금융보안원이 국내 금융회사가 보안 수준을 스스로 진단하고 개선방안까지 제시하는 모델을 개발해 배포했다. 해외의 경우 JP모건 등 150여 개 글로벌 금융사가 함께 만든 기준인 CRI Profile이 있었으나, 국내에는 공통된 진단 기준이 없었던만큼 이번 모델을 통해 보안 수준이 높아질 것으로 보인다. 특히 금융당국이 망분리 규제를 완화하는 데 앞서 자율진단 수준 제고는 필수적인 것으로 평가된다.
10일 금융권에 따르면 최근 금융보안원은 금융사가 보안 수준을 자체 진단할 수 있는 '금융보안 수준 진단 프레임워크'를 개발해 배포했다.
프레임워크는 CRI Profile 등을 참조해 금융보안원과 국내 20개 금융사가 약 5개월간 시범 테스트를 거쳐 개발했다. 거버넌스, 식별, 보호, 탐지, 대응, 복구, 공급망 총 7개 분야 45개 항목 127개 세부 원칙으로 구성된다.
보안 수준은 △초기 △기반 △발전 △고도화 등 4단계로 평가되며, 평균 수준의 보안 체계를 갖추고 있는 경우 2단계 기반 등급을 받도록 설계됐다. 시범테스트 결과 국내 대형은행의 경우 3단계 발전 수준이며, JP모건 등 글로벌 금융사는 3.5단계 이상인 것으로 추정됐다.
그동안 국내 금융사들의 자체 보안 진단은 각자 기준이 달라 국내외 금융사와 보안 수준 비교진단이 어려웠다. 이번 프레임워크의 도입으로 통일된 기준에 따른 보안 평가가 이뤄질 것으로 보인다.
또 기존 보안 진단이 체크리스트 기반으로 '예·아니오' 방식의 점검이었으나, 프레임워크는 현재의 보안 수준을 서술형으로 진단하도록 하고 다음 단계 등급을 받기 위한 개선 방안도 제시받을 수 있다.
금융권에서는 이번 자율 진단 프레임워크가 향후 생성형 AI 활용을 위한 망분리 규제 완화에 영향을 줄 수 있을 것으로 내다본다. 금융당국은 혁신금융서비스를 지정할 경우 생성형 AI를 내부망에서 활용할 수 있게 허용하고 있으나, 전면적인 허용을 위해서는 망분리 규제 완화가 필요하다.
다만 금융당국은 망분리를 하려면 금융업권의 자율적인 보안 수준이 일정 정도까지 올라와야 한다는 입장을 견지하고 있다. 최근 금융위원회는 워드·엑셀을 포함한 M365, 구글 클라우드 등 응용소프트웨어(SaaS)를 내부망에서 활용할 수 있도록 규정 완화를 예고했으나, 챗GPT 등 생성형AI에 대해서는 데이터가 충분하지 않다는 이유로 여전히 혁신금융서비스를 받는 현재 규정을 유지했다.
보안원은 올해 약 2~30개 금융사가 프레임워크를 통한 자율 진단에 나설 것으로 보고 있다. 보안원은 이들 금융사에 오는 3월부터 현장 방문 진단 서비스를 제공해 자율 진단 수준을 제고한다는 계획이다.
프레임워크를 우선 적용하는 금융사는 향후 제정될 '디지털 금융보안법(가칭)'의 적용에서도 앞서 나갈 수 있을 것으로 보인다. 금융위는 올해 입법을 추진해 금융사의 자율보안체계 구축을 명시하고 보안사고 발생 시 최대 200억원 수준의 징벌적 과징금을 부과할 예정이다.
금융권 고위 관계자는 "프레임워크는 국제적 수준으로 얼마나 다가가냐를 스스로 진단할 수 있는 계기가 될 수 있다"라며 "금융당국 입장에서도 망분리 규제 완화 기조에서 구체적인 판단 지표도 된다"라고 말했다.