EZ EZViwe

금융권, 망분리 규제 개선 '환호'…자율보안체계 수립 '숙제’

책임 강화 골자 '디지털 금융보안법' 내년 입법 추진 "선제적인 가이드라인 필요"

장민태 기자 기자  2024.08.16 16:49:23

기사프린트


[프라임경제] 정부가 그간 외부와 단절된 섬과 같았던 금융권 망에 다리를 놓아준 대신 사고 책임은 각 금융회사에 부과하기로 했다. 금융권은 정부 결정에 환호하고 있지만, 어떤 방식으로 사고에 대비할지 혼란스러운 모습이다. 정부가 큰 틀의 가이드라인을 속히 도출해야 한다는 평가다.  

16일 금융권에 따르면, KB국민은행은 정부의 금융분야 망분리 규제 개선에 대비해 태스크포스(TF)를 운영하고 있다. 약 두 달간 생성형 인공지능(AI)과 전사적자원관리(ERP) 등 내부 시스템의 개선을 진행할 계획이다.

금융분야 망분리 규제는 정부가 지난 2013년 3월20일 금융회사 대규모 전산망 마비 사고를 계기로 도입했다. 금융회사 전산시스템과 단말기를 외부망과 물리적으로 분리해 접속을 제한하는 조치다.   

망분리는 외부와 단절된 외딴섬과 같아 보안에 유리하지만, 연구·개발과 신기술 활용에 어려움이 있다. 이에 따라 금융권은 그간 정부에 규제개선을 꾸준히 요청해 왔다.  

결국 지난 13일 김병환 금융위원장이 경기도 김포시 소재 KB국민은행 통합 IT센터에 방문해 '금융분야 망분리 규제 개선 로드맵'을 발표하면서, 금융권의 오랜 염원이 이뤄지게 됐다. 

금융권 한 관계자는 "은행은 외부와 사실상 단절된 내부망을 사용하기 때문에 업무용 컴퓨터로 카카오톡조차 사용할 수 없다"며 "메일조차 마찬가지로, 문서를 작성해 외부에 보내려면 승인을 받아 외부망에 옮긴 뒤 발송하는 방식"이라고 토로했다.

이어 "일례로 금융권 개발자들은 오픈 소스를 갖다가 복사해 붙여 넣는 것도 쉽지 않아서 일일이 입력하고 있다"며 "정보 보호라는 큰 이슈에도 불구하고 정부가 금융산업 경쟁력 제고 차원에서 통 큰 결정을 내려준 것"이라고 평가했다.   

정부가 내놓은 망분리 규제 개선안은 클라우드 기반의 응용 프로그램(SaaS) 이용 범위를 확대해 생성형 인공지능(AI)과 모바일 단말기 등을 업무에 활용할 수 있게 한다는 게 골자다. 고객의 가명정보도 활용할 수 있게 한다. 

다만 정부는 망분리 규제 개선에 따른 책임을 금융권에 부과했다. 최고경영자(CEO) 보고 의무 등 금융회사의 책임 강화를 위한 법적 근거 마련에 나선 상태다. 구체적으로 금융회사는 자율적으로 세부 보안통제를 구성해 정부에 보고해야 한다.

문제는 보안통제를 구성할 때 참고해야 할 법이 한참 뒤에 마련된다는 점이다. 정부가 발표한 로드맵을 살펴보면, 망분리 규제 개선 관련 감독규정 개정은 올해 3분기 내에 진행된다. 하지만 보안과 관련된 '디지털 금융보안법'은 내년 하반기에 입법이 추진될 계획이다.       

금융위원회 관계자는 "금융회사 등의 보안역량 확충을 위한 충분한 유예기간을 부여할 것"이며 "9월까지 업권별로 업무 설명회를 열어 보안대책 등에 대한 컨설팅을 진행하겠다"고 말했다.

규제 개선은 곧바로 이뤄지는데, 이에 따른 사고 책임은 당분간 무주공산에 가까울 수 있다는 이야기다. 

금융권 한 관계자는 "대부분 은행이 망분리 규제 개선으로 자율보안체계를 수립해야 한다는 건 알고 있지만 어떤 식으로 대비해야할지 아직 갈피를 못 잡았을 것"이라고 분석했다. 

이어 "이에 대한 문제는 향후 정부가 간담회 등을 통해 충분히 설명하겠지만, 큰 틀의 구체적인 가이드라인이 먼저 마련됐었다면 더 좋았을 것"이라고 심정을 토로했다.