보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
전자금융 보안의 망분리 개선안 정책과 다층보안체계(MLS)
2024.11.06
1,621
01. 전자금융 보안 정책의 방향성 변화
비대면 금융거래 활성화 및 인터넷 은행 출현, 빅데이터 활용 등 금융기관이 인터넷 공간으로 나오기 시작하면서 금융기관 대상 대규모 해킹 사건이 빈번하게 발생되고 있다. 이에 대해 금융위원회에서는 전자금융 보안 정책의 방향과 보안성을 향상시키는 방안으로 로드맵을 구성하였다. 전자금용 관련 여러 보안 사고가 발생한 이후 문제사항 확인을 통한 정책 수립과 보안 시스템을 도입하여 보안 수준을 향상시켰으며, 현재 금융 보안의 기반을 구성하고 있는 망분리 환경과 공동인증서(舊 공인인증서)를 포함한 다양한 인증 시스템 도입, 개인정보 처리 등 여러 법률이 제·개정 되기 시작하였다.
전자금융 보안 규제를 강화시킨 보안 사고를 상기해 보면, 2002년 D사의 계좌 도용 사건, 2005년 Y사 인터넷뱅킹 해킹 사고, 2006년 안심 결제 이용 해킹 사고, 2011년 3.4 디도스 공격 및 H사 정보 유출 사고, N사 전산망 마비, 2013년 3.20 전산망 마비, 2014년 카드사 정보 유출 사고 등을 들을 수 있다.
이러한 전자금융 보안 사고에 따라 금융위원회에서는 보안 사고를 예방을 위해 다양한 규제 안을 발표하였으며 주요 내용은 아래 표와 같다
전자금융의 안정성을 위한 규제를 통해 금융기관은 정보보안 역량이 향상되고 그로 인해 해킹사고를 방지하는 효과가 분명하나 온라인을 통한 금융서비스 이용자의 불편을 초래하고 금융 정보의 활용성을 제한하는 역효과도 동반되었다. 이에 대해 금융위원회는 2014년 하반기 이후부터는 보안성을 향상시키는 방안보다 이용과 활용에 초점을 맞춰 ‘자율 보안 체계’를 정착시키기 위한 여러 개선안을 발표하기 시작하였으며, 2015년 4월 10일 금융보안에 수준 향상과 금융 소비자 보호 수준의 강화하기 위해 금융위원회로부터 설립허가를 받은 금융보안원이 공식적으로 출범하였다.
이후 전자금융 보안의 방향은 활용에 비중을 두어 다양한 정책들을 제시되었으며 그 내용은 다음과 같다. 2015년 IT 금융 융합 지원 방안으로 금융보안 관련 과잉규제 개선, 특정 기술 사용 의무 규정 폐지(공인인증서, 보안 프로그램 Active X), 핀테크 지원 체계 구축, 금융권 자율 보안체계 구축, 2018 핀테크 혁신 활성화 방안, 2019년 금융 결제 인프라 혁신 방안, 2020년 디지털 금융 종합 혁신 방안, 2022년 금융 분야 클라우드 및 망분리 규제 개선 방안, 금융보안 규제 선진화 방향, 마지막으로 2024년 전자금융 감독규정 개정안 규정 변경 예고, 금융 분야 망분리 개선 로드맵이 발표되었다.
