NARS 현안분석
디지털 금융혁신 관련 입법·정책과제
– 금융부문 망분리 규제 개선을 중심으로 (이수환)
(발행일: 2021년 06월 04일/ 발행처: 국회입법조사처)
*요 약
□ 금융보안은 금융시장의 신뢰와 직결되므로, 보안정책 수립에 신중을 기하여야 할 것이나, 보안성 확보와 기술개발의 효율성 사이의 균형점
을 모색할 필요가 있음
□ 우리나라의 보안정책 중 특히 망분리 규제는 금융부문의 개발자들로부터 비판을 받아 왔음
∘ 현재 안전한 디지털금융 생태계 확립을 위한 명확한 보안원칙과 기준이 「전자금융거래법」 상 존재하지 않음. 또한 기존 망분리 규제 하에서는 데이터와 분석도구가 분리되어 데이터 활용에 비효율적이라는 점, 개발 속도의 저하로 인건비가 증가하고 인재 유출이 발생한다는 점 등이 문제점으로 지적되고 있음
□ 망분리 규제 개선을 위하여 「전자금융거래법」 개정을 통해 금융보안의 원칙 정립 및 책임성을 강화하고, 보안정책을 데이터 중심으로 전환하는 방안을 생각해 볼 수 있음
□ 또한 업무 비효율에 따른 규제 개선의 시급성을 고려하여, 혁신금융서비스 지정을 적극 활용하는 방안, 개발망에 대하여 자격을 갖춘 기업에 대해 제한적으로 물리적 망분리 규제를 완화하되 보안성·위험성 심사, 보고를 강화하는 방안 등을 검토할 수 있음
□ 금융당국의 보안 관련 전문성 부족 등으로 인해 실질적인 규제개선이 어려울 수 있는바, 외부 보안전문가로 구성된 심의기구로서 “금융보안 전문위원회”를 금융위원회 내에 설치하여 ① 금융보안 정책의 개선, ② 금융보안 관련 감독규정의 개정, ③ 물리적 망분리의 예외 인정 여부 등을 신속하고 합리적으로 결정하게 하는 방안도 생각해 볼 수 있음
Ⅰ. 서론 : 정보 보호와 활용의 균형 모색 필요
‘4차 산업혁명’은 디지털 기술로 촉발되는 초연결 기반의 지능화 혁명을 지칭하는 용어로1), 단기적으로는 AI의 등장, 중장기적으로는 과학기술의 유례없이 빠른 발전 속도에 따른 사회 전반의 변혁을 의미한다.2)
이와 같은 4차 산업혁명 시대를 맞이하여 금융업계도 급속한 구조 변화가 진행되고 있다. 금융은 신기술과의 융합이 용이하고 혁신의 속도가 빠른 분야이기 때문에3) 은행 등 기존 금융기관들도 디지털 전환4)에 동참하기 위해 사활을 걸고 경쟁하고 있다. 이제 디지털 전환은 금융업계에서 생존을 위한 필수적 수단으로 인식되고 있으며5), 디지털 기술을 적용한 금융상품 또는 금융거래(디지털금융)는 금융시장 인프라에 근본적인 변화를 일으킬 것으로 평가되고 있다.6)
4차 산업혁명 시대의 변화 속도에 부응하여 디지털 기술을 개발하는 것과 더불어 정보 보안사고가 발생하지 않도록 유의할 필요가 있다. 기술의 혁신은 핀테크 및 다양한 ICT 융합산업의 출현을 가능하게 하였지만, 이와 함께 개인정보의 침해 개연성도 높아짐에 따라 한 번의 보안사고로 금융시장 전체의 신뢰가 무너질 위험이 있다. 정보 보호가 담보되지 못한 상태에서의 기술 개발과 편의성 증대는 사상누각(沙上樓閣)에 불과할 수 있는 것이다.
그러나 개발 현장 실무에 맞지 않는 비현실적인 보안규제를 시행함으로써 기술 개발의 효율성이 떨어진다면, 우리나라 금융산업은 세계적인 변화의 흐름에 뒤처지고 디지털금융 경쟁력이 저하될 우려가 있다.
따라서 금융보안 정책을 실시함에 있어서 기술 개발·활용과 정보 보호 사이에서 균형을 모색해야 한다. 그러나 현재의 보안정책은 “모든 것이 네트워크에 연결(초연결)되어 있고, 데이터는 활발하게 공유·활용되어야 한다”는 4차 산업혁명의 기본 철학과 상충되고 있다는 지적이 있다.7) 보안정책 중에서 특히 망분리 규제는 기술개발 현실을 제대로 반영하지 못하여 전반적인 개발 환경에 부정적인 영향을 미치고 있다는 비판적 목소리가 핀테크 업계에서 지속적으로 제기되어 왔고8), 금융위원회도 망분리 규
제 완화의 필요성을 논의하고 있지만9) 구체적인 규제 개선은 아직 이루어지지 않고 있다. 이에 본 보고서는 망분리 규제를 중심으로 주요 문제점들을 살펴보고 망분리 규제 합리화가 조속히 실시될 수 있도록 입법·정책적 개선방안을 검토하고자 한다.
Ⅱ. 망분리 개념 및 종류
망분리(network separation)는 네트워크 보안기법의 일종으로 “업무망과 인터넷망을 분리하여 두 영역이 서로 접근할 수 없도록 차단하는 것”을 의미한다.10) 「개인정보의 기술적·관리적 보호조치 기준 (개인정보보호위원회 고시)」11) 상으로 망분리는 “외부 인터넷망을 통한 불법적인 접근과 내부정보 유출을 차단하기 위하여 업무망과 외부 인터넷망을 분리하는 망 차단조치”로 정의된다.
망분리와 구별되는 개념인 망세분화(segmentation, zoning)는 네트워크 구성의 상위, 하위 망을 구축하여 망에 대한 접근을 통제하는 것인데, 망 간의 연결이 가능하다는 점에서 망분리와 차이가 있다12).
