법제도/정책

[2024결산/보안②] AI와 연결의 시대에 대응하는 보안정책 격변기

최민지 기자
보안 이미지 [ⓒ픽사베이]
보안 이미지 [ⓒ픽사베이]

[디지털데일리 최민지기자] 2024년 올해는 국내 보안정책이 기술 혁신에 발맞춰 새로운 발걸음을 내디딘 중요한 해다.

챗GPT로 촉발된 인공지능(AI)이 일상에 파고들었고, 모든 것이 연결된 시대가 도래했다. 이에 따라 보안위협은 복합적이고 다양해졌으며, 공격자들이 침투할 수 있는 경로도 수없이 많아졌다. 더 이상 단절된 보안만으로는 외부 공격을 막을 수 없을뿐더러, 이는 기술과 산업 발전을 저해하는 허들로 여겨지고 있다.

이에 금융위원회(이하 금융위)와 국가정보원(이하 국정원)은 망분리 개선 대책을 통해 해묵은 빗장을 풀기 시작했다. 동시에 제로트러스트 모델 확산을 위한 가이드라인을 배포하는 한편, 공급망보안 위험을 관리하기 위한 정책도 공개했다.

우선, 금융기관 생성형AI 활용과 서비스형소프트웨어(SaaS) 이용 범위가 확대된다. 이러한 정책 일환으로 금융위는 지난달 27일 정례회의에서 생성형AI를 활용한 9개 금융회사 10개 서비스를 혁신금융서비스로 처음 지정했다. 이를 통해 생성형AI 기반 AI 은행원이 등장할 전망이다. 이는 지난 8월 발표한 금융분야 망분리 개선 로드맵에 따라 이뤄졌다.

금융권 망분리 규제는 2013년 12월 도입돼, 10년 넘게 금융사는 현재까지 내부망과 외부망을 분리 운영하고 있다. 업무망을 폐쇄망으로 운영해 중요 시스템과 데이터를 보호하는 방식인 만큼 외부 공격 차단 효과가 높지만, 클라우드와 AI 사용 환경으로 발전할수록 수많은 망분리 예외 설정이 불가피해졌다.

이에 금융당국은 자율보안‧결과책임 원칙에 입각한 새로운 금융보안체계를 구축하기로 했다. 관련해 내년 전자금융 감독 규정을 개정하고 디지털금융보안법을 발의할 예정이다. 이를 위해, 올해 우선 규제샌드박스를 통해 규제 특례 허용을 추진하고 있다.

금융분야 망분리 규제 개선을 위한 1단계 추진 과제 종합 구성도. [ⓒ금융위원회]
금융분야 망분리 규제 개선을 위한 1단계 추진 과제 종합 구성도. [ⓒ금융위원회]

공공분야 망분리 규제 완화 정책도 추진되고 있다. 지난 9월엔 국정원이 다층보안체계(MLS) 로드맵을 공개하며, 데이터 기반으로 국가 망분리 체계를 개선하겠다고 밝혔다. MLS는 국가정보시스템을 데이터 중요도에 따라 기밀, 민감, 공개 등급으로 분류해 차등적 보안통제를 적용하는 것이 골자다.

이러한 다층보안 개념은 제로트러스트와 맞닿아 있다. 제로트러스트가 결합돼야 보안 완성도가 높아질 수 있기에, MLS에서도 제로트러스트 요소들이 응용될 것으로 전망된다. 제로트러스트는 정보시스템 등에 대한 접속요구가 있을 때마다 네트워크가 이미 침해된 것으로 간주해, ‘절대 믿지 말고, 계속 검증하라’는 새로운 보안 개념이다.

제로트러스트는 데이터 중심 보안 전략을 구축하는 방법인 만큼, 정부는 공공뿐 아니라 민간기업으로의 확산을 꾀하고 있다. 이에 과학기술정보통신부(이하 과기정통부)는 국내 기업이 제로트러스트 보안 모델 도입을 위한 구체적 실무 진행 참고서를 목표로 한 ‘제로트러스트 2.0’ 가이드라인을 지난 3일 내놓기도 했다.

이와 함께 공급망 보안에 대한 관심도 높아졌다. 2월 리눅스XZ 유틸(Linux XZ Utils) 백도어, 7월 크라우드스트라이크, 11월 세일즈포스 전산마비 등 소프트웨어(SW) 공급망관련 전산사고가 지속적으로 발생하고 있다.

정부도 공급망 보안 중요성을 인지하고 있다. 이에 과기정통부는 ‘SW공급망 보안 가이드라인’을, 금융보안원은 ‘금융회사대상 SW공급망 자율점검 체크리스트’를 공개했다. 올해 4월 공개된 가이드라인에서는 SW 구성요소를 투명하게 공개해 위협 가능성을 낮추는 소프트웨어자재명세서(SBOM)를 안내했다. 미 바이든 정부에 이어 트럼프 정부도 공급망 보안 위험관리 대표방안인 SBOM을 강화할 것으로 전망되는 만큼, 국내정부도 SW수출 활성화를 위해 SBOM 의무화를 가속화할 것으로 보인다.

소만사 관계자는 “올해는 공공‧금융기관 망분리 환경개선 로드맵을 통한 IT 신기술 적용 등 보안규제 변화가 다방면에서 시작된 해”라며 “크라우드스트라이크 전산마비 등 대형 사건들을 통해 SW공급망 보안 중요성이 부각됐다”고 말했다.

이처럼 올해 곳곳에서 보안규제 변화를 알리고 있지만, 망분리 규제 완화와 MLS 등과 관련해 일각에선 아쉬운 목소리를 내기도 한다. 그럼에도 한 발짝 나아갔다는 점에선 분명히 의미가 있으며, 제도 확정 전까지 정부는 다양한 의견수렴을 통해 내년부터 정책 로드맵을 본격화할 계획이다.

다만, 비상계엄 선포 사태 이후 벌어진 대통령 탄핵 국면이 변수다. 당장 13일로 예정된 MLS 공청회도 한 차례 취소 후 19일로 연기됐다. 국정 운영 불확실성이 커지면서, 정부 정책 일정도 연기되거나 재검토될 가능성을 배제할 수 없어졌다.

28일 'NSIS 2024' 현장에서 공개된 MLS 프레임워크 초안.
28일 'NSIS 2024' 현장에서 공개된 MLS 프레임워크 초안.

최민지 기자
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널