0:00Your browser does not support theaudio element.구글 선호 매체 등록클립아트코리아광고금융사의 핵심 정보보안 수단인 내·외부 전산망 분리 정책이 금융·기술 환경 변화로 수명을 다하고 있다. 지난 13년간 망분리 규제를 유지해온 정부는 인공지능(AI)을 보안에 활용하기 위해 망분리 규제 완화를 추진하고 있다. 이에 따라 금융사고에 대한 금융회사들의 책임이 강화될 것으로 예상된다.29일 금융권에 따르면 금융위원회는 최근 금융사에 적용해오던 망분리 규제를 보안 목적에 한해 완화하는 대상 기업 10곳을 선정하고 테스트를 진행 중이다. 하반기에 대상 기업을 넓힐 예정이며, 고도의 보안 역량을 갖춘 금융회사에는 망분리 규제를 전면 해제하는 방안도 추진한다. 망분리는 내부 전산망을 외부 인터넷과 끊어놓는 보안 기법을 말하는데, 2013년 금융권에 처음 규제가 적용됐다. 그럼에도 금융사 해킹 사고가 계속 발생하자 금융당국이 전면 재검토에 나선 것이다.망 분리됐는데 해커가 어떻게 침입?‘망분리’는 용어와 달리 실질적으로 ‘완전 차단’을 의미하지 않는다. 만약 인터넷뱅킹이 없고 창구 업무만 하는 환경이라면 인터넷을 100% 차단해도 은행 업무가 가능했을 수 있다. 하지만 모바일 금융이 보편화한 현재 금융 환경은 다르다. 다른 기관과 정보를 끊임없이 주고받아야 한다. 망분리 적용의 예외가 존재할 수밖에 없다. 전자금융감독규정 시행세칙을 보면 메일 시스템, 업무용 단말기, 연구·개발 환경, 원격접속 등이 예외의 대표 사례다. 해커들도 바로 이 통로를 노린다.광고금융사의 망분리 정보처리시스템을 하나의 ‘박스’라고 생각하면, 박스 곳곳에 정보가 오가는 구멍을 뚫어놓은 셈이다. 외부망을 원칙적으로 차단하되, 업무에 필요한 통로만 열어두고 이 통로를 잘 관리하면 큰 사고를 막을 수 있다는 발상이었다.문제는 점차 그 구멍이 많아지고 있다는 점이다. 김태훈 금융위 금융안전과장은 “지금은 서버와 대외 서비스가 급격히 늘면서 망분리 예외가 많아질 수밖에 없다”며 “박스에 구멍이 계속 뚫리는 것”이라고 말했다. 김 과장은 지난해 9월 297만명의 고객 정보가 유출된 롯데카드에 대해서도 “망분리를 했지만 해킹 사태가 벌어졌다”고 설명했다. 해킹 사고가 반복되면서 망분리 규제의 실효성에 의문이 제기돼온 배경이다.광고광고개인정보 유출 사건과 관련해 조좌진 롯데카드 대표(왼쪽 두번째)가 서울 중구 부영태평빌딩에서 사과하고 있다. 연합뉴스특히 인공지능의 발전은 이런 문제의식을 더 키웠다. 최근 앤트로픽이 개발한 고성능 인공지능 ‘미토스’ 등은 보안 취약점을 찾아내는 능력이 뛰어난 것으로 알려져 있다. 해커가 인공지능을 활용한다면, 방어자 역시 인공지능을 활용해 이상 징후를 탐지하고 취약점을 먼저 점검해야 한다. 그러나 기존 망분리 규제 아래에서는 금융사 전산시스템 안에서 외부 인공지능 서비스를 활용하기 어렵다. 금융위가 서둘러 망분리 규제를 완화하려는 배경이다.규제 완화 이후 금융사 대응 역량은?국내 금융사들은 망분리 규제 완화 이후 새로운 보안 환경에 대응할 역량을 갖추고 있을까. 김승주 고려대 정보보호대학원 교수는 “미뤄둔 숙제를 한꺼번에 해야 하는 상황”이라고 말했다. 그는 “그간 망분리 규제를 받지 않는 국외 금융사들은 외부망이 연결된 환경에서 보안을 유지하는 방식으로 역량을 지속적으로 키워왔다”며 “반면 우리 금융사는 망분리 규제에 기대면서 보안 역량을 충분히 키우지 못한 측면이 있다”고 말했다.광고망분리 규제 완화가 금융사 전산 사고 책임 구조에도 변화를 불러올 수 있다는 전망도 나온다. 금융업의 공공성을 고려해 촘촘하게 설계된 규제가 때로는 금융사의 면책 논리로 작용해왔기 때문이다. 규정의 취지에 맞게 위험을 실질적으로 관리했는지보다, 법적 기준을 어겼는지만 따지는 식이다. 망분리 규제가 풀리면 금융사가 스스로 위험을 평가하고 업무 특성에 맞는 보안 체계를 설계해야 한다. 금융사에 더 많은 자율성을 주는 대신 그에 따른 보안 책임을 더 분명히 물을 수 있는 구조가 되는 셈이다.안태호 기자 eco@hani.co.kr
[뉴스AS] 보안 위험? 금융사 ‘전산망 분리’ 규제 풀려는 이유는
금융사의 핵심 정보보안 수단인 내·외부 전산망 분리 정책이 금융·기술 환경 변화로 수명을 다하고 있다. 지난 13년간 망분리 규제를 유지해온 정부는 인공지능(AI)을 보안에 활용하기 위해 망분리 규제 완화를 추진하고 있다. 이에 따라 금융사고에 대한 금융회사들의 책임이