02. 2022년 이후 금융보안 로드맵 – 망분리 개선안
1) 망분리 개선안의 등장 배경과 필요성
2022년부터 전자금융 보안 분야에서는 클라우드 도입 문제와 망분리를 개선하기 위한 다양한 연구와 논의를 진행해왔다. 다양한 전자금융 사고 이후 금융위원회에서 안전한 전자 금융 보안을 구축하기 위해 망분리를 의무화하였으며 이는 전자금융감독규정 제15조 제1항 3호, 5호로 확인할 수 있다. 해당 규정에 따르면 외부 통신망과 분리·차단 및 접속을 금지하고 있으며, 내부망과 외부망을 물리적으로 분리할 것을 규정하고 있다. 그러나 급속도로 발전하는 디지털 신기술의 도입과 활용에 어려움이 있다는 의견이 지속적으로 건의되어 왔으며, 대표적으로 클라우드 시스템, 빅데이터 활용, 생성형 AI를 활용한 시스템 구축 등 외부망 연결이 필요한 경우 현재 금융회사에서 규정된 망분리 환경으로는 신기술 구현이 어려운 상황이다. 이를 완화하기 위해 망분리 적용 예외 규정을 두었지만, 예외 규정의 경우 금융감독원장의 확인을 받아야 하며 예외 사항에 대한 법령해석 등을 통해 비조치 의견서를 받아야만 망분리에서 예외적으로 사용할 수 있다. 이러한 비조치 의견서는 매년 꾸준히 증가하고 있으며 2023년에는 전체 법령해석 136건 중 IT 및 보안 관련 사항이 총 26건으로 전체 19.1%를 차지하고 있다.
2023년 주요 망분리 비조치 의견으로는 연구·개발망으로 재택 근무 등 원격 접속 가능 여부, 망연계솔루션을 통한 내·외부망 연계가 망분리 규정에 위반 여부, DMZ 구간 중계서버를 통한 내·외부망 자료 전송 가능 여부, 내부망에서 ChatGPT 등 외부 서비스 이용이 업무상 불가피할 경우 해당 부분이 망분리 예외로 적용이 가능한 여부 등이 논의되었다. 이 중 눈여겨봐야 할 것은 마지막 내부망에서 ChatGPT 등의 외부 서비스 이용이 업무상 불가피할 경우 망분리 예외 사항으로 적용이 될 수 있는지가 이번 망분리 개선안에 대한 답변이다. 답변 내용으로는 단순 번역 및 요약, IT 자산 관리 등 단순 정보를 취득하거나 업무 편의를 위한 생성형 AI의 경우 업무상 불가피함이 인정되지 않으므로 망분리 예외 적용이 되지 않는다.
그러나 협업 도구 중 비중요 업무에서 규제 샌드박스를 통한 내부망 SaaS 접속을 허용하고 있으므로, SaaS 이용이 필요할 경우 이를 고려하여 사용할 수 있다는 답변이 비조치 의견서에 게시되었다. 이를 통해 금융위원회에서는 기존 망분리 환경을 개선하여 2020년 디지털금융 종합 혁신방안을 지속적으로 이어나가 자율 보안 체계와 신기술을 활용할 수 있는 전자금융 체계를 만들고자 망분리 개선안을 제시하였다.
2) 망분리 개선 정책의 추진 방향 및 과제
2013년부터 10년 넘게 이어 온 망분리 규제 안을 급격하게 변경하기에는 매우 어렵다는 것을 알고 있다. 이에 대해 망분리 개선 정책의 추진 방향 3가지 중 첫 번째로 ‘점진적인 단계적 개선 추진’을 목표로 하고 있다. 이는 금융회사의 보안 책임성을 제고하는 법과 제도가 마련되기도 전에 사전 준비 없이 규제 완화를 할 경우 정보보안 사고 발생 우려가 있으며, 신속하게 대응이 필요한 IT 환경 변화가 있을 경우에는 샌드박스 등을 통한 규제특례를 활용하여 금융회사의 애로사항을 빠르게 해결할 수 있기 때문이다.
두 번째는 보안 거버넌스 강화 및 자율 보안 역량 재고를 통한 취약부분을 개선하는 것이다. 최고경영자 및 이사회의 보고 의무, 정보보호최고책임자(CISO)의 권한 확대 등을 통해 내부 보안체계를 강화하고, 검증을 통해 결과가 미흡하다면 시정요구와 이행명령을 통해 금융권의 보안 수준을 자체적으로 높이도록 유도한다. 세 번째는 규제 개선에 따라 금융회사의 비용 절감, 금융데이터를 사용하여 연구·개발 활용도 상승, 생성형 AI를 통한 분석·예측 고도화 등 업무 효율성 제고에 따라 발생하는 이익을 소비자에게도 공유하여 함께 Win-Win 하는 구조를 만드는 것이다.