망분리의 기술적 구현방식으로는 크게 ‘물리적 망분리’와 ‘논리적 망분리’가 있다. 물리적 망분리는 업무망과 인터넷망을 물리적으로 분리할 뿐만 아니라 각 망에 접속하는 컴퓨터도 물리적으로 분리하여 망간 접근경로를 차단하는 방식을 말하며, 논리적 망분리는 가상화 기술을 이용하여 서버 또는 컴퓨터를 가상화함으로써 논리적으로 업무망과 인터넷망을 분리하는 방식을 의미한다.13)
물리적 망분리는 말그대로 ‘물리적으로’ 인터넷망과 내부 업무망이 분리되기 때문에 높은 보안성을 갖고 있지만, 업무 효율이 저하된다는 단점이 있다. 논리적 망분리는 물리적 망분리의 단점을 보완하기 위하여 가상화 기법으로 분리하는 방식으로 하나의 PC로 업무를 처리할 수 있어 상대적으로 업무 효율성이 높지만, 물리적 망분리에 비하여 보안성이 떨어질 수 있다는 단점이 있다.14)
|표 1| 망분리의 종류와 특성
Ⅲ. 망분리 규제 현황과 문제점
1. 망분리 규제 도입 연혁15)
우리나라 망분리 규제는 국가·공공기관에서부터 먼저 시행되었고, 그 후 민간 기업들도 개인정보 보호를 위해 망분리 적용이 의무화되었다. 그리고 금융회사 등이 대규모 전산망 마비 사고를 겪은 이후에는 금융부문에도 망분리 제도가 도입되었다.
해킹 및 사이버 공격을 국가적 차원에서 예방하고 보안사고의 피해를 최소화하기 위하여 2006년 국가사이버안전전략회의에서 국가기관 업무 전산망과 인터넷 분리 방침이 최초로 보고되었다.16) 2007년에는 국무총리실, 통일부에서 망분리 시범사업을 추진하였으며, 2008년~2009년경에 정부 부처를 중심으로 망분리가 본격적으로 확산되었다.
2011년에는 주요 정부기관 및 민간업체 등 40개의 웹사이트에 대규모 분산서비스거부 공격(Distributed Denial of Service, DDoS17))이 발생하여 변종 악성코드가 유포되는 등 보안사고가 발생하였고18), 이에 따라 2012. 8. 17. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령」에 민간영역의 망분리 조치 의무가 명시되었다.
그리고 2013년에 농협·신한·제주은행 등의 전산망이 악성코드에 감염되어 상당수의 컴퓨터가 마비되었고 정보가 유출 또는 파괴되는 사고가 발생하면서 금융위원회는 「금융전산 보안 강화 종합대책」을 발표하였고19), 「전자금융감독규정(금융위원회 고시)」이 개정되어 금융부분에 망분리 제도가 도입되었다.
2. 민간영역 및 금융부문 망분리 규제 근거
가. 민간영역 망분리 규제
민간영역의 망분리 규정은 앞서 기술한 바와 같이 「정보통신망 이용촉진 및 정보보호 등에 관한 법률시행령」 제 15조20)에 2012. 8. 17. 도입되었으나, 4차 산업혁명 시대를 맞아 개인정보의 보호 및 활용에 관한 법제도를 체계적으로 정비하기 위하여 개인정보 보호 관련 사항이 「개인정보 보호법」으로 2020. 8. 4. 이관됨에 따라 망분리 관련 규정은 「정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령」에서 삭제되고 「개인정보 보호법 시행령」 제48조의221)에 위치하게 되었다. 이에 따라 해당 정보통신서비스 제공자 등은 개인정보처리시스템에 접속하는 개인정보취급자의 컴퓨터에 대해 외부 인터넷망을 차단하여야 하지만 물리적인 방법과 논리적인 방법 중 선택이 가능하다.22)
상위 규정인 「개인정보 보호법」 제3조는 개인정보처리자가 정보주체의 권리 침해 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 하며, 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 하는 등 개인정보 보호 원칙을 규정하고 있으며, 동법 제29조는 망분리 조치의 근거로서 개인정보처리자가 “대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치”를 취할 것을 규정하고 있다.
나. 금융부문 망분리 규제
금융부문의 망분리 규제는 「전자금융감독규정(금융위원회 고시)」 제15조23)에 규정되어 있으며, 망분리 적용의 예외 사유는 「전자금융감독규정 시행세칙(금융위원회 고시)」 제2조의224)에 규정되어 있다. 이에 따라 금융회사 또는 전자금융업자는 전산실 내의 정보처리시스템과 해당 정보처리시스템의 개발 목적으로 직접 접속하는 단말기에 대하여 물리적으로 망분리를 실시하여야 한다.
「전자금융감독규정」의 상위 규정인 「전자금융거래법」에는 명확한 ‘금융보안 원칙’이 기술되어 있지는 않지만, 동법 제21조에 “전자금융거래가 안전하게 처리될 수 있도록 선량한 관리자로서의 주의”를 다하여야 한다는 안전성 확보 의무 등이 규정되어 있다.
3. 금융부문 망분리 규제의 문제점25)
가. 명확한 금융보안의 원칙과 기준 부재
금융시장 인프라 등 금융 시스템의 혁신이 빠르게 진행되고 있는 상황에서 금융보안의 중요성은 지속적으로 강조되어 왔다. 그러나 아직 「전자금융거래법」 상에는 안전한 디지털금융 생태계 조성을 위한 금융보안의 원칙과 적용기준이 명확하게 존재하지 않고 있다. 「전자금융감독규정」 상의 “내부 업무용 시스템” 등의 적용 범위가 모호해서 현장에 적용하기 어렵다는 비판도 존재한다.26) 금융보안과 관련된 「전자금융거래법」 개정으로는 금융회사 및 전자금융업자의 정보 보호 및 IT 보안의 중요성을 감안
해 2014. 10. 15. 제재수준이 상향조정되고, 징벌적 과징금제도가 도입되는 등의 개정이 있었지만27), 아직 금융보안의 원칙과 기준이 명확히 규정되어 있지 않다.
따라서 세부적인 보안규제의 지표가 되어 줄 금융보안의 원칙과 적용기준을 조속히 수립할 필요가 있다. 금융산업의 발전 및 정교해지는 해킹기술에 대응하여 새로운 보안규제를 도입하거나 기존의 규제를 개선하는 것은 뚜렷한 금융보안의 원칙과 기준 하에서 체계적으로 진행될 수 있을 것이다.
나. 기존 망분리 규제의 비효율성
기존 망분리 정책의 장점으로 ① 내부 정보 유출 및 외부에서의 해킹 등을 원천적으로 차단하는데 강력한 효과가 있다는 주장28)과 ② 정보의 순환이 차단됨에 따라 데이터 순환 연결고리 전체를 점검하는 관제 비용을 부담하지 않아도 되므로 비용이 절감된다는 주장 등이 제시되고 있다.29) 그러나 금융보안 정책 중에서 특히 기존의 망분리 규제 방식은 개발자들로부터 많은 비판을 받고 있는 것은 사실이다. 예컨대, 물리적 망분리는 업무용 망과 인터넷용 망을 물리적으로 분리한다는 점에서 높은 보안성을 확보할 수 있지만30), 업무 효율성이 지나치게 떨어진다는 점이 지적된다.
