💌 후속 콘텐츠, 계속 받아보세요 ▶

01. 설치형 보안 SW 폐지 추진 개요

정부가 *범부처 정보보호 종합대책의 일환으로 금융권에 적용되어 온 △키보드보안 △방화벽 △백신 등 설치형 보안 소프트웨어(SW)를 단계적으로 폐지하고, 서버 중심 보안 체계로 전환하는 정책을 본격 추진하고 있다. ‘26년 4월, 정부는 금융권 보안 담당자를 대상으로 ‘금융권 설치형 보안 SW 개선 관련 회의’를 개최하고, 설치형 보안 SW 감축·전환 로드맵에 대한 실행 방안을 논의하는 한편 업권별 의견을 수렴한 것으로 알려졌다. 이번 조치는 그동안 국내 금융 환경에서 관행적으로 유지되어 온 ‘클라이언트(사용자 PC) 의존형 보안 구조’의 한계를 해소하고, 글로벌 스탠다드(Global Standard)에 부합하는 보안 체계로의 전환을 목표로 한다.

*범부처 정보보호 종합대책(’25.10.22): 사이버 위협 대응 역량 강화를 위해 부처 간 협력 기반으로 정보보호 정책·기술·제도를 통합 추진하는 종합 전략

특히 다중인증(Multi-Factor Authentication, 이하 MFA), AI 기반 이상금융거래탐지시스템(Fraud Detection System, 이하 FDS), 제로트러스트 아키텍처(Zero Trust Architecture, 이하 ZTA) 등을 중심으로 보안 책임을 사용자 단말이 아닌 금융사 서버로 이동시키겠다는 점에서 구조적 변화로 평가된다. 이는 기존 설치형 보안 SW가 브라우저 보안 우회, 사용자 불편, 운영 비효율 등의 문제를 지속적으로 야기해 왔다는 문제 인식에서 출발한 것으로 해석된다. 나아가 글로벌 금융사들이 별도의 설치형 보안 프로그램 없이 서버 기반의 이상행위 탐지 및 인증 체계를 중심으로 보안을 운영하고 있다는 점도 정책 추진의 배경으로 작용한 것으로 보인다.

다만 정책 추진 속도에 비해 금융권의 준비 수준은 충분하지 않은 상황으로, 대체 기술 및 운영 체계 부재에 따른 혼선이 발생하고 있다. 특히 PC 기반 거래 비중이 높은 은행 및 증권사의 경우 기존 설치형 보안 SW를 단기간 내 대체할 수 있는 현실적인 방안이 부족하며, 사고 발생 시 금융사가 책임을 부담해야 하는 구조로 전환된다는 점에서 리스크 부담도 확대되고 있다. 이에 따라 정책 방향성에는 공감하면서도, 단계적 적용과 제도적 보완이 필요하다는 의견이 제기되고 있다.

---

02. 금융권 설치형 보안 SW 운영 현황

현재 금융권은 인터넷뱅킹 및 온라인 증권사 거래 시스템(Home Trading System, 이하 HTS) 환경에서 다양한 설치형 보안 SW를 중첩적으로 운영하고 있으며, 주요 기능은 키보드 입력 보호, 악성코드 탐지, 네트워크 통제, 인증 보안 등에 집중되어 있다. 이러한 구조는 보안 강화를 목적으로 도입되었으나, 사용자 단말 환경에 다수의 보안 프로그램을 설치·구동해야 하는 방식으로 인해 이용 편의성을 저해하고 시스템 충돌 및 성능 저하 등의 문제를 지속적으로 야기해 왔다.

또한 은행과 카드사 등 업권별로 적용되는 보안 SW는 유사한 기능을 중복적으로 수행하는 경우가 많으며, 개별 솔루션 단위로 분산 운영됨에 따라 통합적인 위협 대응보다는 단편적인 방어 체계에 머무르는 한계가 존재한다. 특히 특정 브라우저 및 운영체제에 종속되는 구조로 인해 웹 표준 기반 환경과의 호환성 문제도 지속적으로 제기되어 왔다.

이같은 설치형 보안 SW 중심의 구조는 과거 공공기관 웹사이트에서 액티브X(ActiveX) 기반 보안 환경이 확산되었던 것과 유사한 양상을 보인다. 당시 다양한 기능의 보안 프로그램이 개별적으로 설치·운영되면서 사용자 불편과 보안 취약성 문제가 동시에 발생하였으며, 이에 따라 웹 표준 기반 환경으로의 전환 필요성이 지속적으로 제기됐다. 금융권 역시 유사한 구조적 한계를 내포하고 있다는 점에서, 현재의 보안 운영 방식은 근본적인 개선이 필요한 단계에 진입한 것으로 판단된다.

