열려있는 정책플랫폼 |
국가미래연구원은 폭 넓은 주제를 깊은 통찰력으로 다룹니다

※ 여기에 실린 글은 필자 개인의 의견이며 국가미래연구원(IFS)의 공식입장과는 차이가 있을 수 있습니다.

이준호의 사이버보안 이야기 <9> 망분리와 AI 혁신의 균형: 사이버보안의 새로운 패러다임 본문듣기

작성시간

  • 기사입력 2024년09월30일 16시00분
  • 최종수정 2024년09월29일 11시50분

작성자

  • 이준호
  • 시그넷파트너스(주) 부사장

메타정보

  • 10

본문

분리와 AI 혁신의 균형: 사이버보안의 새로운 패러다임

 

"성벽을 넘어, 유연한 방패를 들다"

 

2013년 3월 20일, 대한민국 금융권을 뒤흔든 대규모 전산망 마비 사건. 이 사건을 계기로 도입된 '망분리' 정책이 어느덧 10년을 넘어섰다. 당시 나는 금융공기업에서 IT 보안 전문가로서 업무를 담당하는 시절이라 엄청 긴장하고 바빴던 기억이 생생하다. 어느날부터 직원들의 책상에 자연스럽게 모니터가 두개로 늘어났고 PC 또한 두대가 되었다. 수많은 금융기관이 서둘러 망분리 체계를 도입하였고 결국 행정전산망 또한 망분리가 의무화되며 보안강화를 위해 비용이 두배 이상 들었지만 불편한 업무방식을 수용할 수 밖에 없었다. 

 

하지만 이제는 이 견고한 성벽이 오히려 금융과 행정 혁신을 가로막는 장애물이 된 것이다. 클라우드 기술의 발전으로 대부분의 S/W가 SaaS(Software as a Service) 서비스화 되었고 특히 생성AI 기술의 발전은 더 이상 성벽안에 갇혀 있긴 너무도 아깝고 혁신을 따라가지 못하는 상황이 된 것이다. 금융권이나 공공의 영역이 내부 데이터를 생성AI 기술로 활용하기 위해서는 하는 수 없이 내부에 또다시 AI시스템을 갖추는 방법밖에 없었는데 글로벌 거대 흐름을 반영해서 정부와 금융권이 드디어 성벽을 넘어서는 방향으로 움직이기 시작하였다. 

 

"AI와 클라우드, 피할 수 없는 대세"


4차 산업혁명 시대, AI와 클라우드 기술은 이제 선택이 아닌 필수다. 특히 생성형 AI의 등장은 금융 서비스의 혁명을 예고하고 있다. 고객 상담, 리스크 분석, 투자 자문 등 거의 모든 영역에서 AI가 활용될 수 있다. 클라우드 기술은 이러한 AI 서비스를 더욱 효율적으로 제공할 수 있게 해준다. 하지만 현재의 망분리 정책 하에서는 이러한 기술을 제대로 활용할 수 없었다. 예를 들어, 한 대형 은행의 CISO(최고정보보안책임자)인 지인은 이런 말을 했다. "우리도 ChatGPT 같은 AI를 활용해 고객 서비스를 혁신하고 싶어요. 하지만 망분리 때문에 불가능해요." 이는 비단 한 은행만의 문제가 아니다. 전체 금융권이 이런 딜레마에 빠져 있었던 것이다.

더 큰 문제는 이로 인해 국내 금융기관들이 글로벌 경쟁에서 뒤처질 수 있다는 점이다. 해외의 많은 금융기관들은 이미 AI와 클라우드를 적극 활용하고 있다. 예를 들어, JP모건체이스는 AI를 이용해 주식 거래 전략을 수립하고 있으며, 골드만삭스는 AI 기반의 고객 서비스 플랫폼을 운영하고 있다. 우리가 계속 망분리라는 틀에 갇혀 있다면, 이 격차는 더욱 벌어지는 것은 자명한 것이었다.

 

"보안과 혁신, 양자택일이 아니다"


많은 이들이 보안과 혁신을 상충관계로 본다. 더 강력한 보안을 위해서는 혁신의 속도를 늦춰야 한다고 생각한다. 하지만 나는 이 둘이 상호보완적일 수 있다고 믿는다. 오히려 혁신적인 기술이 더 나은 보안을 가능케 할 수 있다.

예를 들어, AI 기반의 이상 거래 탐지 시스템은 기존의 규칙 기반 시스템보다 훨씬 효과적으로 금융 사기를 막을 수 있다. AI는 수많은 데이터를 실시간으로 분석하여 인간이 놓칠 수 있는 미세한 패턴까지 감지할 수 있기 때문이다. 또한 클라우드 기술을 활용하면 보안 업데이트를 더 신속하게 배포할 수 있고, 대규모 DDoS 공격에도 더 효과적으로 대응할 수 있다.

물론 위험이 없는 것은 아니다. AI와 클라우드 기술은 새로운 형태의 보안 위협을 동반할 수 있다. 하지만 우리는 이제 '위험 회피'가 아닌 '위험 관리'의 관점에서 접근해야 한다. 완벽한 보안은 없다. 중요한 것은 위험을 최소화하면서 혁신의 이익을 극대화하는 것이다.