아래 <그림1>에서도 볼 수 있듯 이, 내·외부망 등 도메인 중심의 보안정책 하에서는 데이터와 분석도구가 분리되어 데이터 활용에 비효율적이고 오픈소스 등 신기술의 활용이 불가하다는 점, 개발자는 소스코드 하나 하나 반입·반출허가를 받는 과정에서 생산성이 저하된다는 점 등이 문제점으로 거론된다.31)
|그림 1| 도메인 중심의 망분리와 데이터 중심의 망분리 비교
또한 핀테크 개발자들이 내부망을 통해서만 주요 업무를 수행해야 하는 불편함, 업무 비효율성 등을 이유로 금융업계를 떠나는 IT 인재들이 많다는 점 등이 문제점으로 거론되고 있다.32) 개발 속도가 저하되는 문제를 해결하기 위하여 개발 부문의 인건비도 약 30% 추가로 지출해야 한다는 지적도 있다.33) “개발자들이 ‘개발’ 업무를 하는 데 시간을 쓰는 것이 아니라 망분리 환경을 만들고 적응하는 데 더 시간을 쓴다”는 비판도 나오고 있는 실정이다.34)
Ⅳ. 개선방안
1. 「전자금융거래법」 개정을 통한 금융보안 원칙·기준 정립 및 책임성 강화
전자금융 거래에 관한 일반법으로 이미 존재하는 「전자금융거래법」은 2006년에 제정된 이후에 일부 사항을 제외하고는 큰 틀에서 개편이 이루어진 적은 없어 디지털금융의 새로운 발전이라는 상황 전개에 맞춰 동법을 체계적으로 정비할 필요가 있다.35) 새로운 종류의 핀테크 기업 및 다양한 형태의 전자 금융거래를 모두 포섭할 수 있도록 「전자금융거래법」을 개정하면서, 금융회사 및 전자금융업자의 보안에 대한 책임이 강화될 수 있도록 금융보안의 원칙과 기준을 법률 차원에서 정립해야 할 것이다.
기술의 발전과 더불어 해커들의 공격기법도 더욱 정교해지고 있으며, 망분리를 통한 보안 방식을 우회하는 사이버테러에 대한 우려도 존재하므로36), 망분리 방식을 절대적으로 안전한 보안 방식으로 믿고 고수하는 태도는 위험할 수 있고, 보안정책을 현실에 맞게 지속적으로 수정·보완하여야 한다. 따라서 세부적인 보완 규제는 시행령 이하의 단계에서 규정하는 것이 바람직할 것이다.
그러나 금융보안의 원칙과 기준은 법률 수준에서 규정함으로써 보안정책의 방향성을 분명히 함과 동시에 금융보안 관련 금융회사 및 전자금융업자의 책임을 강화하고, 구체적인 보안 방식은 금융회사 및 전자금융업자들의 개발환경과 보유하는 정보자산의 중요성 등을 감안하여 마련할 필요가 있다.
민간영역 망분리 규제 부분(Ⅲ. 2. 가.)에서 언급한 바와 같이, 「개인정보 보호법」 제3조는 정보주체의 권리 침해 가능성 및 위험 정도를 고려한 개인정보 안전 관리 의무 등 개인정보 보호 원칙을 규정하고 있다. 또한 제21대 국회에서 제안된 윤관석 의원안(의안번호: 제2105855)에도 금융보안의 원칙과 정보자산 관리·운영에 관한 안전성 확보의무 등이 기술되어 있어 이를 참고할 수 있을 것이다. 윤관석 의원안은 금융회사 및 전자금융업자가 전자금융거래의 안전성과 신뢰성을 확보할 수 있도록 하면서, 금융보안의 원칙으로 ① 기밀성‧무결성‧가용성 확보, ② 업무지속성(회복성) 유지, ③ 조직‧임직원의 금융보안 관련 역할 명확화, ④ 이사회의 금융보안에 대한 최종 책임성, ⑤ 전사적인 금융보안 체계 확립,⑥ 정보 공유 체계 구축, ⑦ 제3자 리스크 관리 등을 규정한 바 있다.37)
금융보안의 중요성이 날로 증대되고 있는 만큼 「전자금융거래법」 상에 금융보안의 원칙과 기준을 조속히 규정해야 할 것이며, 이를 통하여 금융회사 및 전자금융업자 구성원의 책임과 역할을 분명히 하는 등 보안 규제의 기틀을 마련해야 할 것이다.
2. 데이터 중심의 망분리 규제
민간영역의 망분리는 「개인정보 보호법 시행령」에서 “개인정보처리시스템에 접속하는 개인정보 취급자의 컴퓨터” 등에 대한 외부 인터넷망 차단을 규정하고 있는데, 이는 “전년도 말 기준 직전 3개월간 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상인 정보통신서비스 제공자 등”에 한하여 적용된다.38)
금융부문의 망분리 규제인 「전자금융감독규정」 제15조39)는 개인정보 등 데이터의 중요도와 관계없이 전산실 내에 위치한 정보처리시스템과 해당 정보처리시스템의 운영, 개발, 보안 목적으로 직접 접속하는 단말기에 대해서는 인터넷 등 외부통신망으로부터 물리적으로 분리해야 한다. 이로 인하여 야기
되는 업무의 비효율성 때문에 업계에서는 지속적으로 규제 개선을 요청하고 있는 것이다.
따라서 정보 활용의 효율성을 높이면서 보안성도 강화하기 위해서는 데이터를 중요도에 따라 구분하여 기밀에 해당하지 않을 경우 유·무선 인터넷을 통해 외부에서 접속하는 것을 허용할 필요가 있다.40) 참고로 미국의 연방금융기관 검사협의회(Federal Financial Examination Council, FFIEC)가 기업의 정보시스템 보안 수준을 측정하는데 필요한 요소 등을 제시한 정보보안 소책자(Information Security)에서도 위험 수준과 자산의 치명도에 따라 구역을 설정하고 각 보안 구역 사이와 내부에 적절한 접근 요건을 설정할 것을 규정하고 있다.41)
3. 신속한 규제 합리화 방안 등
상기의 개선 방안(금융보안의 원칙과 기준 수립, 데이터 중심의 망분리 규제 방안)을 추진하는 것은 다소 시간이 소요될 수 있다. 현재 금융위원회는 디지털금융 시대에 맞는 규제체계 정비 등을 위하여 민·관, 전문가 등으로 구성된 “디지털금융 협의회”를 운영하고 있으며, 2020. 9월부터 현재까지 7회의 협의회를 개최한 바 있는데42), 동 협의회를 적극 활용하여 신속한 규제개선에 노력할 필요가 있다43).