당시 액티브X 환경과 함께 공인인증서 체계 역시 대표적인 클라이언트 의존형 보안 구조로 작동했다. 공인인증서는 사용자 PC 또는 저장매체에 인증서를 저장하고 이를 기반으로 인증을 수행하는 방식으로 운영됐으며, 특정 브라우저 및 보안 프로그램과의 연동이 필수적으로 요구됐다. 이로 인해 이용 절차의 복잡성 증가, 인증서 유출 위험, 악성코드 감염 등 다양한 보안 이슈가 제기됐다. 이에 따라 정부는 ‘노플러그인(No-plugin)’ 정책을 추진하고 공인인증서 의무 사용을 폐지하는 등 인증 및 보안 체계를 전면 개편했다. 간편인증, 생체인증 등 다양한 인증 수단을 허용함으로써 인증 기능을 단말 중심에서 서비스 및 플랫폼 중심으로 전환했으며, 이는 인증 체계의 유연성과 사용자 편의성을 동시에 개선하는 결과로 이어졌다.

이러한 정책은 초기에는 기술적 대체 수단 부족과 시스템 전환 부담으로 인해 혼선이 발생했으나, 결과적으로 다양한 브라우저 환경 지원, 사용자 경험 개선, 보안 취약성 감소 등의 효과를 창출하며 전 산업 영역으로 확산되는 계기가 됐다. 이는 현재 금융권에서 추진 중인 설치형 보안 SW 폐지 정책 역시 유사한 경로를 통해 구조적 전환으로 이어질 가능성이 있음을 시사한다.

---

03. 서버 중심 보안 체계 전환 방향 및 금융권 영향

정부가 제시하는 전환 방향은 기존 클라이언트 중심 보안 구조에서 벗어나, 서버 및 플랫폼 단에서 사용자 행위와 거래 맥락을 기반으로 위협을 탐지·대응하는 구조로의 전환으로 요약된다. 이는 단순히 일부 보안 솔루션을 교체하는 수준이 아니라, 보안 적용 위치를 단말에서 금융사 내부 시스템으로 이동시키고 인증·탐지·대응 전반을 통합적으로 재구성하는 아키텍처 변화라는 점에서 의미가 크다. 기존에는 사용자 PC에 설치된 보안 프로그램을 통해 입력 정보 보호, 악성코드 탐지 등을 수행했다면, 향후에는 금융사 서버에서 모든 접속과 거래를 통합적으로 분석하고 위험을 판단하는 방식으로 전환된다.

주요 구성 요소로는 MFA를 통한 사용자 인증 강화, AI 기반 FDS를 통한 실시간 이상 행위 탐지, 제로트러스트 기반 접근통제 체계 등이 포함된다. MFA는 비밀번호 외에도 OTP, 생체인식 등 다양한 인증 수단을 결합하여 계정 탈취 위험을 낮추는 역할을 수행하며, FDS는 접속 기기 정보, 위치, 거래 패턴 등 다양한 데이터를 기반으로 정상 행위와 이상 행위를 구분하는 핵심 기술로 작용한다. 또한 제로트러스트 아키텍처(Zero Trust Architecture, 이하 ZTA)는 네트워크 내부·외부를 구분하지 않고 모든 접근을 검증하는 방식으로, 기존 경계 기반 보안 모델의 한계를 보완하는 방향으로 적용되고 있다.

다만 정책 추진 속도에 비해 금융권의 준비 수준은 충분하지 않은 상황으로, 전환 과정에서 다양한 현실적 이슈가 발생하고 있다. 특히 기존 클라이언트 기반 보안 체계에 의존해 온 은행 및 증권사의 경우, 단기간 내 이를 대체할 수 있는 기술 및 운영 체계가 제한적이며, PC 기반 거래 환경에서는 마땅한 대안이 부재한 상황이다. 이로 인해 기존 시스템을 유지하면서 새로운 보안 체계를 병행 적용해야 하는 과도기적 부담이 발생하고 있다. 또한 보안 책임 구조의 변화 역시 주요 이슈로 부각되고 있다. 기존에는 설치형 보안 프로그램을 통해 일정 수준의 보안 조치를 수행했다는 근거를 확보할 수 있었으나, 서버 중심 구조로 전환될 경우 보안 사고 발생 시 금융사가 직접적인 책임을 부담해야 하는 구조로 변화할 가능성이 높다. 이에 따라 기술적 대응 뿐만 아니라 제도적·법적 보완에 대한 요구도 함께 증가하고 있는 상황이다.

결과적으로 이번 전환은 기술적 변화와 함께 금융권 전반의 보안 운영 방식과 책임 구조를 동시에 변화시키는 과정으로 볼 수 있으며, 단기적으로는 혼선과 부담이 불가피하나, 중장기적으로는 보안 체계의 고도화 및 표준화를 유도하는 방향으로 작용할 것으로 판단된다.

