

자율보안 체계 자리 잡은 해외 선진국

해외 선진국에서는 이미 원칙 중심 보안이 자리 잡고 있다. 먼저 영국은 2008년 글로벌 금융 위기 이후 규제 체계를 원칙 중심 접근 방식으로 전환했다. 영국 금융행위감독청(FCA)는 세부 규정 방식의 규제가 금융시장에서 발생하는 문제를 예방하는 데 실패했으며, 금융회사들이 목적을 이해하기보다 규정 문구 해석에 치우도록 만들었다고 판단했다. 이에 원칙과 결과를 중시하는 상위 규정 형태로 규제 방식을 바꿨다.

영국 건전성감독청(PRA)에서는 감독 지침 ‘SS1/21’을 통해 금융회사가 고객과 시장에 서비스를 지속적으로 제공할 수 있도록 운영 복원력(Resilience)을 확보하는 방안을 원칙 중심으로 마련했다. 해당 지침은 금융회사에 ‘심각하지만 가능성 있는(Severe but Plausible)’ 시나리오에 대한 복원력을 테스트하는 등 사이버 위협을 비롯한 다양한 운영 중단 요인으로부터 서비스를 보호하는 방안을 마련토록 지시한다.

유럽연합(EU)에서는 올해 1월부터 디지털운영복원력법(DORA)이 시행됐다. DORA는 디지털 위협에 대응하기 위한 유연성 강화와 규제 효율성 제고를 목표로, EU 전역에 대한 ICT 위험 관리 프레임워크를 표준화하는 내용으로 구성됐다. 구체적 내용을 서술하기보다 금융회사가 내부 환경에 맞는 위험 관리 체계를 구축하도록 유도하는 형태로 만들어졌다.

미국 뉴욕주에서는 2017년부터 원칙 중심의 보안 조치 사항이 담긴 사이버보안 규정(23 NYCRR 500)을 시행 중이다. 해당 규정은 위험 평가에 기반한 정책 수립을 통해 각 회사가 직면한 위험을 식별하고 취약한 지점에 자원을 집중하는 맞춤형 사이버보안 체계를 지향한다. 이를 위해 미국 연방금융기관 심사위원회(FFIEC)에서 발간한 사이버보안 평가 도구를 적극 활용할 것을 권고하고 있다.

해외에서는 자율보안 체계 아래 자신들의 보안 수준을 높이는 방안을 마련하기 위한 금융회사들의 노력도 이어지고 있다. 일례로 미국 CRI(Cyber Risk Institute)에서는 JP모건, 골드만삭스, 모건스탠리 등 유수의 금융회사와 함께 금융 서비스 분야 사이버보안 프로파일을 제작했다. 해당 자료는 전 세계 2,500개 이상의 규제, 지침 및 감독조항 분석을 통해 △거버넌스 △식별 △보호 △탐지 △대응 △복구 △공급망 관리 등 7개 분야에 걸쳐 금융회사가 보안 실태를 점검할 수 있는 진단 항목 278개를 제공한다.

‘원칙 중심 보안’과 함께 주목받는 제로 트러스트

원칙 중심 보안은 회사가 내부 환경, 산업 특성을 고려한다는 점에서 기존 규정 중심 보안보다 안전하면서도 유연한 방법론이다. 하지만 추상적인 개념에 근거해 아키텍처를 설계해야 하기에 시간이 소요되며 조직 내 보안 전문성도 요구된다.

‘제로 트러스트’는 원칙 중심 보안이 내재한 추상성, 구현 난도를 구체적인 방법론을 통해 해소할 수 있다. 제로 트러스트는 ‘절대 믿지 말고 계속 검증하라(Never Trust, Always Verify)’는 기본 철학을 중심으로, 네트워크 경계가 아니라 보호 자산에 집중하는 보안 전략이다.

제로 트러스트는 아키텍처에 따라 세부 사항에 차이는 있으나 △인증 체계 강화 △마이크로 세그멘테이션(Micro Segmentation) △소프트웨어 정의 경계(Software Defined Perimeter; SDP) 등 세 가지 원칙을 핵심으로 삼는다. 이들 원칙을 지키는 선에서 기업, 기관이 처한 상황에 맞게 제로 트러스트 보안을 구현한다. 원칙을 부여하고 목표를 달성하는 방법은 자체적으로 마련한다는 점에서 원칙 중심 보안과 제로 트러스트는 일맥상통한다.

IT 환경 변화는 제로 트러스트 확산의 계기로 작용하고 있다. 망분리 규제는 내부망을 신뢰하고 외부망은 의심하는 네트워크 기반 경계 보안 모델에 근거한다. 하지만 금융권 클라우드 전환이 본격화하며 네트워크상 내외부 구분이 불분명해졌으며, 코로나19 대유행 후 늘어난 원격근무로 네트워크 환경도 복잡해졌다. 금융회사가 내부망과 외부망은 완벽히 나눠 관리하기엔 힘든 상황이다.

제로 트러스트 보안은 위협이 언제 어디서나 발생할 수 있다는 전제로 요건을 갖추지 않은 사용자·기기가 데이터, 서버 등 주요 자원에 접근하지 못하도록 제한하는 구조다. 클라우드 전환, AI 서비스 도입으로 내·외부망 간 경계가 희미해질수록 그 가치는 빛을 발할 가능성이 높다.

제로 트러스트에 높은 관심 보이는 금융권

우리나라 금융권에는 아직 망분리 규제가 남아 있어 모든 네트워크 환경에 제로 트러스트를 구축할 수는 없다. 대신 금융회사들은 망분리로부터 자유로운 연구개발망에 제로 트러스트 모델을 구현하거나 네트워크 중 일부 영역에 시범 운영하는 방안을 고민하고 있다.