이중 중요 시사점은 첫 번째 개선 방향에서 샌드박스를 통한 규제특례를 어떻게 규정할 것인지가 관건이다. 규제특례에 주로 적용되는 내용으로는 생성형 AI의 활용과 클라우드 기반의 응용프로그램(SaaS) 활용, 연구 및 개발 분야의 망분리 개선이 해당된다.
3) 규제 샌드박스 – 생성형 AI (그림 4-3, ①항목)
현재 생성형 AI는 클라우드 기반 인터넷 환경에서만 제공되며 망분리 환경에서는 생성형 AI 활용에는 큰 제약이 발생한다. 이는 국내 서버가 아닌 해외 AI 모델을 사용할 경우 개인신용 정보의 처리 및 보관이 불가능하기 때문이다. (전자금융감독규정 제14조2 8항 클라우드로 개인신용정보 처리 시 해당 클라우드 정보처리시스템은 국내에 설치되어야 한다.) 이러한 문제점으로 금융회사가 생성형 AI를 활용하여 가명 처리된 개인신용 정보까지 처리할 수 있도록 규제 특례를 허용하게 할 것이며 관련 법령에 대해 관계 부처와 협업을 추진하여 점진적으로 개선하게 될 예정이다. 또한 자율 보안체계 확립을 위하여 자발적 노력 유도 차원에서 정보보호최고책임자 결정 및 이사회 보고 등 보안 거버넌스가 올바르게 작동하는 기업에 대해 규제 샌드박스 심사 시 가점을 부여하여 자율 보안체계를 이행하는 금융기업에게 많은 기회가 부여된다.
4) 규제 샌드박스 – 클라우드 기반의 응용프로그램(SaaS) 활용 (그림 4-3, ②항목)
현재 규제 샌드박스를 통해 업무망에서도 SaaS 사용이 가능하지만 엄격한 조건으로 인해 활용에 큰 제약이 따른다. 대표적으로 고객의 개인신용정보 처리 불가, 업무 협업 금지, 인사 시스템과 관련된 내용에만 허용, 모바일 단말 금지로 인해 제한적으로만 사용되어 왔다. 이러한 제약사항을 규제 샌드박스를 통해 업무망에서도 SaaS 활용 범위를 대폭 확대하여 가명처리된 개인 신용정보 허용, 보안, 고객관리, 업무 자동화에서 사용 가능, 모바일 단말기에서도 사용이 가능하도록 개선할 예정이다. 또한 위와 마찬가지로 자율 보안체계를 이행하는 금융기업에게 가점을 부여하여 많은 기회를 제공할 예정이다.
5) 규제 샌드박스 – 연구·개발분야 망분리 개선 (그림 4-3, ③항목)
2022년 11월에 연구·개발 환경에서 인터넷을 자유롭게 활용할 수 있도록 규제가 개선되었다. 그러나 연구·개발 환경의 물리적 분리 및 개인신용 정보 활용 금지 규제에 따라 고객별 특성과 수요에 맞는 혁신적인 서비스 연구·개발에 제약이 크다는 지적이 이후에도 제기되었다. 이러한 문제를 해결하기 위해 전자금융 감독규정을 개정하여 금융회사 등이 연구·개발 결과물을 보다 간편하게 이관할 수 있도록 물리적 분리 규정을 완화하고, 개인신용 정보를 직접 처리할 수 있도록 가명 정보 사용을 허용하여 데이터의 활용 범위를 증가시켜 혁신적인 금융상품을 개발할 수 있는 환경을 제공할 것이다. 또한, 규제 샌드박스 운영 성과와 안정성이 검증될 경우 개인신용 정보까지 직접 처리할 수 있도록 규제를 완화하여 데이터의 활용 범위를 증가시켜 연구·개발망의 활성화가 되도록 개선할 예정이다.
