망분리 완화 흐름에…기업은행, 금융보안 ‘전면 재설계’ 착수

디지털 전환·클라우드 확산에 기존 망분리 보안 한계 노출
4개월 컨설팅…망분리·제로트러스트·자율보안 3축 재편
내부망도 검증하는 보안체계 전환…실증사업 통해 적용 검증
규제 준수에서 자율 책임으로…금융보안 패러다임 변화 신호

[이데일리 최정훈 기자] IBK기업은행이 기존 금융보안 체계를 전면 재설계하는 작업에 착수했다. 디지털 전환과 클라우드 확산으로 기존 망분리 중심 보안이 한계에 부딪히면서다. 망을 물리적으로 분리해 보안을 유지하던 기존 방식에서 벗어나, 새로운 환경에 맞는 보안 전략을 다시 짜겠다는 움직임으로 풀이된다.

7일 금융권에 따르면 기업은행은 최근 ‘디지털 금융보안 3대 혁신전략’ 수립을 위한 컨설팅 사업을 발주하고 약 4개월간 보안체계를 점검하기로 했다. 망분리 구조를 다시 설계하고, ‘제로트러스트’ 방식의 보안체계를 도입하는 한편, 내부 보안 관리 방식까지 바꾸는 것이 핵심이다.

최근 금융당국의 망분리 규제 유연화 흐름이 이번 사업 추진 배경으로 꼽힌다. 그동안 금융권 보안은 내부망과 외부망을 분리하는 이른바 ‘망분리’ 중심으로 운영돼 왔다. 외부 인터넷망과 업무망을 물리적으로 나눠 외부 침입을 차단하는 방식이다. 하지만 클라우드 사용이 늘고, 외부 데이터 활용이 확대되면서 이러한 구조만으로는 업무 효율과 보안을 동시에 확보하기 어렵다는 지적이 꾸준히 제기돼 왔다.

최근에는 사이버 공격 방식도 빠르게 고도화되고 있다. AI를 활용해 자동화된 스캔 공격이 단기간에 대량으로 발생하면서, 단순히 망을 나누는 방식만으로는 대응에 한계가 있다는 평가도 나온다. 내부망에 한 번 침투하면 확산을 막기 어려운 구조라는 점에서 기존 보안 모델의 취약성이 드러났다는 분석이다.

이러한 변화에 대응해 기업은행은 보안 구조를 처음부터 다시 설계하는 수준의 개편에 나섰다. 업무망과 인터넷망뿐 아니라 클라우드 환경까지 포함해 전 영역을 재정비하고, 실제 업무에 적용 가능한 보안 모델을 새로 구축할 계획이다. 특히 새로운 보안 모델이 실제로 작동하는지 확인하기 위해 일부 업무를 대상으로 시범 적용도 진행할 예정이다.

핵심은 ‘제로트러스트’ 도입이다. 이는 내부망이라도 기본적으로 신뢰하지 않고, 접속할 때마다 사용자의 권한과 기기 상태를 확인하는 방식이다. 기존처럼 ‘망 안에 있으면 안전하다’는 가정을 버리고, 모든 접근을 검증하는 구조로 전환하는 것이다. 기업은행은 현재 보안 수준을 진단한 뒤 단계적으로 이 모델을 적용하는 로드맵을 마련할 계획이다.

보안 운영 방식 자체도 바뀐다. 지금까지는 금융당국이 정한 규제를 준수하는 데 초점이 맞춰졌다면, 앞으로는 각 조직이 스스로 보안 수준을 관리하는 ‘자율보안’ 체계로 전환하는 방안이 검토된다. 이를 위해 부서별 보안 수준을 평가하고, 성과에 따라 인센티브나 페널티를 부여하는 방식도 함께 논의되고 있다.

아울러 인공지능(AI)과 클라우드 등 신기술 도입이 늘어나는 환경에 맞춰 내부 보안 규정과 점검 체계도 전면 개편될 전망이다. 기존 보안성 검토 절차와 점검 방식의 한계를 분석하고, 새로운 기술 환경에 맞는 표준화된 관리 체계를 마련한다는 구상이다.

금융권에서는 이번 움직임을 단순한 내부 프로젝트가 아니라 보안 패러다임 변화의 신호로 보고 있다. 이미 일부 시중은행들이 제로트러스트 도입을 검토하거나 시범사업에 참여하고 있는 만큼, 기업은행 사례를 계기로 유사한 움직임이 확산될 가능성이 크다는 관측이다.

금융권 관계자는 “망을 나누는 방식만으로는 더 이상 보안을 담보하기 어려운 환경이 됐다”며 “앞으로는 내부망까지 포함해 모든 접근을 관리하는 방식으로 보안 체계가 바뀔 것”이라고 말했다.