그리고 금융부문의 기술 혁신이 빠르게 진행되고 있는 점과 개발 업무의 비효율에 따른 망분리 규제 개선이 시급하다는 점 등을 감안하여 혁신금융서비스 지정을 적극 활용하거나 요건을 갖춘 기업에 대해 제한적으로 개발망의 물리적 망분리를 면제하는 방안 등을 검토해 볼 수 있다. 금융위원회는 2020.4월 「금융혁신지원 특별법」 상 혁신금융서비스 지정44)을 통하여 한국카카오은행 내의 금융기술연구소(기업부설연구소)에 대하여 망분리 예외를 인정한 바 있는데45), 이와 같이 혁신금융서비스 지정을 적극
적으로 활용하여 금융업무 수행과 직접적 관련이 없고 보안사고의 위험이 낮은 경우에 대하여 망분리 규제를 완화할 수 있을 것이다.
또한 FFIEC 정보보안 소책자(Information Security)에서도 확인할 수 있듯이46) 미국은 특정 망분리 방식을 강제하지 않고 있는데, 우리나라도 개발망에 대하여 충분한 보안대책을 마련한 기업 등에 대해 물리적 망분리 규제를 완화하되 보안성·위험성 심사, 보고를 강화하는 방안 등을 검토해 볼 수 있다. 이와 같이 규제 완화가 인정된 금융회사 및 전자금융업자에 대하여 보안성·위험성 심사 결과를 금융보안원47)에 주기적으로 제출케 하여 점검을 받도록 하는 등 금융회사 및 전자금융업자가 보안 수준을 높이도록 유도하는 방안도 생각해 볼 수 있다.
4. “금융보안 전문위원회”의 신설48)
전술한 규제 합리화 방안(혁신금융서비스 지정을 적극적으로 활용하는 방안, 물리적 망분리를 제한적으로 면제하는 방안 등)은 현행 보안규제의 문제점을 임시적으로 개선하기 위한 수단이 될 수 있다. 그러나 상기 방안을 다양한 사례에 폭넓게 활용하기는 쉽지 않을 것이다. 특히 금융당국은 보안 관련 전문성 부족 및 보안사고 발생 우려에 따른 부담 등으로 인하여 기존의 보안규제를 적극적으로 개선하기 어려울 수 있다.
따라서 금융보안과 관련된 일체의 의사결정이 신속하고 합리적으로 이루어질 수 있도록 외부 보안 전문가로 구성된 기구(이하, “금융보안 전문위원회”)를 금융위원회 내에 설치하는 방안을 검토해 볼 수 있다. “금융보안 전문위원회”가 ① 금융보안 정책의 개선, ② 금융보안 관련 감독규정의 개정, ③ 물리적
망분리의 예외 인정 여부, ④ (데이터 중심의 보안정책과 관련하여) 데이터의 중요도 분류, ⑤ 금융회사 및 전자금융업자의 보안대책이 충분한지 여부 등을 사전에 검토하는 방안이다. 이 때 “금융보안 전문위원회”의 심의는 날로 정교해지는 보안기술·해킹기술 및 개발환경 등의 현실을 고려하되, 특정 금융회사나 전자금융업자의 이해관계와 무관하게 독립적으로 이루어지도록 보장되어야 할 것이다.
이처럼 보안전문가로 구성된 “금융보안 전문위원회”를 설치하여 독립적인 의사결정을 보장할 경우, 산업정책적 측면에서 개발자 및 소비자의 편의성을 지나치게 고려하거나, 혹은 막연한 보안사고 발생의 우려로 보안규제를 과도하게 강화하는 등의 우를 범하지 않고, 보안성과 효율성을 균형적으로 모색할 수 있을 것이다.
Ⅴ. 결론
금융위원회는 2021. 2. 9. “기업의 리스크관리 능력, 고객정보 분리 여부, 업무의 성격 등에 따라 망분리 규제를 합리적으로 적용하는 방안을 마련”하겠다고 하여49) 개발환경에 친화적인 긍정적인 변화가 예상된다.
금융보안은 금융시장의 신뢰와 직결되며, 보안사고가 발생할 경우 막대한 경제적 피해가 야기될 수 있으므로, 보안 정책을 수립함에 있어서 신중을 기해야 할 것이다. 그러나 과도한 보안 규제로 인하여 개발자들이 개발 업무를 원활히 수행할 수 없게 된다면, 금융회사와 전자금융업자의 생산성과 효율성이 저하되고 결국 4차 산업혁명 시대의 기술 혁신에 뒤처질 우려가 있다.
따라서 디지털 전환기에 걸맞는 금융보안 원칙과 기준을 「전자금융거래법」에 정립하고, 보안정책을 데이터 중심으로 전환하는 등 보안성과 효율성을 균형적으로 모색하는 방안을 조속히 추진하여야 할 것이다. 그리고 끊임없는 혁신과 발빠른 기술 개발이 생명인 핀테크 업계의 특성을 고려하여 혁신금융 서비스 지정을 적극 활용하거나 제한적으로 물리적 망분리 규제를 완화하는 방안 등을 검토할 필요가 있다. 무엇보다도 실질적인 보안규제 개선을 위해서는 물리적 망분리의 예외 사유 등을 전문적으로 판
단해 줄 수 있는 심의기구를 금융위원회 내에 마련하는 방안을 생각해 볼 수 있다.
(*각주는 본문을 참조 해 주세요.)