금융권에서는 제로 트러스트의 가능성을 시험하고자 정부에서 추진하는 시범사업에 관심을 보이고 있다. 가장 적극적인 곳은 KB국민은행이다. KB국민은행은 2018년부터 클라우드 전환을 펼쳐 왔다. 2020년 프라이빗 클라우드인 ‘더케이(The K) 클라우드’를 구축해 서비스형 인프라(IaaS)와 컨테이너 활용 환경을 확보했고, 2021년에는 퍼블릭 클라우드를 이용하는 공통 플랫폼 ‘KB 원 클라우드’를 구축했다.

KB국민은행은 지난해 과학기술정보통신부와 한국인터넷진흥원(KISA)이 주관한 ‘제로 트러스트 도입 시범사업’에 수요기업으로 참여했다. 자사 원 클라우드에 제로 트러스트 모델을 시범 적용한 뒤 이를 전 그룹사에 확대 적용한다는 목표였다.

이 사업에는 엠시큐어를 주관사로 엠엘소프트, 에스엔에이, 이스톰, 피앤피시큐어가 컨소시엄으로 참여했다. 엠시큐어는 제로 트러스트 보안 아키텍처를 총괄하며 신뢰도 알고리즘, 동적 취약점 점검 도구 구현을 맡았다. 엠엘소프트는 네트워크 접근제어 분야에서 SDP와 마이크로 세그멘테이션 구현을 담당했으며, 이스톰은 대역 외 인증 기술로 네트워크 보안성을 높였다.

피앤피시큐어는 데이터베이스(DB)와 시스템 접근제어를 맡았다. 피앤피시큐어는 기존에 KB국민은행에서 이용 중이던 자사 DB접근제어 솔루션 ‘DB세이퍼(DB SAFER)’를 제로 트러스트 아키텍처에 맞춰 고도화시켰다. 또한 안면인증 솔루션 ‘페이스라커(FaceLocker)’로 무자각 지속 인증 체계를 구축했다.

지난해 사업에 참여한 피앤피시큐어 기술본부 윤진하 부장은 “금융회사들은 자율보안 기조에 따라 새로운 체계를 수립하는 과정에서 클라우드, AI를 포용하는 해결책으로 제로 트러스트 모델을 고려하고 있다”며 “금융권에서 제로 트러스트에 많은 관심을 나타내고 있으며, 이와 관련한 세미나, 컨퍼런스도 여러 차례 열리고 있다”고 설명했다.

아직은 시작 단계… 체계 구축 위한 프레임워크 개발 추진

금융당국은 자율보안 체계를 확산하기 위해 노력하고 있다. 2022년 발표된 금융보안 선진화 방안에 따라 올해 2월 전자금융감독규정 일부를 개정했다. 293개에 달하던 규칙은 166개로 줄었으며, 건물·설비·전산실 관리 및 각종 내부통제·사업운영 등과 관련해 금융회사의 자율성은 늘어났다. 또 CISO가 정보보호위원회 주요 심의·의결사항 등을 이사회 보고하도록 해 내부 의사결정 체계를 개선했다.

자율보안을 위한 첫 단추를 끼웠으나 아직 갈 길은 멀다. 두 번째 단계는 법 개선이다. 금융당국에서는 자율보안 체계와 사후 책임을 강화하는 내용을 골자로 법안을 마련하고 있다. 초안에는 금융사들이 자율보안 체계를 제대로 구축하지 않을 경우, 과징금을 부과하거나, 금융보안 사고가 일어나면 회사 전체 매출 3%(최대 200억 원) 범위에서 징벌적 과징금을 내리는 내용이 담겼다.

금융당국은 법과 규정 정비가 완료되면 자율보안 체계로의 패러다임 전환을 이끌어 갈 계획이다. 새로운 체계에서는 금융회사가 자체적으로 마련한 위험관리 계획을 보고하며, 금융당국이 이 계획의 적정성을 평가하고 이행을 검증하는 구조로 변화할 전망이다.

초기 단계인 만큼 아직 국내 금융권의 자율보안 이해도는 미진하다. 금융보안원 허세경 팀장은 “금융회사는 오랜 기간 이어진 규정 중심 규제에 익숙해져 있다”며 “올해 초 전자금융감독규정 중 일부가 원칙 중심으로 바뀌었으나, 아직은 금융권에서 자사 환경에서 발생할 수 있는 리스크를 자율적으로 관리하기란 힘들다”고 설명했다.

금융보안원에서는 금융회사가 자사 환경에 맞는 보안 수준을 진단할 수 있도록 자율보안 프레임워크를 개발하고 있다. 자율보안 프레임워크는 △거버넌스 △위협식별 및 관리 △내부통제 및 보호 △탐지 △대응 △공급망 △복원력 등 7개 분야에 대해 보안 수준을 측정할 수 있는 항목으로 구성된다. 이 가운데 ‘내부통제 및 보호’ 분야에서는 과기정통부에서 발간한 ‘제로 트러스트 가이드라인 2.0’ 중 일부 내용이 포함될 것으로 전해졌다.

금융보안원은 미국 CRI 프로파일 등 국내외 보안 기준을 참고하되 우리나라 금융현실을 반영할 수 있도록 금융회사들과 협력을 이어가고 있다. 현재 업권별로 주요 금융회사 17곳과 함께 작업반을 구성해 개발 중이다. 올 하반기에는 희망하는 금융회사를 대상으로 자율보안 프레임워크를 실제 적용할 계획이다.