---

04. 정책 추진 방식의 특징 및 기존 방식과의 차이

이번 금융권 설치형 보안 SW 폐지 추진은 기존과 같이 제도 정비 및 정책 수립을 선행하는 방식이 아니라, 현장 적용을 전제로 한 지시 형태로 빠르게 진행되고 있다는 점에서 특징적이다. 일반적으로 보안 정책은 가이드라인 수립을 통해 방향성과 기준을 정의한 이후, 시범사업 및 실증을 통해 기술적 타당성과 운영 가능성을 검증하고, 이를 바탕으로 단계적으로 적용 범위를 확대하는 방식으로 추진(하단 그림, 표 참고)된다. 이러한 방식은 정책 수용 기관의 부담을 완화, 현장 적용 과정에서 발생할 수 있는 문제를 사전에 조정할 수 있다는 점에서 안정적인 확산이 가능하다는 특징을 가진다.

한편, 이번 금융권 설치형 보안 SW 폐지 추진은 일반적인 정책 추진 방식과 달리, 별도의 시범 적용이나 단계적 확산 과정 없이 현장 적용을 전제로 한 지시 형태로 빠르게 진행되고 있다는 점에서 특징적이다. 특히 기술적 대체 수단과 표준 아키텍처가 충분히 정립되지 않은 상태에서 전환이 요구되고 있어, 기존 보안 체계를 유지하면서 신규 구조를 병행 적용해야 하는 부담이 발생하고 있는 상황이다.

이러한 추진 방식은 정책 실행 속도 측면에서는 효과적일 수 있으나, 현장 적용 과정에서의 혼선과 운영 부담을 동시에 수반할 수 있다. 또한 향후 공공 및 주요 산업으로 유사한 정책이 확산될 경우, 사전 검증 기반의 단계적 도입보다는 대응 중심의 전환이 요구되는 환경이 지속될 가능성이 있는 것으로 판단된다. 특히 정책 적용 기준과 책임 범위에 대한 명확한 정의가 병행되지 않을 경우, 보안 운영 주체의 부담이 더욱 확대될 가능성이 있다.

---

05. 마무리

이번 금융권 설치형 보안 SW 폐지 정책은 단순한 기술 변화나 규제 완화가 아니라, 보안 적용 위치와 운영 방식, 그리고 책임 구조 전반을 재정의하는 구조적 전환의 출발점으로 볼 수 있다. 특히 보안 기능이 사용자 단말에서 서버 및 플랫폼으로 이동하고, 인증·탐지·대응이 통합된 형태로 재편된다는 점에서 향후 보안 체계의 기본 방향성을 제시하는 변화로 평가된다.

이러한 변화는 금융권에 국한되지 않고 공공기관을 포함한 다양한 산업 영역으로 확산될 가능성이 높으며, 기존 단말 중심 보안 모델은 점진적으로 축소되고 서비스·플랫폼 중심 보안 체계가 새로운 표준으로 자리잡을 것으로 예상된다. 이에 따라 보안 경쟁력의 기준 또한 개별 솔루션 도입 여부에서 벗어나, 통합된 보안 운영 체계와 대응 역량을 얼마나 효과적으로 구축·운영할 수 있는지로 이동할 것으로 보인다.

결과적으로 각 기관 및 기업은 단기적인 기술 도입을 넘어, 변화하는 정책 환경과 보안 패러다임 전환에 대응할 수 있는 중장기적인 보안 전략을 수립할 필요가 있다. 특히 인증, 이상 행위 탐지, 접근통제 등 핵심 보안 기능을 중심으로 서버 기반 통합 보안 체계를 단계적으로 구축하고, 운영 프로세스와 책임 구조를 함께 재정비하는 접근이 요구된다. 이는 향후 보안 체계 고도화뿐 아니라, 서비스 신뢰성과 운영 효율성을 동시에 확보하기 위한 핵심 과제로 작용할 것이다.

---

06. 참고 자료

1) [단독] “설치형 보안 SW 다 빼!”… 정부 지시에 여의도 금융권 ‘패닉’, 보안뉴스:
https://m.boannews.com/html/detail.html?idx=142897

2) “준비된 자만 살아남는다”…금융권 설치형 보안 SW 폐지 움직임에 명암교차, 디지털데일리:
https://www.ddaily.co.kr/page/view/2026040214471933999

3) [이슈칼럼] 설치형 정보보안 SW 폐지? 속도보다 중요한 것은 방식, 보안뉴스:
https://www.boannews.com/media/view.asp?idx=142957&page=1&kind=2

4) 2020년까지 공공분야 웹사이트에서 ‘액티브X’ 제거, 액티브X란?, 시선뉴스:
https://www.sisunnews.co.kr/news/articleView.html?idxno=61428

5) “공공 웹사이트 ‘노플러그인’ 99.9% 완료”, ZDNet:
https://zdnet.co.kr/view/?no=20210128111943

💌 후속 콘텐츠, 계속 받아보세요 ▶