실시간
뉴스

보안

금융권 망분리 개선 시동...데이터 등급 보안은 "쉽지 않다"

[ⓒ픽사베이]
[ⓒ픽사베이]

[디지털데일리 김보민기자] 금융권에 특화된 망분리 개선 로드맵이 추진되면서, 다중 보안체계에 대한 관심이 뜨거워지고 있다. 다만 금융업 특성상 데이터 경중을 따지기 어렵기 때문에 실제 체계 도입까지 시간이 필요하다는 의견도 나온다.

20일 관련 업계에 따르면 금융위원회(이하 금융위)는 최근 망분리 개선 로드맵을 발표했다. 망분리는 민감 데이터를 다루는 내부 업무망을 외부 인터넷망과 단절시키는 방식으로, 금융권의 경우 2013년 대규모 금융 전산사고를 계기로 이를 의무화해왔다.

금융위는 샌드박스를 통해 인터넷 활용 제한 등에 대한 규제 특례를 허용하고, 보안 관리 업무까지 서비스형소프트웨어(SaaS) 이용 범위를 확대하는 내용을 담았다. 아울러 물리적 제한을 완화하고, 가명정보를 허용해 금융사 연구·개발을 돕는 안도 포함했다. 연구·개발망과 업무망 간 논리적 망분리를 허용하는 작업도 추진할 방침이다.

금융권 망개선 작업이 시작되자 관련 기업들 사이에서도 상황을 예의주시하는 분위기다. 공공 업무망을 대상으로 다중보안체계(MLS)를 적용하는 안이 논의되고 있는 만큼, 금융권 또한 데이터 중요도 별로 나눠 개별 정보보호 체계를 세우는 작업이 이어질 것으로 예상된다.

다만 데이터 중요도를 등급으로 나누는 것이 쉽지 않을 것이라는 관측도 나온다. 현재 공공 MLS는 기밀(Classified·C), 민감(Sensitive·S), 공개(Open·O) 등 업무 및 데이터 중요도에 따라 나누는 방식으로 논의되고 있다.

금융권의 경우 중요 업무나 데이터를 하위 등급으로 분류하지 않는 분위기가 있다. 국내 보안기업 관계자는 "현시점에서 금융 고객사에게 등급을 분류해 달라고 요청했을 때, '모든 데이터가 1등급이다'라는 답이 돌아오곤 한다"고 말했다.

데이터 등급을 하위로 분류한 이후 보안 문제가 생길 경우, 그 여파에 대한 책임을 질 내부 담당자가 많지 않다는 이유에서다. 이 관계자는 "확실한 기준이 있지 않은 이상 등급을 낮추는 금융사는 많지 않을 것"이라며 "금융권 뿐만 아니라 다른 공공 영역에서도 마찬가지"라고 강조했다.

데이터 등급에 대한 기준은 망개선 작업의 핵심 열쇠가 될 것으로 보인다. 데이터는 1개로 떼어 볼 때와 여러 개를 뭉쳤을 때 보안 등급이 달라진다는 특성이 있다. 이를 어떻게 개별 혹은 묶어 등급을 매길 것인지 기준이 필요하다는 의미다. 아울러 같은 데이터라도 업무 특성에 따라 분류 기준이 필요하다는 점도 고려해야 할 대목이다.

금융권 정보보호 관계자는 "그간 획일적인 망분리는 금융권에 꼭 필요한 체계였지만, 이제는 아니다"라며 "미국을 비롯한 주요 국가들은 데이터 중요도를 중심으로 망분리를 운영해왔고, 국내 또한 클라우드 기반 SaaS 사용과 생성형 인공지능(AI) 수요가 늘고 있어 이 흐름에 동참할 때"라고 말했다.

금융위원회는 오는 22일 '금융분야 망분리 개선 로드맵 업무 설명회'를 열고 망분리 개선 로드맵을 소개할 예정이다. 이 자리에서 금융감독원은 1단계 추진과제 내용을, 금융보안원은 주요 보안대책을 설명한다.

한편 금융권 망개선 첫 주자로 뛰어든 한국은행은 최근 공고한 '망개선 및 정보보호체계 개편을 위한 컨설팅 사업'을 중심으로 정지 작업에 돌입했다. 전날 진행한 개찰에서 1순위 명단에는 EY컨설팅이, 2순위에는 SK쉴더스가 이름을 올렸다. 한국은행 측은 협상 작업을 거쳐 최종 낙찰 사업자를 선정할 예정이라고 밝혔다.

디지털데일리 네이버 메인추가
x