 

"망분리 개선, 사이버보안 시장에 생기를 불어넣다"


망분리 개선에 관해 금융권에서 가장 먼저 움직인 기관은 한국은행이다. 한국은행은  '망개선(안) 실증 및 정보보호전략 수립 컨설팅'이라는 이름으로 사업 규모 약 26억8300만원의 사업을 시작하였다. 망분리에서 예전방식으로 회귀하는 사업이 아니다. 생성AI 시대에 걸맞게 혁신하면서도 여전히 보안을 유지할 수 있는 방향으로 망개선을 하는 사업인 것이다. 이제 대부분의 금융권과 행정기관 등에서 유사한 사업이 나타날 것이 자명하고 생성AI 시대 ‘졸면 죽는다’의 심정으로 상당히 속도가 날 것으로 보인다. 사이버보안 산업계 입장에서는 희소식임에 분명하다. 

6faed25dd443d45175eac68b3dfc5911_1727497
< 망개선 이미지 : 작성 Midjourney >

 

"자율과 책임, 새로운 패러다임의 핵심"

 

금융 보안의 패러다임으로 '자율보안-결과책임' 원칙이다. 이는 금융회사에게 보안에 대한 더 큰 자율성을 부여하되, 그에 따른 책임도 강화하는 것이다. 구체적으로, 정부는 상세한 규칙 대신 원칙만을 제시하고, 금융회사는 자체적인 위험 평가를 통해 보안 정책을 수립한다. 예를 들어, "고객 데이터는 항상 암호화되어야 한다"와 같은 원칙을 제시하고, 구체적인 암호화 방식은 각 회사가 선택하도록 하는 것이다. 대신 사고 발생 시 더 강력한 제재를 받게 된다.

이러한 접근법은 여러 장점이 있다. 첫째, 금융회사들이 자사의 상황에 가장 적합한 보안 솔루션을 선택할 수 있게 된다. 둘째, 기술 변화에 더 유연하게 대응할 수 있다. 셋째, 보안에 대한 책임의식이 높아져 자발적인 투자가 증가할 것이다.

물론 이는 금융회사들의 보안 역량이 충분히 갖춰져 있다는 전제 하에 가능한 이야기다. 따라서 이러한 변화는 단계적으로 이뤄져야 하며, 정부의 지속적인 모니터링과 지원이 필요할 것이다.

 

"망분리 개선 핵심은 데이터!"

 

물리적 망분리를 하여 내부망을 인터넷망으로부터 완벽히 차단했던 방식에서 내부 데이터를 인터넷망을 통한 분석과 활용을 할 수 있는 방향으로 망개선을 한다고 했을 때 정책적으로 가장 중요한 의사결정은 데이터의 분류에 있다. 챗GPT가 등장하였을 때 우리가 입력한 각종 개인정보가 챗GPT 서버로 올라가 분석되는 과정에서 개인정보보호의 이슈가 있었던 만큼 어떤 데이터를 외부망을 통해 활용할 지 결정하기 위해서는 내부 데이터 전체에 대한 명확한 등급체계를 정의하고, 기밀이나 개인정보에 해당하는 것은 여전히 망분리 영역에 존재해야 함은 자명하다. 이제 곧 정부에서 국가정보원 주도로 망 보안정책 개선안이 발표될 예정인데 데이터의 중요도를 C(기밀)·S(민감)·O(공개) 등 3등급으로 나누는 것으로 가닥이 잡혔다고 한다. 

 

"준비된 자에게 기회가, 준비되지 않은 자에게 위기가"


이러한 변화는 준비된 자에게는 기회가, 그렇지 않은 자에게는 위기가 될 것이다. 금융회사들은 지금부터 자체적인 보안 역량을 강화해야 한다. 단순히 규정을 따르는 것을 넘어, 능동적으로 위험을 평가하고 대응할 수 있는 능력을 키워야 한다. AI와 클라우드 기술에 대한 이해도 높여야 한다.

이를 위해서는 조직 문화의 변화도 필요하다. 보안을 단순히 IT 부서의 일로 치부하는 것이 아니라, 전사적인 과제로 인식해야 한다. CEO부터 일선 직원까지 모두가 보안의 중요성을 인식하고, 각자의 역할을 다해야 한다.

정부 역시 새로운 패러다임에 맞도록 현재의 망분리 규제를 완화하는 것을 넘어, 자율보안-결과책임 원칙을 뒷받침할 수 있는 새로운 법적 프레임워크가 필요하다. 또한 금융회사들의 보안 역량을 평가하고 인증하는 체계도 개선이 필요할 것이다.

 

"새로운 시대를 향한 도전"

 

우리는 지금 사이버보안의 새로운 시대를 앞두고 있다. 10년 전 망분리 도입이 보안 강화를 위한 결단이었다면, 이제는 혁신과 보안의 균형을 위한 새로운 도전이 필요한 시점이다. 이 도전에 성공한다면, 우리 산업은 한 단계 더 도약할 수 있을 것이다.

이 과정은 결코 쉽지 않을 것이다. 오랫동안 익숙해진 관행을 바꾸는 것은 항상 어렵고, 새로운 위험에 대한 두려움도 클 것이다. 하지만 우리에게는 선택의 여지가 없다. 변화하지 않으면 우리는 글로벌 경쟁에서 도태될 것이다.

변화는 이미 시작되었다. 우리가 할 일은 이 변화의 물결을 타고 더 나은 미래로 나아가는 것이다. 견고한 성벽 뒤에 숨어있을 때가 아니다. 이제는 유연하면서도 강력한 방패를 들고 새로운 영토를 개척할 때다. 

<ifsPOST>

 

10
  • 기사입력 2024년09월30일 16시00분
  • 최종수정 2024년09월29일 11시50분

댓글목록

등록된 댓글이 없습니다.