금융 당국이 금융사의 자율 보안을 핵심으로 하는 '망분리 개선 방안'에 대해 다시 논의할 계획이다. SGI서울보증의 전산 마비 사태가 4일 만에 일단락된 가운데 금융사 보안 대책에 대한 세부 방향을 재정립하려는 움직임으로 해석된다. 금융사가 사이버 공격에 철저히 대비할 수 있도록 규제안을 다시 정비해야 한다는 지적도 나온다.
17일 금융업계에 따르면 금융 당국은 지난해 8월 발표한 '금융 분야 망분리 개선 로드맵'의 세부 사안에 대해 다시 논의할 방침이다. 금융 당국 관계자는 "자율 보안이라는 큰 방향은 유지되겠지만, 금융위원회와 금융감독원이 함께 금융사 망분리 개선 로드맵에 추가 반영이 필요한 부분이 있는지 논의하며 관련 연구도 진행할 계획이다"라고 설명했다.
'금융분야 망분리 개선 로드맵'의 핵심은 각 금융사가 자율적으로 보안 체계를 구축·운영하도록 하는 것이다. 기존에 금융사는 외부 침입으로부터 내부 전산 작업을 보호하기 위해 내·외부 망을 분리하는 네트워크 보안 기법을 사용해야만 했다. 2013년 금융권에 발생한 대규모 전산 사고를 기점으로 마련된 대책이다.
그러나 망분리로 인해 생성형 인공지능(AI) 등 신기술 기반 서비스를 이용자에게 제공하는 데 차질을 빚게 됐다. 이 때문에 금융위원회는 망분리 제도를 점진적으로 완화해 금융사가 생성형 AI를 활용할 수 있도록 하고, 클라우드 프로그램의 이용 범위도 확대하기로 했다. 보안에 자율성을 부여하는 대신, 사후 책임은 한층 강화하는 방식이다.
금융사의 정보기술(IT) 보안 인력·예산 편성 관련 규제도 사라진 상태다. 전자금융감독규정에 따라 2011년부터 금융사들은 IT 인력을 전체 인력의 5% 이상 확보하고, 전체 IT 인력 중 보안 인력을 5% 이상 둬야 했다. 전체 IT 예산 중 보안 예산도 7% 이상 편성해야 했는데, 이를 '5·5·7기준'이라고 부른다. 5·5·7기준은 2020년 일몰되면서, 금융사들은 이 규제를 지킬 필요가 없게 됐다.
그러나 전문가들은 사전 대비를 강화하는 쪽으로 보안 대책 재정비가 필요하다고 조언한다. 최근 SK텔레콤, 예스24 등 주요 기업을 노린 해킹으로 인한 이용자 피해 규모가 커지고 있어서다.
염흥열 순천향대 정보보안학과 교수는 "이번 SGI서울보증 전산 마비 사태를 유발한 랜섬웨어는 기업의 업무 자체를 마비시키는 치명적인 사이버 공격이다"라며 "피해 발생 가능성을 줄여야 하는 만큼 사전·사후 대응을 모두 강화하는 쪽으로 보안 대책 재정비가 필요하다"라고 밝혔다.
앞서 지난 14일 발생한 SGI서울보증의 시스템 장애로 일부 가입자들이 전세대출을 실행하지 못해 입주를 미루는 등 피해가 속출했다. SGI서울보증은 주택도시보증공사(HUG), 한국주택금융공사(HF)와 함께 3대 전세대출 보증기관 중 하나로 국내 전세대출 보증 시장에서 25% 수준의 점유율을 차지하고 있다.
이날 SGI서울보증은 핵심 전산 시스템 복구를 사고 발생 4일 만에 마치고, 오전부터 전세보증보험 등 주요 서비스를 정상적으로 재개했다. 다만 임직원이 사용하는 내부 업무 지원 시스템은 여전히 복구 작업이 진행 중이다.