디지털 금융혁신 관련 입법·정책과제
– 금융부문 망분리 규제 개선을 중심으로 (이수환)
(발행일: 2021년 06월 04일/ 발행처: 국회입법조사처)
*요 약
□ 금융보안은 금융시장의 신뢰와 직결되므로, 보안정책 수립에 신중을 기하여야 할 것이나, 보안성 확보와 기술개발의 효율성 사이의 균형점
을 모색할 필요가 있음
□ 우리나라의 보안정책 중 특히 망분리 규제는 금융부문의 개발자들로부터 비판을 받아 왔음
∘ 현재 안전한 디지털금융 생태계 확립을 위한 명확한 보안원칙과 기준이 「전자금융거래법」 상 존재하지 않음. 또한 기존 망분리 규제 하에서는 데이터와 분석도구가 분리되어 데이터 활용에 비효율적이라는 점, 개발 속도의 저하로 인건비가 증가하고 인재 유출이 발생한다는 점 등이 문제점으로 지적되고 있음
□ 망분리 규제 개선을 위하여 「전자금융거래법」 개정을 통해 금융보안의 원칙 정립 및 책임성을 강화하고, 보안정책을 데이터 중심으로 전환하는 방안을 생각해 볼 수 있음
□ 또한 업무 비효율에 따른 규제 개선의 시급성을 고려하여, 혁신금융서비스 지정을 적극 활용하는 방안, 개발망에 대하여 자격을 갖춘 기업에 대해 제한적으로 물리적 망분리 규제를 완화하되 보안성·위험성 심사, 보고를 강화하는 방안 등을 검토할 수 있음
□ 금융당국의 보안 관련 전문성 부족 등으로 인해 실질적인 규제개선이 어려울 수 있는바, 외부 보안전문가로 구성된 심의기구로서 “금융보안 전문위원회”를 금융위원회 내에 설치하여 ① 금융보안 정책의 개선, ② 금융보안 관련 감독규정의 개정, ③ 물리적 망분리의 예외 인정 여부 등을 신속하고 합리적으로 결정하게 하는 방안도 생각해 볼 수 있음
Ⅰ. 서론 : 정보 보호와 활용의 균형 모색 필요
‘4차 산업혁명’은 디지털 기술로 촉발되는 초연결 기반의 지능화 혁명을 지칭하는 용어로1), 단기적으로는 AI의 등장, 중장기적으로는 과학기술의 유례없이 빠른 발전 속도에 따른 사회 전반의 변혁을 의미한다.2)
이와 같은 4차 산업혁명 시대를 맞이하여 금융업계도 급속한 구조 변화가 진행되고 있다. 금융은 신기술과의 융합이 용이하고 혁신의 속도가 빠른 분야이기 때문에3) 은행 등 기존 금융기관들도 디지털 전환4)에 동참하기 위해 사활을 걸고 경쟁하고 있다. 이제 디지털 전환은 금융업계에서 생존을 위한 필수적 수단으로 인식되고 있으며5), 디지털 기술을 적용한 금융상품 또는 금융거래(디지털금융)는 금융시장 인프라에 근본적인 변화를 일으킬 것으로 평가되고 있다.6)
4차 산업혁명 시대의 변화 속도에 부응하여 디지털 기술을 개발하는 것과 더불어 정보 보안사고가 발생하지 않도록 유의할 필요가 있다. 기술의 혁신은 핀테크 및 다양한 ICT 융합산업의 출현을 가능하게 하였지만, 이와 함께 개인정보의 침해 개연성도 높아짐에 따라 한 번의 보안사고로 금융시장 전체의 신뢰가 무너질 위험이 있다. 정보 보호가 담보되지 못한 상태에서의 기술 개발과 편의성 증대는 사상누각(沙上樓閣)에 불과할 수 있는 것이다.
그러나 개발 현장 실무에 맞지 않는 비현실적인 보안규제를 시행함으로써 기술 개발의 효율성이 떨어진다면, 우리나라 금융산업은 세계적인 변화의 흐름에 뒤처지고 디지털금융 경쟁력이 저하될 우려가 있다.
따라서 금융보안 정책을 실시함에 있어서 기술 개발·활용과 정보 보호 사이에서 균형을 모색해야 한다. 그러나 현재의 보안정책은 “모든 것이 네트워크에 연결(초연결)되어 있고, 데이터는 활발하게 공유·활용되어야 한다”는 4차 산업혁명의 기본 철학과 상충되고 있다는 지적이 있다.7) 보안정책 중에서 특히 망분리 규제는 기술개발 현실을 제대로 반영하지 못하여 전반적인 개발 환경에 부정적인 영향을 미치고 있다는 비판적 목소리가 핀테크 업계에서 지속적으로 제기되어 왔고8), 금융위원회도 망분리 규
제 완화의 필요성을 논의하고 있지만9) 구체적인 규제 개선은 아직 이루어지지 않고 있다. 이에 본 보고서는 망분리 규제를 중심으로 주요 문제점들을 살펴보고 망분리 규제 합리화가 조속히 실시될 수 있도록 입법·정책적 개선방안을 검토하고자 한다.
Ⅱ. 망분리 개념 및 종류
망분리(network separation)는 네트워크 보안기법의 일종으로 “업무망과 인터넷망을 분리하여 두 영역이 서로 접근할 수 없도록 차단하는 것”을 의미한다.10) 「개인정보의 기술적·관리적 보호조치 기준 (개인정보보호위원회 고시)」11) 상으로 망분리는 “외부 인터넷망을 통한 불법적인 접근과 내부정보 유출을 차단하기 위하여 업무망과 외부 인터넷망을 분리하는 망 차단조치”로 정의된다.
망분리와 구별되는 개념인 망세분화(segmentation, zoning)는 네트워크 구성의 상위, 하위 망을 구축하여 망에 대한 접근을 통제하는 것인데, 망 간의 연결이 가능하다는 점에서 망분리와 차이가 있다12).
망분리의 기술적 구현방식으로는 크게 ‘물리적 망분리’와 ‘논리적 망분리’가 있다. 물리적 망분리는 업무망과 인터넷망을 물리적으로 분리할 뿐만 아니라 각 망에 접속하는 컴퓨터도 물리적으로 분리하여 망간 접근경로를 차단하는 방식을 말하며, 논리적 망분리는 가상화 기술을 이용하여 서버 또는 컴퓨터를 가상화함으로써 논리적으로 업무망과 인터넷망을 분리하는 방식을 의미한다.13)
물리적 망분리는 말그대로 ‘물리적으로’ 인터넷망과 내부 업무망이 분리되기 때문에 높은 보안성을 갖고 있지만, 업무 효율이 저하된다는 단점이 있다. 논리적 망분리는 물리적 망분리의 단점을 보완하기 위하여 가상화 기법으로 분리하는 방식으로 하나의 PC로 업무를 처리할 수 있어 상대적으로 업무 효율성이 높지만, 물리적 망분리에 비하여 보안성이 떨어질 수 있다는 단점이 있다.14)
|표 1| 망분리의 종류와 특성
Ⅲ. 망분리 규제 현황과 문제점
1. 망분리 규제 도입 연혁15)
우리나라 망분리 규제는 국가·공공기관에서부터 먼저 시행되었고, 그 후 민간 기업들도 개인정보 보호를 위해 망분리 적용이 의무화되었다. 그리고 금융회사 등이 대규모 전산망 마비 사고를 겪은 이후에는 금융부문에도 망분리 제도가 도입되었다.
