[디지털데일리 김보민기자] 금융권 자율보안 프레임워크가 연말 완성된다. 금융당국이 선진화 정책과 망분리 규제 개선 로드맵을 연이어 발표하며 '자율보안 시대'를 예고한 만큼, 금융회사가 자체적으로 준비해야 할 조치 사항이 담길 예정이다. 이번 프레임워크는 거버넌스와 내부통제 등 기본 보안 조치뿐만 아니라 화두로 떠오른 공급망 관리에 대한 내용도 담을 전망이다.

11일 관련 업계에 따르면 금융보안원은 올해 말 자율보안 프레임워크 1.0 초안을 완성하고, 내년부터 업권별 의견을 수렴한다. 프레임워크에는 활동별 세부 목표와 확인사항 등이 포함된다.

자율보안이란 금융회사가 자산, 대내외 환경, 경영 철학 및 가치 등을 종합적으로 고려해 보안체계를 운영하는 방식을 뜻한다. 현재 미국을 비롯한 주요국에서는 핵심 산업군에서 규제(컴플라이언스)를 넘어선 원칙 기반 자율보안 체계를 도입하는 데 속도를 올리고 있다.

국내 금융권의 경우 대규모 전산사고를 계기로 컴플라이언스 기반 보안 체계에 의지해왔다. 다만 인공지능(AI) 기술과 서비스형소프트웨어(SaaS)에 대한 수요가 높아지면서 현 보안체계로는 혁신이 불가능하다는 볼멘소리가 제기돼 왔다.

금융당국이 올해 '자율보안' 개념을 필두로 대대적인 변화를 예고한 이유다. 금융위원회가 올해 2월 전자금융감독규정 개정안과 금융보안 선진화 로드맵을 발표한 것이 시작이었다. 개정안에는 금융회사의 자율적 보안 책임을 강화하고, 수범 사항을 간소화하고 재해복구 센터를 확충해 금융전산 시스템의 복원력을 강화하는 내용이 담겼다. 선진화 로드맵에는 원칙 중심 보안 규제로 개편하고, 궁극적으로 자율보안 체계로 패러다임을 적용하는 내용이 담겼다.

지난 8월 금융권 망분리 규제 개선 로드맵이 나온 것도 같은 선상에서 이해할 수 있다. 로드맵에는 금융회사가 생성형 AI를 활용하고 클라우드 기반 SaaS 활용을 확대하는 등 단계적 계획이 담겼는데, 자율보안과 결과 책임 원칙에 입각한 신 금융보안체계를 구축하겠다는 당국의 의지가 반영됐다는 평가가 나온 바 있다.

연말 마침표를 찍는 자율보안 프레임워크는 이러한 정책적 변화에 금융회사가 대비해야 할 준비 사항을 나열할 것으로 보인다. 금융보안원에 따르면 프레임워크는 4개 가치, 6대 분야, 22개 활동, 70개 목표로 구성된다.

핵심 가치로는 ▲금융보안 거버넌스 강화 ▲위험 관리 도입 ▲사이버복원력 확보 ▲공급망 및 제3자 보안이 포함된다. 금융보안원은 지난 7일 피스콘(FISCON) 콘퍼런스에서 "거버넌스, 위험관리, 복원력은 정책 자료에 자주 언급되는 단어"라면서 "공급망의 경우, 최근 망분리 규제 개선 로드맵이 나오면서 추가했다"고 설명했다.

프레임워크는 이 핵심 가치를 확장해 ▲거버넌스 ▲위험 관리 ▲내부 통제 및 보호 ▲탐지 및 대응 ▲복원력 ▲공급망 등 6대 정보보호 활동 분야에 대한 내용이 담긴다.

먼저 거버넌스 차원에서는 구성원별 목표를 마련한다. 임원, 일반 직원, 정보보호 업무 담당 직원 등 각 영역에 따라 목표를 달리한다는 취지다. 임원에는 전사적 차원의 정보보호 리더십을 발휘할 수 있는 환경을 마련하는 미션이, 정보보호업무 담당 직원에는 자율보안체계 전략 수립과 활동에 대한 미션이 주어진다. 일반 직원의 경우 정보보호 인식 변화와 생활화에 대한 내용이 포함된다.

