자율보안체계, 핵심으로 바로 들어가시죠

9분

2024.11.28.

4.9K

지난 2024년 8월, 금융위원회가 『금융분야 망분리 개선 로드맵』을 발표했습니다. 그동안 금융권에서는 전자금융감독규정에서 규정한 ‘망분리’를 적용해 왔습니다. 망분리 규제에 따른 성과도 있었지만, 이번 로드맵은 IT 혁신을 지속하기 위해 망분리 규제를 개선할 것이라는 내용을 담고 있습니다.

이러한 망분리 규제 개선과 함께, 또 하나 눈길을 끈 것은 ‘자율보안체계’입니다. 로드맵에 따르면 금융당국은 앞으로 가칭 『디지털 금융 보안법』을 마련해 금융회사들이 스스로 보안을 챙기되, 대신 결과에 책임지는 보안 체계를 만들어 나갈 예정입니다.

사실, 자율보안체계에 대한 금융당국의 발표는 처음이 아닙니다. 2024년 2월에 “금융보안 선진화를 추진하겠습니다.”라는 제목으로 전자금융감독규정의 개정을 예고했을 때도, 2022년 12월에 “급변하는 IT 환경에 탄력적으로 대응할 수 있도록 금융보안 규제 선진화를 추진하겠습니다.”라는 제목으로 보도 자료를 냈을 때도 자율보안체계 관련 내용이 들어 있었습니다. 심지어, 2020년 7월 발표한 『디지털금융 종합혁신방안』에도 이와 비슷한 내용이 들어 있었습니다.

즉, 적어도 4년 전부터 금융당국에서는 기회가 될 때마다 꾸준히 “자율보안체계라는 큰 그림을 그리고 있으며 그 방향으로 갈 것이다, 그러니 회사들은 이를 미리미리 준비하라”고 알리고 있었던 거죠.

자율보안체계는 이름 그대로 ‘회사가 스스로 알아서 하는 보안’을 의미합니다. 이것이 구체적으로 어떤 체계를 말하는지, 왜 중요한지, 어떻게 준비하면 좋을지 알아보겠습니다. 마지막으로 금융회사의 IT 보안 담당자가 아닌 다른 산업에서 일하는 개발자들은 무엇을 발견할 수 있을지, 짧은 소견이나마 준비해 보았습니다.

기존에는 어떤 문제가 있었을까요?

우선 현재 금융회사들이 취하는 보안 체계를 “전통적 금융보안 규제 체계”라고 하겠습니다. 금융당국은 이 체계에 어떤 문제가 있다고 생각했길래, 새로운 방향을 모색하는 것일까요?

1. 리스크 해결이 아닌 ‘규정 준수’가 목적인 규제

전자금융거래법을 살펴보면 제21조에서 안전성 확보 의무를 포괄적으로 규정하고, 전자금융감독규정에 이 의무 사항들을 위임합니다. 그 전자금융감독규정의 제8조부터 37조에는 인력‧시설, 정보기술 등 세부 사항이 열거되어 있습니다. 이처럼 법 조항 하나로 많은 것을 위임하는데, 규정의 세부 사항은 너무 세밀하게 열거하는 것이 문제 중 하나입니다.

미시적 규정의 가장 대표적인 예는, 전산실에서는 반드시 경비원이 출입구를 통제해야 한다거나, 휴대용 손전등을 비롯해 압력계, 온도계 등을 갖출 것을 지시하는 항목입니다. 이처럼 상식적인 사항을 굳이 포함시켜 규제에 대한 피로도를 높이고 복잡성을 가중하는 상황입니다.

또, 나열한 사전 의무 사항을 금융회사들이 준수했다면 보안 책임을 면제해 줍니다. 실제 사고 발생 시에도 경미한 과태료 및 임직원 신분 제재만을 부과하죠. 보안의 목표가 실질적인 리스크를 낮추는 것보다는 규정을 준수하는 것 자체가 되고 만 것입니다. 그 때문에 모든 보안 활동이 수동적인 상태로 머무르는 상황이 발생했습니다.

2. 임기응변으로 사고에 대응하는 조직 구조

많은 금융회사가 금융보안을 CISO(최고정보보안임원) 중심의 기술적이며 실무적인 문제로만 인식하고 있습니다. 그래서 사고 발생 시에도 임기응변식으로 대응하는 경우가 많습니다.

회사 전략 차원에서 보안을 다루기보다는 비용이 들어가는 코스트 센터(Cost Center) 정도로 바라보는 시선이 여전히 많다는 뜻입니다. 그 때문에 금융보안은 정보보호 부서에만 맡겨놓고 있습니다. 현업 부서나 내부 감사 조직 등을 모두 포함하는 전사적 차원에서 금융보안의 역할이나 책임을 부여하는 데에는 미흡한 상황입니다.