해킹 및 사이버 공격을 국가적 차원에서 예방하고 보안사고의 피해를 최소화하기 위하여 2006년 국가사이버안전전략회의에서 국가기관 업무 전산망과 인터넷 분리 방침이 최초로 보고되었다.16) 2007년에는 국무총리실, 통일부에서 망분리 시범사업을 추진하였으며, 2008년~2009년경에 정부 부처를 중심으로 망분리가 본격적으로 확산되었다.
2011년에는 주요 정부기관 및 민간업체 등 40개의 웹사이트에 대규모 분산서비스거부 공격(Distributed Denial of Service, DDoS17))이 발생하여 변종 악성코드가 유포되는 등 보안사고가 발생하였고18), 이에 따라 2012. 8. 17. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령」에 민간영역의 망분리 조치 의무가 명시되었다.
그리고 2013년에 농협·신한·제주은행 등의 전산망이 악성코드에 감염되어 상당수의 컴퓨터가 마비되었고 정보가 유출 또는 파괴되는 사고가 발생하면서 금융위원회는 「금융전산 보안 강화 종합대책」을 발표하였고19), 「전자금융감독규정(금융위원회 고시)」이 개정되어 금융부분에 망분리 제도가 도입되었다.
2. 민간영역 및 금융부문 망분리 규제 근거
가. 민간영역 망분리 규제
민간영역의 망분리 규정은 앞서 기술한 바와 같이 「정보통신망 이용촉진 및 정보보호 등에 관한 법률시행령」 제 15조20)에 2012. 8. 17. 도입되었으나, 4차 산업혁명 시대를 맞아 개인정보의 보호 및 활용에 관한 법제도를 체계적으로 정비하기 위하여 개인정보 보호 관련 사항이 「개인정보 보호법」으로 2020. 8. 4. 이관됨에 따라 망분리 관련 규정은 「정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령」에서 삭제되고 「개인정보 보호법 시행령」 제48조의221)에 위치하게 되었다. 이에 따라 해당 정보통신서비스 제공자 등은 개인정보처리시스템에 접속하는 개인정보취급자의 컴퓨터에 대해 외부 인터넷망을 차단하여야 하지만 물리적인 방법과 논리적인 방법 중 선택이 가능하다.22)
상위 규정인 「개인정보 보호법」 제3조는 개인정보처리자가 정보주체의 권리 침해 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 하며, 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 하는 등 개인정보 보호 원칙을 규정하고 있으며, 동법 제29조는 망분리 조치의 근거로서 개인정보처리자가 “대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치”를 취할 것을 규정하고 있다.
나. 금융부문 망분리 규제
금융부문의 망분리 규제는 「전자금융감독규정(금융위원회 고시)」 제15조23)에 규정되어 있으며, 망분리 적용의 예외 사유는 「전자금융감독규정 시행세칙(금융위원회 고시)」 제2조의224)에 규정되어 있다. 이에 따라 금융회사 또는 전자금융업자는 전산실 내의 정보처리시스템과 해당 정보처리시스템의 개발 목적으로 직접 접속하는 단말기에 대하여 물리적으로 망분리를 실시하여야 한다.
「전자금융감독규정」의 상위 규정인 「전자금융거래법」에는 명확한 ‘금융보안 원칙’이 기술되어 있지는 않지만, 동법 제21조에 “전자금융거래가 안전하게 처리될 수 있도록 선량한 관리자로서의 주의”를 다하여야 한다는 안전성 확보 의무 등이 규정되어 있다.
3. 금융부문 망분리 규제의 문제점25)
가. 명확한 금융보안의 원칙과 기준 부재
금융시장 인프라 등 금융 시스템의 혁신이 빠르게 진행되고 있는 상황에서 금융보안의 중요성은 지속적으로 강조되어 왔다. 그러나 아직 「전자금융거래법」 상에는 안전한 디지털금융 생태계 조성을 위한 금융보안의 원칙과 적용기준이 명확하게 존재하지 않고 있다. 「전자금융감독규정」 상의 “내부 업무용 시스템” 등의 적용 범위가 모호해서 현장에 적용하기 어렵다는 비판도 존재한다.26) 금융보안과 관련된 「전자금융거래법」 개정으로는 금융회사 및 전자금융업자의 정보 보호 및 IT 보안의 중요성을 감안
해 2014. 10. 15. 제재수준이 상향조정되고, 징벌적 과징금제도가 도입되는 등의 개정이 있었지만27), 아직 금융보안의 원칙과 기준이 명확히 규정되어 있지 않다.
따라서 세부적인 보안규제의 지표가 되어 줄 금융보안의 원칙과 적용기준을 조속히 수립할 필요가 있다. 금융산업의 발전 및 정교해지는 해킹기술에 대응하여 새로운 보안규제를 도입하거나 기존의 규제를 개선하는 것은 뚜렷한 금융보안의 원칙과 기준 하에서 체계적으로 진행될 수 있을 것이다.
나. 기존 망분리 규제의 비효율성
기존 망분리 정책의 장점으로 ① 내부 정보 유출 및 외부에서의 해킹 등을 원천적으로 차단하는데 강력한 효과가 있다는 주장28)과 ② 정보의 순환이 차단됨에 따라 데이터 순환 연결고리 전체를 점검하는 관제 비용을 부담하지 않아도 되므로 비용이 절감된다는 주장 등이 제시되고 있다.29) 그러나 금융보안 정책 중에서 특히 기존의 망분리 규제 방식은 개발자들로부터 많은 비판을 받고 있는 것은 사실이다. 예컨대, 물리적 망분리는 업무용 망과 인터넷용 망을 물리적으로 분리한다는 점에서 높은 보안성을 확보할 수 있지만30), 업무 효율성이 지나치게 떨어진다는 점이 지적된다.
