“안전한 R&D 환경 조성 통해 금융권 혁신 서비스 개발 지원”
금융보안원이 금융권 연구·개발(R&D) 환경에서 망분리 예외 적용이 확대됨에 따라, 관련 보안 가이드라인을 담은 해설서를 새롭게 발간했다. 이번 조치는 금융당국의 ‘금융분야 망분리 개선 로드맵’에 따라 전자금융감독규정이 개정되면서 연구·개발망에서 인터넷 등 외부 네트워크 연결이 가능해진 데 따른 후속 대응이다.
금융보안원(원장 박상원)은 7일, 금융회사들이 연구·개발망을 보다 안전하게 구축·운영할 수 있도록 ‘연구·개발 목적의 망분리 예외 적용에 따른 보안 해설서’를 마련해 배포했다고 밝혔다. 이번 해설서는 망분리 예외 환경에서 발생할 수 있는 보안 위협과 이에 대한 대응 방안을 체계적으로 설명하고 있어 금융권의 연구·개발망 활용 확대에 실질적인 도움을 줄 것으로 기대된다.
금융보안원에 따르면 연구·개발망은 금융회사 내부에서 프로그램 코딩, 테스트, 인공지능(AI) 등의 신기술을 활용한 금융서비스 개발을 자유롭게 수행할 수 있도록 구성된 독립적인 네트워크 환경이다. 기존에는 망분리 규제에 따라 외부망과의 연결이 차단돼 있었지만, 개정된 감독규정으로 인해 연구·개발 목적에 한해 예외적으로 외부망과의 연결이 허용됐다.
하지만 인터넷 연결이 가능해지면서 소스코드 유출, 외부 오픈소스의 취약점, 제3자 서비스를 통한 내부망 침투 등 새로운 보안 위협도 우려되고 있다. 이에 따라 이번 해설서에는 연구·개발망의 정의와 주요 보안 위협, 구성 절차, 구체적인 보안관리 방안까지 단계적으로 기술돼 있다.
특히 해설서는 중요정보 유출을 방지하기 위해 실 데이터(개인신용정보 등, 가명정보 제외)를 테스트에 사용하는 것을 금지하고, 연구·개발망과 내부업무망 간 데이터 전송 구간에는 악성코드 점검 등 강화된 보안대책을 반드시 이행하도록 명시했다. 이 외에도 재택근무나 클라우드, 무선통신망 등을 연구·개발망에서 안전하게 사용할 수 있도록 인증 기반의 접속 통제 방안도 포함됐다.
또한 금융회사가 연구·개발망을 구성할 때 보안성을 확보할 수 있도록 ▲보안 위협 식별 ▲추가 보호대책 적용 ▲정보보호위원회 심의 및 의결의 3단계 절차를 거치도록 권고했다.
박상원 금융보안원 원장은 “이번 해설서 발간을 통해 금융회사가 연구·개발망을 보다 적극적으로 활용할 수 있을 것”이라며, “금융보안원은 앞으로도 금융회사들이 안전하고 편리한 IT 환경에서 혁신적인 서비스를 지속적으로 개발할 수 있도록 전방위적 지원을 아끼지 않겠다”고 밝혔다.
이번 해설서는 데일리시큐 자료실에서도 다운로드 가능하다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