3. 미흡한 자체 리스크 평가

금융보안을 기술적인 영역으로만 한정함에 따라, 기업의 핵심 전략과 우선순위 등을 반영한 종합적인 보안 전략 수립 역시 어려웠습니다. 자율보안체계 구축을 위한 자체 리스크 평가나 전문 인력 육성 등에 대한 투자도 미흡했죠. 즉, 보안 리스크 대응에 한계가 있다는 것입니다.

예를 들어, 전자금융감독규정에는 임직원 의무 교육 시간 충족이 있습니다. 기업에서는 이런 법규상의 최소 기준만 준수하려고 할 뿐입니다. 전문 보안 인력 양성 같은 능동적인 보안 활동에는 소극적인 경우가 많았습니다.

4. 급변하는 IT 환경을 못 따라가는 경직성

금융회사들은 급변하는 IT 환경을 신속하게 반영하지 못하는 규정으로 인해, 새로운 리스크에 효과적으로 대응하기 곤란한 상황이라고 느끼고 있습니다.

현재 모든 산업의 트렌드인 AI 서비스 도입도 같은 상황이라고 볼 수 있습니다. 금융 소비자에게 편의를 제공하고, 내부 효율성을 높이는 AI 서비스를 도입하고 싶어 하는 금융회사들이 점점 많아지고 있음에도, 망분리 및 클라우드 규제 등은 서비스 도입을 원천적으로 막고 있습니다. 도입 방법을 찾는다 해도 속도가 원하는 것보다 느릴 수밖에 없는 상황입니다.

‘자율보안체계’가 문제 해결의 키가 될까요?

그렇다면 이 문제들은 어떻게 풀어 나가야 할까요?

금융당국에서 이에 내놓은 해결책이 바로 ‘자율보안체계’입니다. 과연 이 자율보안체계란 무엇인지, 알아보겠습니다.

*자율보안체계라는 용어는 학계나 산업계에서 공식적으로 쓰이지는 않는 듯합니다. 그래서 정의 자체가 명확하지는 않습니다. 다만 금융당국에서 반복적으로 발표하는 보도자료를 보면 그 개념을 유추하기는 어렵지 않습니다.

자율보안체계란 회사가 외부 규제 또는 금융당국의 검사나 지도에 의존하지 않고, 내부적으로 보안 리스크를 주도적으로 분석하고 평가하는 체계를 의미합니다. 이 체계에서는 조직이 자율적으로 보안 정책을 수립하고 시행하며, 지속적인 모니터링과 내부 점검으로 보안 상태를 꾸준히 개선합니다. 개별 회사로 하여금 각각의 보안 위험에 대해 빠르고 유연하게 대응할 수 있는 능력을 제공할 수 있습니다.

쉽게 말하면, 자율보안체계는 기업이 각자의 환경과 위험도에 맞춰 보안 대책을 수립하고, 사고 발생 시 책임을 지는 방식입니다. 규제 기관이 세부적인 기준을 사전에 강제하기보다, 기업 스스로 적절한 보안 조치를 마련하고 사후에 평가받습니다. 이런 체계에서는 보안의 주체가 금융당국이 아닌 회사로 옮겨 갑니다. 따라서 기업이 알아서 위험 평가를 하고 측정된 위험 수준에 따라 알맞은 통제를 실시해야 합니다. 자율적으로 보안 환경을 개선하며 빠른 속도로 회사의 전략에 맞춘 보안 체계를 키워 나갈 수 있을 것입니다.

자율보안체계, 어떻게 준비하면 좋을까요?

물론 자율보안체계가 금융당국에서 구상한 대로 잘 동작할지는 좀 두고 봐야 할 이야기입니다. 특히 금융회사의 개발자라면 바뀌는 환경에 맞춰 적응하는게 더 우선이겠지요.

그렇다면, 자율보안체계는 어떻게 준비하면 좋을까요?

여러 가지 요구사항이 있을 겁니다. 거버넌스도 강화해야 하고, 투자도 늘려야 하고, 사고 시 복원력도 키워야 하고요. 그래도 이런 사항들 가운데, 핵심은 ‘정보보호 위험관리 체계’를 갖추는 것이라 볼 수 있습니다.

자율보안체계의 핵심, 정보보호 위험관리 체계

정보보호 위험관리 체계는 회사가 정보보호와 관련된 위험을 식별, 평가, 관리 및 통제하기 위해 체계적으로 수립한 절차와 프로세스를 의미합니다. 조직의 자산과 정보가 위협에 의해 손상되지 않도록 예방하고, 발생할 법한 사고에 대응하며 복구 기반을 제공합니다.

