금융권 망분리 개선은 '철통보안' 관건…정보보호관리자 역할 '강화'

[이데일리 최연두 기자] 금융권이 내년부터 인공지능(AI)을 비롯한 혁신 서비스를 활용할 수 있는 길이 열린 가운데 강력한 보안 확보가 숙제가 될 전망이다. 일각에서 개인의 카드사용 이력 등 민감한 정보가 유출될 가능성이 있다며 우려하고 있지만, 보안만 제대로 갖춘다면 글로벌 경쟁력을 갖춘 혁신 플랫폼이 나올 수 있을 것으로 보인다. 국내 보안업계 및 학계도 큰 관심을 보이는 모습이다.

보안 관련 이미지(사진=픽사베이)

망분리 장벽 허문다…금융위 규제 샌드박스 실시

금융위원회가 13일 공개한 금융분야 망분리 개선 로드맵은 물리적 망분리라는 장벽을 걷어내는 것이 골자다. 앞서 국가와 국방, 공공·금융 등 부문은 보안 강화를 이유로 정보기술(IT) 시스템에 물리적 망분리를 도입, 외부 인터넷 망과 내부 망에 각각 PC를 따로 연결하고 업무를 진행해왔다. 특히 금융분야는 지난 2013년 발생한 대규모 금융전산사고를 계기로 이듬해 말 금융사와 전자금융업자 등을 대상으로 망 분리가 의무화됐다.

하지만 지금의 망 분리 환경은 생성형 AI 활용을 제한해 세계적인 흐름에 맞지 않는다는 단점이 있었다.

이번 로드맵에 따라 연내 금융권 기업·기관을 대상으로 규제 샌드박스가 실시된다. 이용자의 개인정보를 비식별 처리한 가명정보 데이터베이스(DB)에 챗GPT 등의 생성형AI 서비스를 활용할 수 있게 되는 것이다. 가령 오픈AI의 GPT-4 모델이 이 DB를 참조해 금융사에 답변을 내놓는 것이 가능해진다.

금융위는 첫 샌드박스의 성과와 보안 안정성이 검증된 후 내년 2단계 샌드박스 사업을 실시할 계획이다. 이달 말 1차 샌드박스 참여자 모집을 시작한다. 담당 금융위 관계자인 전요섭 디지털금융정책관은 “많은 회사들이 이번 샌드박스에 관심이 많은 상황”이라며 “원칙적으로 분기별로 샌드박스 신청을 받고 있다. 1단계로 모집 예정된 시기는 9월 말이다. 금융회사의 수요를 보고 소통해가며 진행하겠다”고 말했다.

또 앞으로 금융권은 클라우드 기반으로 제공되는 서비스형 소프트웨어(SaaS)도 더 다양하게 도입할 수 있다. 기존에는 문서관리, 인사관리 등 비중요 업무에 대해서만 SaaS를 이용할 수 있었으나, 보안관리와 고객관리(CRM) 등의 업무 분야까지 확대 적용하게 된 것. 금융위는 가명정보 처리와 모바일 기기에서 SaaS 이용까지 허용하겠다는 계획도 밝혔다.

“망분리 개선은 대세지만…악용되지 않게 보안 강화해야”

금융분야 로드맵이 발표되자 보안업계와 학계에서는 논란이 뜨겁다. 특히 내년부터 개인의 신용정보까지 AI 서비스에 이용할 수 있게 되자 민감정보 유출에 대한 우려가 큰 상황이다.

익명을 요구한 한 대학교수는 “2차 규제 샌드박스 형태가 개인 맞춤형 서비스를 더 다양하게 만들 수 있다는 점에서 가야 할 방향성은 맞다. 이러한 혁신의 태도는 바람직하다”면서도 “만약 개인정보가 국외 이전 시 해당 정보가 피싱에 악용될 수 있다는 점을 인지하고 관련 보안책을 철저히 세워야 할 것”이라고 강조했다.

다만 망분리 개선은 피할 수 없는 글로벌 대세인 만큼 앞으로 정보보호 관리자들의 역량이 더 중요해질 전망이다. 김승주 고려대 정보보호대학원 교수는 “미국은 예전부터 데이터 중요도를 중심으로 망분리를 도입해왔고 제로 트러스트를 기반으로 하고 있다”고 강조했다. 이어 “앞으로 금융사 각 사가 데이터 중요도 별로 나눠 개별적으로 정보보호 체계를 세우게 될 것이고 소비자는 이에 따라 원하는 서비스를 선택해 사용하면 된다”고 설명했다.

다중보안체계(MLS)와 사용자 인증 관련 보안 솔루션 시장은 더 활성화될 전망이다. 김 교수는 “제로 트러스트 기반 시스템에서 사용자 인증은 필수 솔루션”이라며 “앞으로 국내 보안업체들이 이러한 솔루션과 서비스 제공에 대비해야 할 것”이라고 말했다.