위험 관리 분야에서는 '전사적' 키워드가 부각될 전망이다. 위험 성향과 허용 범위를 선언하고, 위험 관리 목표를 합의한 뒤, 전사적 위험 관리를 통합하는 내용이 담길 것으로 보인다. 아울러 하드웨어(HW), 소프트웨어(SW), 네트워크, 서비스 자산을 식별하고 보호 우선순위를 매기는 작업도 포함될 것으로 예상된다. 자산 취약점과 영향 및 기능성을 분석하는 작업도 수반돼야 할 것으로 보인다.

내부 통제 및 보호 분야에서는 감독 규정 개선 사항에 대해 금융회사가 자율보안 통제 정책을 수립할 수 있도록 목표를 제시할 전망이다. 신원관리, 인증, 접근제어, 데이터 보안, 감사 및 모니터링, 인식 및 교육, 서약 및 계약 관리에 대한 세분화된 정의도 내려질 것으로 보인다. 신기술 보안성을 확보하자는 차원에서 보안 아키텍처 업계 표준과 소프트웨어 개발 생명주기(SDLC) 보안 검토 등의 내용도 담긴다.

이 밖에 탐지 및 대응, 복원력, 공급망 분야에서도 최신 이슈에 따라 금융회사가 자율보안체계를 수립하도록 돕는 내용이 포함된다. 특히 공급망 리스크 관리 프로그램을 수립하고, 소프트웨어자재명세서(SBOM) 생성 및 유지관리에 대한 준비사항 또한 담길 것으로 보여 관련 내용을 준비하고 있는 금융회사들의 재정비가 이뤄질 전망이다.

분야에 따른 세부 활동과 목표는 초안이 완성된 이후 제공된다. 금융보안원은 추후 금융회사가 자가 평가할 수 있는 도구를 개발하고, 희망 금융회사를 대상으로 파일럿 테스트를 진행하는 등 지원에 나선다. 금융권 전반으로 프레임워크를 확대하기 위해 모범 사례를 발굴하고 공유하는 작업도 추진한다.

한편 이번 프레임워크는 글로벌 선진 사례를 착안한다는 점에 의의가 있다는 해석도 나온다.

대표적으로 국내 사례는 사이버보안 프레임워크(CSF)를 벤치마킹하고 있다. CSF는 미국 국립표준기술연구소(NIST)가 주요 기반시설에 대한 사이버 위협 대비와 위험관리를 개선하자는 취지로 개발됐다. 2012년 미국 금융회사를 대상으로 분산서비스거부(DDoS·이하 디도스) 공격이 발생하면서 금융 서비스 장애가 일어난 것이 계기였다. CSF는 거버넌스, 식별, 보호, 탐지, 대응, 복구 등 6개 기능으로 구성됐고 22개 카테고리야 106개 세부항목으로 나뉘어 운용되고 있다.

CRI 프로파일도 국내 프레임워크가 벤치마킹하고 있는 대표적인 예다. CRI 프로파일은 NIST CSF 기반으로 만들어진 프레임워크로 미국, 유럽연합(EU), 일본, 싱가포르 등 2500개 이상 규제를 318개 진단 항목으로 구현한 일종의 평가 도구다. 거버넌스, 식별, 보호, 탐지, 대응, 복구, 확장(공급망) 등 7개 분야에 특화돼 있는 것이 특징이다.

국내 보안업계 관계자는 "현재 미국을 비롯한 주요 국가의 경우 'DIY(Do It Yourself)' 형태로 자율보안 체계를 도입하는 데 속도를 올리고 있다"며 "한국 또한 AI와 같은 기술에 대한 보안통제를 논하고 있는 단계인 만큼, 글로벌 사례를 반영한 국내 특화 프레임워크에 대한 관심이 높아질 것"이라고 말했다.