보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

[외부 법률 기고] AI 시대에서의 현행 금융권 망분리 규제 완화 필요성 및 개선 방향

2024.11.28

156

※ 본 기고는 당사와 법률자문·정보보호 서비스 상호협력 MOU를 체결한 법무법인(유) 화우에서 작성하였습니다.
※ 외부 필자의 기고 및 칼럼 등은 이글루코퍼레이션 콘텐츠의 편집방향과 일치하지 않을 수 있습니다.

최근 금융산업에서도 생성형 AI와 클라우드 서비스 활용의 필요성이 증대되고 있다. 금융회사들은 AI를 통해 새로운 수익을 창출하고, 금융소비자에게 초개인화된 서비스를 제공하는 것은 물론 업무 프로세스 자동화를 통해 운용 비용을 절감하고, 복잡한 금융 규제 등에 효과적으로 대응할 수 있을 것으로 보인다. 한국신용정보원 보고서에 따르면 국내 금융 부문 인공지능 시장 규모는 2019년 3000억 원에서 2021년 6000억 원으로 45.8% 증가했으며, 2026년까지 연평균 38.2% 성장해 3조2000억 원의 시장을 형성할 것으로 전망되고 있다.

그러나 금융전산 보안사고를 최소화하기 위하여 망분리 규제를 도입한 현행 규제 체계 하에서는 금융회사들이 클라우드와 AI 기술의 발전을 충분히 활용하기 어려울 것으로 보인다. 망분리 규제는 원래 금융회사의 전산 보안사고를 방지하기 위해 도입된 중요한 수단이었다. 실제로 이 규제는 어느 정도 성과를 거두어 금융 시스템의 안정성 향상에 기여했으나, 현재의 엄격한 물리적 망분리 규제는 금융회사의 업무 효율성을 크게 저하시키는 부작용을 낳고 있다. 이처럼 클라우드 컴퓨팅, 인공지능, 빅데이터 분석 등 혁신적인 ICT 기술이 빠르게 발전하면서, 기존의 물리적 망분리 규제의 실효성에 대한 재검토가 필요하다는 의견이 제기되고 있다.

자본시장연구원이 최근 발표한 "금융회사 망분리 규제 해외사례와 국내 시사점" 리포트에서도 위와 같은 현행 망분리 규제의 문제점을 지적하며 국내 금융 규제 환경의 중요한 변화 필요성을 제기하고 있다. 이 보고서의 핵심 주장은 현재 한국에서 시행 중인 물리적 망분리 중심의 규제 체계가 금융 산업의 혁신과 발전을 저해하고 있다는 것이다. 특히 클라우드 서비스와 생성형 AI 같은 최신 기술의 도입과 활용이 어려워지면서, 금융회사들의 경쟁력 향상에 큰 장애물이 되고 있다고 문제를 제기하고 있다.

미국과 유럽의 망분리 규제 사례 분석

현재 한국의 규제는 물리적 망분리를 원칙으로 하며, 논리적 망분리는 매우 엄격한 기준 하에서만 예외적으로 허용하고 있다. 이로 인해 금융회사들은 새로운 기술을 도입하고 활용하는 데 큰 어려움을 겪고 있다. 그러나 한국과 다르게 미국과 유럽의 망분리 규제 사례는 물리적 망분리보다는 망세분화와 리스크 기반 접근법을 채택하고 있다는 점에서 매우 다른 양상을 보인다:

미국의 경우, 연방금융기관 검사위원회(FFIEC)가 IT 검사 핸드북을 통해 망분리의 기본 원칙만을 제시하고 있다. 구체적인 망분리 방식은 각 금융회사가 자율적으로 결정할 수 있도록 유연성을 부여하고 있다. 미국에서 주로 사용되는 방식은 '망세분화'로, 이는 신뢰구역과 비신뢰구역을 구분하고 그 사이의 접근 경로를 통제하는 방식이다. 이를 통해 보안성을 유지하면서도 업무의 효율성을 확보할 수 있다.
유럽의 경우, GDPR(일반 데이터 보호 규칙)과 PSD2(개정 지급결제서비스 지침) 같은 규제를 통해 금융회사의 자율성을 보장하면서도 보안 통제와 관리 체계를 강화하고 있다. 유럽의 규제 하에서 금융회사는 스스로 ICT 및 보안 리스크를 관리할 책임을 지며, 망분리 방식에 있어 물리적 방식과 논리적 방식 모두를 선택할 수 있다.

