자본시장연구원은 금융회사 망분리 규제 해외사례와 국내 시사점을 분석한 보고서를 발표하였다.
- 금융회사에 대한 망분리 규제는 금융전산 보안사고를 최소화시키기 위해 도입되었는데, 오랜 기간 물리적 망분리가 엄격히 요구되어 왔음. 그러나 ICT 산업의 급속한 발전과 금융회사 서비스의 경쟁력 유지 필요성을 감안할 때 금융회사에 대한 망분리 규제에 큰 폭의 변화가 필요함. 클라우드에 기반한 구독형 소프트웨어의 일반화와 생성형 AI의 출현은 가장 대표적인 금융전산환경의 변화로 꼽힘. 금융회사는 비용절감과 혁신적인 서비스 제공을 위해 이러한 트렌드에 적극적으로 동참해야 하는데 물리적 망분리 규제는 클라우드에 기반한 기술의 활용에 장애요소가 되며, 연구?개발 활동에도 지장을 줌.
- 미국과 유럽의 망분리 규제는 제도화된 규정의 형태가 아니라 가이드라인과 같은 연성규제의 방식을 따르며, 해당 금융회사의 판단과 선택을 기본적으로 존중함. 금융회사의 재량권을 인정하는 배경에는 자율규제에 대한 기본적인 신뢰와 사고 발생시 책임을 강하게 묻는 사후규제의 전통이 자리잡고 있음. 금융회사들은 관련 가이드라인을 따라 내부망과 외부망에 대한 보안통제를 실시함. 망세분화의 기법은 물리적인 접근법과 논리적인 접근법이 모두 허용하는데, 그럼에도 물리적 망분리만을 선택하는 금융회사는 거의 없다는 점은 시사하는 바가 큼.
- 장기적인 관점에서 망분리 규제의 방향성은 망분리 방식에 대해 금융회사의 선택권을 인정하되, 금융전산 보안사고가 발생할 경우 그에 대한 책임을 무겁게 하는 방식을 고려해 볼 필요가 있음. 규제샌드박스의 적극적인 활용도 망분리 규제개선에 있어 중요한 요소라 볼 수 있으며, 클라우드 서비스를 통해 제공되는 생성형 AI와 서비스형 소프트웨어(SaaS) 활용 범위를 확대하기 위한 노력도 필요함. 금융회사는 변화될 보안규제 환경에서 고객관리와 영업활동상의 중요한 데이터를 안전하게 관리하기 위한 보안체계를 스스로 마련해야 함. 금융당국은 금융회사의 자율적인 금융전산 보안체계에 대해 정기적인 검사를 진행하고, 보안상의 문제점이 발견되면 시정조치를 요구해야 할 것임.