아래 <그림1>에서도 볼 수 있듯 이, 내·외부망 등 도메인 중심의 보안정책 하에서는 데이터와 분석도구가 분리되어 데이터 활용에 비효율적이고 오픈소스 등 신기술의 활용이 불가하다는 점, 개발자는 소스코드 하나 하나 반입·반출허가를 받는 과정에서 생산성이 저하된다는 점 등이 문제점으로 거론된다.31)
|그림 1| 도메인 중심의 망분리와 데이터 중심의 망분리 비교
또한 핀테크 개발자들이 내부망을 통해서만 주요 업무를 수행해야 하는 불편함, 업무 비효율성 등을 이유로 금융업계를 떠나는 IT 인재들이 많다는 점 등이 문제점으로 거론되고 있다.32) 개발 속도가 저하되는 문제를 해결하기 위하여 개발 부문의 인건비도 약 30% 추가로 지출해야 한다는 지적도 있다.33) “개발자들이 ‘개발’ 업무를 하는 데 시간을 쓰는 것이 아니라 망분리 환경을 만들고 적응하는 데 더 시간을 쓴다”는 비판도 나오고 있는 실정이다.34)
Ⅳ. 개선방안
1. 「전자금융거래법」 개정을 통한 금융보안 원칙·기준 정립 및 책임성 강화
전자금융 거래에 관한 일반법으로 이미 존재하는 「전자금융거래법」은 2006년에 제정된 이후에 일부 사항을 제외하고는 큰 틀에서 개편이 이루어진 적은 없어 디지털금융의 새로운 발전이라는 상황 전개에 맞춰 동법을 체계적으로 정비할 필요가 있다.35) 새로운 종류의 핀테크 기업 및 다양한 형태의 전자 금융거래를 모두 포섭할 수 있도록 「전자금융거래법」을 개정하면서, 금융회사 및 전자금융업자의 보안에 대한 책임이 강화될 수 있도록 금융보안의 원칙과 기준을 법률 차원에서 정립해야 할 것이다.
기술의 발전과 더불어 해커들의 공격기법도 더욱 정교해지고 있으며, 망분리를 통한 보안 방식을 우회하는 사이버테러에 대한 우려도 존재하므로36), 망분리 방식을 절대적으로 안전한 보안 방식으로 믿고 고수하는 태도는 위험할 수 있고, 보안정책을 현실에 맞게 지속적으로 수정·보완하여야 한다. 따라서 세부적인 보완 규제는 시행령 이하의 단계에서 규정하는 것이 바람직할 것이다.
그러나 금융보안의 원칙과 기준은 법률 수준에서 규정함으로써 보안정책의 방향성을 분명히 함과 동시에 금융보안 관련 금융회사 및 전자금융업자의 책임을 강화하고, 구체적인 보안 방식은 금융회사 및 전자금융업자들의 개발환경과 보유하는 정보자산의 중요성 등을 감안하여 마련할 필요가 있다.
민간영역 망분리 규제 부분(Ⅲ. 2. 가.)에서 언급한 바와 같이, 「개인정보 보호법」 제3조는 정보주체의 권리 침해 가능성 및 위험 정도를 고려한 개인정보 안전 관리 의무 등 개인정보 보호 원칙을 규정하고 있다. 또한 제21대 국회에서 제안된 윤관석 의원안(의안번호: 제2105855)에도 금융보안의 원칙과 정보자산 관리·운영에 관한 안전성 확보의무 등이 기술되어 있어 이를 참고할 수 있을 것이다. 윤관석 의원안은 금융회사 및 전자금융업자가 전자금융거래의 안전성과 신뢰성을 확보할 수 있도록 하면서, 금융보안의 원칙으로 ① 기밀성‧무결성‧가용성 확보, ② 업무지속성(회복성) 유지, ③ 조직‧임직원의 금융보안 관련 역할 명확화, ④ 이사회의 금융보안에 대한 최종 책임성, ⑤ 전사적인 금융보안 체계 확립,⑥ 정보 공유 체계 구축, ⑦ 제3자 리스크 관리 등을 규정한 바 있다.37)
금융보안의 중요성이 날로 증대되고 있는 만큼 「전자금융거래법」 상에 금융보안의 원칙과 기준을 조속히 규정해야 할 것이며, 이를 통하여 금융회사 및 전자금융업자 구성원의 책임과 역할을 분명히 하는 등 보안 규제의 기틀을 마련해야 할 것이다.
2. 데이터 중심의 망분리 규제
민간영역의 망분리는 「개인정보 보호법 시행령」에서 “개인정보처리시스템에 접속하는 개인정보 취급자의 컴퓨터” 등에 대한 외부 인터넷망 차단을 규정하고 있는데, 이는 “전년도 말 기준 직전 3개월간 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상인 정보통신서비스 제공자 등”에 한하여 적용된다.38)
금융부문의 망분리 규제인 「전자금융감독규정」 제15조39)는 개인정보 등 데이터의 중요도와 관계없이 전산실 내에 위치한 정보처리시스템과 해당 정보처리시스템의 운영, 개발, 보안 목적으로 직접 접속하는 단말기에 대해서는 인터넷 등 외부통신망으로부터 물리적으로 분리해야 한다. 이로 인하여 야기
되는 업무의 비효율성 때문에 업계에서는 지속적으로 규제 개선을 요청하고 있는 것이다.
따라서 정보 활용의 효율성을 높이면서 보안성도 강화하기 위해서는 데이터를 중요도에 따라 구분하여 기밀에 해당하지 않을 경우 유·무선 인터넷을 통해 외부에서 접속하는 것을 허용할 필요가 있다.40) 참고로 미국의 연방금융기관 검사협의회(Federal Financial Examination Council, FFIEC)가 기업의 정보시스템 보안 수준을 측정하는데 필요한 요소 등을 제시한 정보보안 소책자(Information Security)에서도 위험 수준과 자산의 치명도에 따라 구역을 설정하고 각 보안 구역 사이와 내부에 적절한 접근 요건을 설정할 것을 규정하고 있다.41)
3. 신속한 규제 합리화 방안 등
상기의 개선 방안(금융보안의 원칙과 기준 수립, 데이터 중심의 망분리 규제 방안)을 추진하는 것은 다소 시간이 소요될 수 있다. 현재 금융위원회는 디지털금융 시대에 맞는 규제체계 정비 등을 위하여 민·관, 전문가 등으로 구성된 “디지털금융 협의회”를 운영하고 있으며, 2020. 9월부터 현재까지 7회의 협의회를 개최한 바 있는데42), 동 협의회를 적극 활용하여 신속한 규제개선에 노력할 필요가 있다43).