03. 금융보안 망분리 개선안의 핵심 – 제로트러스트 아키텍처와 다층보안체계
1) 제로트러스트 아키텍처 보안 모델의 개념과 국·내외 도입 현황
기존 경계 기반 모델에서는 내부망과 외부망 사이 경계선(DMZ)을 두어 내부자의 신뢰와 외부자를 신뢰하지 않음을 바탕으로 구성되었다면, 제로트러스트 아키텍처 보안 모델에서는 모든 사용자를 신뢰하지 않고 철저한 확인을 통해 필요한 만큼의 접근 권한을 제공한다. 경계 기반 모델은 네트워크의 경계를 명확히 구분하기 어려워 다양한 장치와 환경을 관리하고 보호하는 데 한계점을 지닌다. 따라서, 전통적인 경계 기반 모델의 한계점 극복을 위한 대체 보안 전략의 필요성이 대두되고 있다.
현재 경계 기반 모델에서 VPN을 사용하여 기업 내부망에 접속하게 되면, 내부에서 접근하는 것과 같은 동일한 신뢰성을 가지게 된다. 그러나 VPN을 사용한 업무환경에서는 선 접속 후 인증하는 방식으로 원격지 접속 시 서버 정보가 노출될 뿐만 아니라 VPN 접속 이후 내부 네트워크상의 다른 네트워크 자원에 접근이 가능하게 되는 보안의 위협요소를 내포하고 있다. 이러한 문제점을 해결하기 위해 제로트러스트 보안 모델 도입 시 사용자에 대한 자격 증명에 대한 위조 여부를 확인한 후 비인가자에 대한 접근으로 판단되면 권한이 박탈되어 기업 내부망에 대한 접근을 보호한다. 내부자의 접근이더라도 강력한 인증을 통해야만 기업 내부의 자원을 이용할 수 있으며, 마이크로 세그멘테이션으로 관리되어 공격자의 권한이 다른 자원을 사용할 수 있는 횡적 이동을 허용하지 않음과 최소한의 데이터 접근으로 피해 규모를 최소화할 수 있다.
미국 바이든 행정부가 2021년 5월에 발표한 '국가 사이버 보안 개선을 위한 행정 명령’에서 연방정부는 제로 트러스트 모범 사례를 채택해야 하며, 각 기관장이 60일 이내 제로 트러스트 아키텍쳐 도입 계획을 개발할 것을 지시하였다. 이는 미국국립표준원(NIST)에서 발표한 NIST 800-207에 기반하고 있으며, 제로 트러스트 구현을 위해 7가지 원칙이 필요하다는 것을 보여주고 있으며, 통제 대상을 데이터와 서비스에 대한 접근 주체와 객체 자체와 각각 단말 환경, 접근 수단으로 선정하였다.
영국 국가 사이버 보안센터(NCSC)에서도 2021년 7월 23일에 제로 트러스트 아키텍처 1.0 가이드라인을 배포하였다. NCSC에서 배포한 제로트러스트 가이드라인은 8가지의 원칙을 제시하고 있으며 AOVPN(Always On VPN)을 제거하여 사용할 것을 권장하고 있다. 그러나 AOVPN을 맹목적으로 제거하기보단 보안 이점을 고려하여 필요한 상황에서는 사용해야 한다는 점을 명시하고 있다.
국내에서도 제로트러스트 보안 모델 도입에 필요성을 언급하기 시작했으며, 과학기술정보통신부와 제로트러스트 포럼에서도 2023년 6월에 제로트러스트 가이드라인 1.0을 제시하였다. 또한, 2024년 45억 원의 지원 예산을 투입하여 제로트러스트 시범 도입 과제를 제시하였으며, 실 업무 환경에 적용 가능한 제로 트러스트 보안 모델 구현 및 성과 확산을 목표로 2024년 6월부터 12월까지 진행하고 있다.
2) 다층보안체계(Multi Layer Security) 도입과 핵심 개념
2024년 국가정보원(NIS, National Intelligence Service)은 대통령 국가안보실, 디지털플랫폼정부위원회 등 관계기관과 산·학·연 사이버안보 전문가로 구성된 ‘민·관 합동 망보안정책 개선 태스크포스(TF)’를 발족시키며, 망분리 체계에 대한 전면 개편을 추진한다고 밝혔다. 그리고 TF가 마련 중인 개선안의 중심에는 다층보안체계가 있다. 이후, 2024년 9월 코엑스에서 글로벌 사이버 안보 행사인 CSK(Cyber Summit Korea) 2024를 개최하여 본격적으로 다층보안체계의 개념과 핵심 내용, 활용 및 적용에 대한 이점을 발표하였으며 현재 보안통제 항목을 정립하고 있음을 밝혔다.