이러한 해외 사례들의 가장 큰 특징은 망분리 규제에 대해 포괄적이고 유연한 접근 방식을 취하고 있다는 점이다. 미국과 유럽의 금융당국은 망분리를 금융전산 보안을 위한 필수 요소가 아니라, 신뢰구역(내부망)을 보호하기 위해 고려할 수 있는 여러 선택지 중 하나로 인식한다. 이는 국내의 접근 방식과 큰 차이를 보이는데, 국내에서는 내부망과 외부망의 완전한 차단에 초점을 맞추는 반면, 해외에서는 네트워크 간의 연계를 어떻게 효과적으로 통제할 것인가에 중점을 둔다.

또 다른 주목할 만한 점은, 해외의 경우 금융회사에 망분리 방식 선택의 재량권이 주어져 있음에도 불구하고, 한국과 같은 엄격한 물리적 망분리를 선택하는 금융회사가 많지 않다는 것이다. 이는 해외 금융회사들이 보안성과 효율성 사이의 균형을 자율적으로 찾아가고 있음을 시사한다.

국내 금융회사 망분리 규제 개선방향

이러한 해외 사례를 참조한다면, 국내 금융회사의 망분리 규제도 클라우드와 AI 기술을 효과적으로 활용할 수 있도록 보다 유연한 방식으로 변화해야 할 것으로 보인다. 구체적으로는 물리적 망분리뿐만 아니라 논리적 망분리 등 다양한 접근 방식을 금융회사가 선택할 수 있도록 허용해야 할 것이며, 금융전산 사고 발생 시 금융회사에 대한 책임을 강화하여, 보안 투자와 시스템 강화의 동기를 제공해야 할 것이다. 또한 정보보안에 대한 경영진의 의무를 강화하는 방향으로 규제를 개선하여, 금융회사의 자율적인 보안 시스템 구축을 유도하는 것도 필요할 것이다.

다만, 이러한 망분리 규제의 변화는 점진적이고 단계적인 방식으로 진행될 필요가 있다. 급격한 변화는 오히려 새로운 보안 위험을 초래할 수 있기 때문이다. 따라서 규제 샌드박스 등을 활용하여 금융회사들이 충분한 준비 기간을 가질 수 있도록 해야 한다. 이 기간 동안 금융회사들은 논리적 망분리와 같은 유연한 보안 체계를 적용할 수 있는 능력을 갖추고, 자율적인 정보보안 체계를 구축할 수 있을 것이다.

최근 금융위원회는 '금융분야 망분리 개선 로드맵'을 발표했다. 금융위원회는 규제 샌드박스를 통해 단계적으로 규제를 완화하는 방식으로 새로운 기술 도입을 테스트하고, 보안 대책을 마련할 예정이다. 위 로드맵에 따르면 1단계에서는 생성형 AI 활용 허용, SaaS 활용도 제고, 연구·개발 분야 망분리 규제 개선이 진행된다. 2단계에서는 기존 규제 특례의 정규 제도화, 개인신용정보 처리 허용 등 규제 특례 고도화, 제3자 리스크 관리 강화가 이루어지며, 3단계에서는 자율보안-결과책임 원칙에 기반한 새로운 금융보안체계 구축을 위해 디지털 금융보안법 제정이 추진된다. 이를 통해 금융회사의 AI와 SaaS 활용 범위가 확대될 것으로 예상되며, 금융회사들은 규제 샌드박스 지정을 위한 준비와 함께 관련 규정 개정 및 금융당국의 가이드라인을 주시할 필요가 있다.

금융권의 AI 활용 확대와 망분리 규제 개선은 불가피한 추세이지만, 보안과 혁신의 균형을 잡는 것이 중요하다. 금융회사들은 새로운 기술을 도입하면서도 강화된 보안 대책을 마련해야 하며, 규제 당국은 단계적이고 유연한 접근을 통해 금융 서비스의 혁신과 안전성을 동시에 달성하는 것이 궁극적인 목표가 되어야 할 것이다. 이러한 변화는 한국 금융 산업의 경쟁력 강화와 고객 서비스 향상에 크게 기여할 수 있을 것으로 기대된다.