그리고 금융부문의 기술 혁신이 빠르게 진행되고 있는 점과 개발 업무의 비효율에 따른 망분리 규제 개선이 시급하다는 점 등을 감안하여 혁신금융서비스 지정을 적극 활용하거나 요건을 갖춘 기업에 대해 제한적으로 개발망의 물리적 망분리를 면제하는 방안 등을 검토해 볼 수 있다. 금융위원회는 2020.4월 「금융혁신지원 특별법」 상 혁신금융서비스 지정44)을 통하여 한국카카오은행 내의 금융기술연구소(기업부설연구소)에 대하여 망분리 예외를 인정한 바 있는데45), 이와 같이 혁신금융서비스 지정을 적극
적으로 활용하여 금융업무 수행과 직접적 관련이 없고 보안사고의 위험이 낮은 경우에 대하여 망분리 규제를 완화할 수 있을 것이다.
또한 FFIEC 정보보안 소책자(Information Security)에서도 확인할 수 있듯이46) 미국은 특정 망분리 방식을 강제하지 않고 있는데, 우리나라도 개발망에 대하여 충분한 보안대책을 마련한 기업 등에 대해 물리적 망분리 규제를 완화하되 보안성·위험성 심사, 보고를 강화하는 방안 등을 검토해 볼 수 있다. 이와 같이 규제 완화가 인정된 금융회사 및 전자금융업자에 대하여 보안성·위험성 심사 결과를 금융보안원47)에 주기적으로 제출케 하여 점검을 받도록 하는 등 금융회사 및 전자금융업자가 보안 수준을 높이도록 유도하는 방안도 생각해 볼 수 있다.
4. “금융보안 전문위원회”의 신설48)
전술한 규제 합리화 방안(혁신금융서비스 지정을 적극적으로 활용하는 방안, 물리적 망분리를 제한적으로 면제하는 방안 등)은 현행 보안규제의 문제점을 임시적으로 개선하기 위한 수단이 될 수 있다. 그러나 상기 방안을 다양한 사례에 폭넓게 활용하기는 쉽지 않을 것이다. 특히 금융당국은 보안 관련 전문성 부족 및 보안사고 발생 우려에 따른 부담 등으로 인하여 기존의 보안규제를 적극적으로 개선하기 어려울 수 있다.
따라서 금융보안과 관련된 일체의 의사결정이 신속하고 합리적으로 이루어질 수 있도록 외부 보안 전문가로 구성된 기구(이하, “금융보안 전문위원회”)를 금융위원회 내에 설치하는 방안을 검토해 볼 수 있다. “금융보안 전문위원회”가 ① 금융보안 정책의 개선, ② 금융보안 관련 감독규정의 개정, ③ 물리적
망분리의 예외 인정 여부, ④ (데이터 중심의 보안정책과 관련하여) 데이터의 중요도 분류, ⑤ 금융회사 및 전자금융업자의 보안대책이 충분한지 여부 등을 사전에 검토하는 방안이다. 이 때 “금융보안 전문위원회”의 심의는 날로 정교해지는 보안기술·해킹기술 및 개발환경 등의 현실을 고려하되, 특정 금융회사나 전자금융업자의 이해관계와 무관하게 독립적으로 이루어지도록 보장되어야 할 것이다.
이처럼 보안전문가로 구성된 “금융보안 전문위원회”를 설치하여 독립적인 의사결정을 보장할 경우, 산업정책적 측면에서 개발자 및 소비자의 편의성을 지나치게 고려하거나, 혹은 막연한 보안사고 발생의 우려로 보안규제를 과도하게 강화하는 등의 우를 범하지 않고, 보안성과 효율성을 균형적으로 모색할 수 있을 것이다.
Ⅴ. 결론
금융위원회는 2021. 2. 9. “기업의 리스크관리 능력, 고객정보 분리 여부, 업무의 성격 등에 따라 망분리 규제를 합리적으로 적용하는 방안을 마련”하겠다고 하여49) 개발환경에 친화적인 긍정적인 변화가 예상된다.
금융보안은 금융시장의 신뢰와 직결되며, 보안사고가 발생할 경우 막대한 경제적 피해가 야기될 수 있으므로, 보안 정책을 수립함에 있어서 신중을 기해야 할 것이다. 그러나 과도한 보안 규제로 인하여 개발자들이 개발 업무를 원활히 수행할 수 없게 된다면, 금융회사와 전자금융업자의 생산성과 효율성이 저하되고 결국 4차 산업혁명 시대의 기술 혁신에 뒤처질 우려가 있다.
따라서 디지털 전환기에 걸맞는 금융보안 원칙과 기준을 「전자금융거래법」에 정립하고, 보안정책을 데이터 중심으로 전환하는 등 보안성과 효율성을 균형적으로 모색하는 방안을 조속히 추진하여야 할 것이다. 그리고 끊임없는 혁신과 발빠른 기술 개발이 생명인 핀테크 업계의 특성을 고려하여 혁신금융 서비스 지정을 적극 활용하거나 제한적으로 물리적 망분리 규제를 완화하는 방안 등을 검토할 필요가 있다. 무엇보다도 실질적인 보안규제 개선을 위해서는 물리적 망분리의 예외 사유 등을 전문적으로 판
단해 줄 수 있는 심의기구를 금융위원회 내에 마련하는 방안을 생각해 볼 수 있다.
(*각주는 본문을 참조 해 주세요.)
![[단독] 그립톡 회사, 빅3 로펌 광장 내세웠다…판 커지는 상표권 분쟁](https://image.ajunews.com/content/image/2024/04/17/20240417171823256950_518_323.png)
![[단독] 중대재해법 피한 CEO, 에쓰오일 뿐이었다…기업들 1년 넘게 정부·검찰 조사 받아](https://image.ajunews.com/content/image/2024/04/02/20240402205909345624_518_323.jpg)
![[로앤피플] 법률 특화 AI 계약서번역으로 변호사 업무 효율 극대화…베링랩 문성현 대표 인터뷰](https://image.ajunews.com/content/image/2024/04/05/20240405143611434045_518_323.jpg)
![[전문분야 코너] 노소영도 못 받은 위자료 2억…法 산정 기준 대폭 높여야](https://image.ajunews.com/content/image/2024/04/08/20240408090811516980_518_323.jpg)
![[전문분야 코너] 반도체 공장 복제 시도까지…영업비밀 보호 시급하다](https://image.ajunews.com/content/image/2024/04/02/20240402101102728338_518_323.jpg)
![[포커스] AI가 그린 그림, 저작권 논란…아직은 베껴도 무방](https://image.ajunews.com/content/image/2024/04/19/20240419131311419631_518_323.png)
![[전문분야 코너] 상대 외도에는 꼭 이혼해라?…안 하면 반값 위자료 해소돼야](https://image.ajunews.com/content/image/2024/04/15/20240415100310659803_518_323.jpg)