다층보안체계의 핵심은 데이터를 업무 중요도에 따라 등급을 분류하는 것부터 시작한다. 분류 등급으로는 C/S/O 등급으로 구분하며 이는 기밀정보(C, Classified), 민감정보(S, Sensitive), 공개정보(O, Open)로 구분되며 등급에 보안 통제를 차등적으로 적용하게 된다. 등급 기준으로 크게 비공개 정보와 공개 정보로 구분하여 아래 표의 기준에 따라 등급을 결정한다. 이후 정보 서비스의 구성 환경 모델링을 파악과 평가를 한 후 해당 결과를 바탕으로 보안 원칙에 따라 보안 통제를 선정하게 된다.
보안 통제 항목이 적용된 정보에 대해 적절성 평가를 진행하게 되고 업무와 기업 환경에 따라 평가 및 재조정을 하게 된다. 이를 하나의 프레임워크로 구성하면 다음 그림과 같다.
[그림 4] 다층보안체계 적용 절차 프레임워크 (출처 : 2024 CSK 컨퍼런스, 재구성 : 이글루코퍼레이션)
하나의 정보시스템 안에 각기 다른 MLS 등급을 가진 여러 개의 데이터가 보관되어 있는 경우가 대다수이다. 이 경우 데이터에 따라 각기 다른 보안 수준을 적용해야 하지만 하나의 정보시스템 안에 보관되어 있는 문제가 발생한다. 이런 문제를 해결하기 위해 업무 정보가 저장된 정보시스템을 대상으로도 C/S/O 등급 평가를 진행하여 보안 수준을 결정한다. 정보시스템의 등급을 결정하는 기준은 각기 다른 등급의 업무 데이터 중 최상위 등급을 부여받은 데이터를 기준으로 시스템 등급이 결정지어진다. 이러한 보안 원칙에 따라 하나의 시스템에 각기 다른 등급의 정보가 생산 및 저장, 이동하는 경우 보호 조치가 필요한 사항은 다음 표와 같다.
04. 결론
전자금융 보안의 망분리 개선안과 다층보안체계의 목표는 동일하다. 망분리 환경에서 제한적이거나 활용이 어려웠던 디지털 신기술에 신속하게 적응하기 위해, 기존 보안 구성을 재정비하는 것이다. 이를 위해 다양한 개선 방안이 제시되고 있으며, 시범적으로 구현되는 사례도 증가하고 있다. 이와 관련된 주요 시사점은 어떤 보안 통제 항목을 마련할지와 규제 샌드박스를 어떻게 활용해 망분리 환경을 안전하게 개선할지다.
정보보안의 수준이 높아지면 사용자의 편의 및 활용성은 낮아지게 된다. 반대로 사용자의 편의와 활용성이 높아지면 정보보안의 수준이 낮아지는 반비례 관계로 어디에 비중을 두느냐에 따라, 정보보안의 정책과 방향성이 결정된다. 그러나 이번 정책의 목적은 사용자의 편의 및 활용과 정보보안 수준 향상에 모두 비중을 두고 있다. 즉, 망분리 개선안과 다층보안체계는 사용자와 업무의 편의성과 정보자산을 활용하기 위해 보안 수준을 완화시켜 정보의 활용성을 향상하며, 제로트러스트 아키텍처 보안 모델을 도입함으로써 완화된 보안 수준을 유지 및 향상시키는 것으로 정보의 활용과 보안 수준을 함께 높이는 전략으로 구성된다. 2013년 망분리 의무화 정책이 발표되고 약 10년 동안 망분리는 정보시스템을 구성하는 핵심 전략이 되었다. 그러나 이번 망분리 개선안과 다층보안체계, 제로트러스트 아키텍처 보안 모델이 앞으로 정보시스템을 구성하는 핵심 전략으로 변화 될 수 있다는 기대를 가지고 있다.
