[지디넷코리아]
금융보안원(원장 박상원)이 미국, 일본 등 주요국 금융권의 자율보안체계 운영 현황을 조사 및 분석에 나선다. AI와 클라우드 확산 등 급변하는 보안 환경 속에서 국내 금융회사의 자율보안 역량 강화를 지원하기 위해서다.
지난 십수 년간 국내 금융회사는 외부와의 연계를 차단하는 망분리 중심의 보안 체계를 유지해 왔으나, 금융의 AI 전환이 본격화하면서 AI 등 신기술을 안전하고 적극적으로 활용할 수 있는 유연하고 고도화된 보안체계 마련이 필요해졌다.
특히, 미토스(Mythos) 등 고성능 AI 위협이 현실화함에 따라, 기존 망분리와 같은 경계 기반 보안 통제만으로는 이러한 보안 위협에 효과적으로 대응하기 어려워 금융권 전반의 보안 역량 강화가 요구되는 시점이다. 이에, 금융위원회는 지난달 25일 ‘고성능 AI 관련 금융권 보안 위협 대응 방안’을 발표하는 등 망분리 규제 개선을 추진 중이다.
금융보안원 조사 결과, 해외 주요국은 디지털금융 환경에서 보안을 핵심 위험 요인으로 인식하고 신뢰할 수 있는 보안 프레임워크를 기반으로 금융회사 스스로 보안 수준을 점검・개선하는 자율보안체계를 지속적으로 발전시키고 있다. 또 망분리 규제로 일률적인 보안 통제를 적용하고 있는 국내와 달리, 자사의 업무 특성과 위험 수준에 맞는 보안 대책을 자율적으로 마련해 운영중이다.
미국은 국립표준기술연구소(NIST)가 개발한 보안 위험관리 프레임워크인 CSF(Cyber Security FRAMEwork)를 기반으로 금융회사가 ▲거버넌스 ▲식별 ▲보호 ▲탐지 ▲대응 ▲복구 등 전 영역에서 자사의 보안 수준을 점검하고 개선하는 체계를 운영하고 있다.
글로벌 금융회사 등이 회원사로 참여하는 민간 비영리단체 CRI(Cyber Risk Institute)는 NIST CSF를 금융권 환경에 맞게 재구성한 ‘CRI 프로파일(Profile)’을 개발했고, 다수의 금융회사와 미국 재무부 등에서 활용하고 있다. 일본, 홍콩도 정부 주도하에 자국 금융 환경에 맞는 자율보안 체계를 마련해 운영하고 있으며, 거버넌스부터 대응・복구에 이르는 보안 전 영역을 체계적으로 관리하고 있다.
국내 금융권도 올 2월 금융보안원이 공개한 ‘금융보안 수준진단 프레임워크’를 기반으로 자체 보안 진단을 본격 실시하는 등 자율보안체계 확산 단계에 진입했다. ‘금융보안 수준진단 프레임워크’는 CRI Profile 등 해외 선진 보안 프레임워크를 참조, 금융보안원과 금융회사가 함께 개발한 국내 금융권 특화 자율보안 프레임워크다.
금융보안원은 금융회사의 보안 수준 진단이 원활히 이뤄질 수 있게 올해 18개 금융회사를 대상으로 현장 진단 지원을 수행하고 있다. 유선·이메일 상담, 실무자 교육 등을 통해 금융회사의 자체 진단 활동도 지원한다. 앞으로도 해외 선진사례를 반영한 수준진단 프레임워크 고도화, 금융회사 보안 모범사례 발굴 및 공유로 자율보안 체계의 안정적 정착을 지원할 계획이다.
금융보안원 박상원 원장은 “고성능 AI 위협 확산 등으로 금융회사 스스로 보안 수준을 진단・개선하여 역량을 강화해 나가는 자율 보안 체계의 중요성이 커지고 있다”며 “금융보안원은 ‘금융보안 수준진단 프레임워크’를 기반으로 금융회사의 자율보안 역량을 글로벌 수준으로 조속히 제고할 수 있게 전방위적으로 지원하겠다”고 밝혔다.
.