이러한 정보보호 위험관리 체계는 어떻게 갖출까요? 여기서부터는 단언하기 쉽지 않습니다. 각각 회사마다 상황이 다를 겁니다. 어느 회사는 정보보호 인력이 아예 없거나 한 명이 모든 것을 다하고 있을 수도 있고, 그나마도 사업이 잘 안되어 충분한 지원을 못 할 수도 있죠. 조직은 갖췄지만 전문성이 부족할 수도 있고, 다른 건 다 확보했지만 회사의 전략과 맞지 않을 수도 있습니다.

그래서 정보보호 위험관리 체계를 잘 갖추기 위해 딱 정해진 정답은 없습니다. 지름길도, 달성하면 이제 끝! 할 목표도 없어 보입니다. 즉, 회사 상황에 맞춰 할 수 있는 것부터 한 걸음 한 걸음 나가며, 쉬지 않고 반복해 개선할 수밖에 없다는 뜻입니다.

너무 추상적인가요? 그렇다면 정보보호 위험관리 체계를 만들기 위해, 우선 일반적으로 널리 알려진 프레임워크나 정보보호 인증을 먼저 도입해 보면 어떨까 제안해 드리고 싶습니다.

1. 정보보호 프레임워크

정보보호 프레임워크는 체계적이고 일관된 방식으로 정보보호를 관리하도록 돕는 도구들을 말합니다. 이러한 프레임워크는 보안 목표를 명확히 설정하고, 이를 달성하기 위한 프로세스와 절차를 정의하는 데 초점이 맞춰져 있습니다.

이쪽에서는 미국 국립표준기술연구소, NIST가 개발한 CSF(Cyber Security Framework)가 가장 유명하면서도 범용적인 툴인 것 같습니다. 그 외로는 CRI Profile이라는 것도 있고, 금융보안원에서 준비 중인 자율보안체계 프레임워크를 사용해 보는 것도 좋은 선택지입니다.

가장 널리 알려진 CSF를 조금만 더 소개해 보겠습니다. CSF는 Identify, Protect, Detect, Respond, Recover라는 다섯 가지 핵심 기능(Core Functions)에 기반해 리스크 관리를 핵심으로 둔 보안 전략을 수립할 수 있습니다. 지난 24년 2월에는 Governance 부분을 추가하며 2.0 버전으로 업데이트가 이뤄지기도 했습니다. NIST CSF는 일반적인 IT나 클라우드, IoT, AI 등 다양한 기술 환경에 적용할 수 있을 뿐 아니라, 모든 산업과 조직 환경에 맞춰 적용할 수 있는 상당히 유연한 프레임워크입니다.

2. 정보보호 인증

정보보호 인증은 ISMS-P, ISO 27001, ISO 27701, PCI-DSS 등 여러 가지가 있습니다. 인증마다 조금씩 목적과 기준이 다르므로 회사 상황에 맞춰 추진하면 좋습니다.

아래는 4가지 대표적인 인증의 간단한 목적과 기준을 비교한 표입니다.

이처럼 각각 인증은 서로 목표와 기준이 조금씩 다르며 이 외에도 더 다양한 인증이 많습니다. 또한 인증을 획득하고 유지하는 방식도 컨설팅 회사를 이용하는 방법과 회사 내부 인력으로 연구하는 방법, 두 가지가 있습니다. 이 역시 회사 상황에 맞게 선택해 진행하면 좋습니다.

마치며

이번 글에서는 금융당국이 추진하고 있는 자율보안체계가 무엇인지 알아봤습니다. 현재 금융보안의 문제점은 무엇이고, 그래서 금융당국이 왜 자율보안체계라는 것을 만들어 보려고 하는지, 나아가 각 금융회사 입장에서 이 새로운 방식에 적응하기 위해 알아야 할 정보보호 위험관리 체계까지, 모두 정리했습니다.

글의 포커스가 금융회사와 금융보안 중심이다 보니 금융회사 IT 팀에 재직하지 않는 분들은 “아, 우리 얘기 아니네.”라고 생각했을 수도 있습니다. 하지만, 정보보호 관리체계를 갖추는 것은 업종이나 규모와 상관없이 보호할 정보자산을 갖춘 회사 모두에게 필수적인 일입니다. 금융회사의 보안에 문제가 생기면 금융소비자에 갈 피해가 크고, 국가 차원의 영향도 워낙 크니까 그동안 금융당국에서 돋보기를 쓰고 문제가 없도록 미세하게 관리하고 있었을 뿐이죠.

회사가 알아서 보안을 관리하는 자율보안체계가 현실로 왔을 때, 모든 것이 자연스러웠으면 좋겠습니다. 그러기 위해서 중요한 것은 한 걸음씩 앞으로 나아가려는 의지와 실천이 아닐까요? 이제 각자 방식으로 해답을 찾아가야 할 때입니다.

로그인하고 자유롭게 의견을 남겨주세요.