05. 참고 자료
[1] 금융위원회, “전자금융거래법 제정방향 내용”, 2002.09
[2] 금융위원회, “전자거래 안정성 강화 종합 대책”, 2005.09
[3] 금융위원회, “금융회사 IT 보안강화 종합대책 마련”, 2011.06
[4] 금융위원회, “전자금융 안정성 제고를 위한 금융전산 보안 강화 종합대책”, 2013.07
[5] 금융위원회, “금융분야 개인정보 유출 재발방지 종합 대책 - 경제혁신 3개년 계획 후속 조치 -”, 2014.03
[6] 금융위원회, “IT·금융융합 지원 방안 -제1차 IT·금융융합협의회 운영 결과”, 2015.01
[7] 금융위원회, “핀테크 혁신 활성화 방안”, 2018.03
[8] 금융위원회, “핀테크 및 금융플랫폼 활성화를 위한 금융결제 인프라 혁신 방안”, 2019.02
[9] 금융위원회, “4차 산업혁명 시대의 디지털금융 종합혁신방안 <전자금융거래법령 등 개정방안>”, 2020.07
[10] 금융위원회, “금융분야 클라우드 및 망분리 규제 개선 방안”, 2022.04
[11] 금융위원회, “제5차 금융규제혁신회의 보고 및 회의결과”, 2022.12
[12] 금융위원회, “전자금융 감독규정 정비 계획”, 2024.02
[13] 금융위원회, “금융분야 망분리 개선 로드맵”, 2024.08
[14] 박원형, “제로트러스트 보안 모델에서 보안관제 시스템 강화 연구”, 융합보안논문지 제 22권 제2호 53p, 2022.06
[15] Poonam Dhiman, Neha Saini, Yonis Gulzar, 외 3명, “A Review and Comparative Analysis of Relevant Approaches of Zero Trust Network Model”, Sensors Vol24 Iss4 p1328, 2024.04
[16] 배재권, “금융권의 제로 트러스트 보안모델 적용 방안에 관한 연구”, 글로벌경영학회연구지 제20권 제5호 180p, 2023.10
[17] 조이남, 박완성, 최우봉 외2명, “클라우드 컴퓨팅환경변화에 따른 제로 트러스트 네트위크 구현을 위한 보안시스템”, 정보처리학회지 제28권 제2호, 2021.06
[18] 주승헌, 김진민, 권대현, 외 1명, “제로트러스트 아키텍처 도입을 통한 기업 보안 강화 - 마이크로 세그멘테이션 접근법 중심으로 -”, 융합보안논문지 제 23권 제3호 6p, 2023.08
[19] NIST, “Executive Order 14028, Improving the Nation's Cybersecurity”, 2021.05
[20] 한성화, 이후기, “제로트러스트 기술 동향 및 구축 전략”, 융합보안논문지 제21권 제5호 45p, 2021.12
[21] 한봉용, 최영근, 소가연 외 1명, “망분리 환경에서 제로트러스트를 활용한 DevOps 운영에 관한 연구”, 융합보안논문지 제25권 제1호 31p, 2024.01
[22] 한국인터넷진흥원, “제로트러스트 도입 시범사업 공모”, https://www.kisa.or.kr/403/form?postSeq=9627, 2024.04
[23] Scott Rose, Oliver Borchert, Stu Mitchell, 외 1명, “NIST Special Publication 800-207”, 2020.08
[24] NSCS, “Zero Trust architecture design principles”, 2021.07
[25] 과학기술정보통신부, 한국인터넷진흥원, 한국제로트러스트포럼, “제로트러스트 가이드라인 1.0” 2023.06
[26] 보안뉴스, "망분리 환경 개편의 중심에 '다중계층 보안'이 있다", https://m.boannews.com/html/detail.html?idx=131338, 2024.07.16.
[27] 전자신문, "2026년부터 공공기관 'PC 1대로 업무'… 국정원, 물리적 망분리 대신 VDI로", https://www.etnews.com/20240722000294, 2024.07.23