[디지털데일리 김보민기자] 정보기술(IT) 환경이 급변하면서, 클라우드와 인공지능(AI) 기술을 활용하려는 움직임이 빨라지고 있다. 과거 방식으로는 업무 효율성을 극대화하는 데 한계가 뚜렷해진 만큼, 업무를 자동화하거나 조수 역할을 할 수 있는 서비스형소프트웨어(SaaS) 또한 다양해지는 추세다.

그러나 경계 기반 보안 체계가 뚜렷한 공공과 금융 분야에는 이러한 변화가 '그림의 떡'으로 여겨져 왔다. 업무망과 외부망을 획일적으로 분리하는 기존 망 체계에서는 클라우드와 AI 기술을 활용할 방법이 많지 않기 때문이다. 다만 금융부터 대민 업무까지 온라인 환경에서 서비스를 효율화할 방안이 필요하다는 목소리가 제기되면서, 공공과 금융 분야에도 고민이 깊어졌다.

망분리 완화가 선택이 아닌 필수로 여겨진 이유다. 이에 공공과 금융은 오랜기간 유지해온 경계 기반 체계를 탈피하고, 신(新)보안체계로 전환을 선언했다. 공공과 금융 산업의 경쟁력을 제고하고, 국민과 소비자의 편의를 증대하겠다는 취지다.

대외적으로 먼저 신호탄을 쏘아 올린 곳은 금융이다. 금융당국(금융위원회·금융감독원)은 지난해 8월 '금융분야 망분리 개선 로드맵'을 발표하며, 2013년 12월부터 유지해온 금융권 망분리 체계를 개선하겠다고 밝혔다. 그간 망분리로 인해 연구·개발(R&D)과 신기술 활용에 애로사항이 발생하고 있다는 우려가 제기되고 있어, 변화된 IT 환경을 감안해 종합적 재검토를 하겠다는 취지였다.

그간 금융 분야에는 망분리 환경에 대한 애로사항을 해소하자는 취지로 규제 개선이 있었지만, IT 환경 변화를 대응하기에 미흡하다는 지적이 있었다. 대표적인 규제 개선으로는 ▲클라우드 이용 시 물리적 망분리 예외 허용(2019년) ▲R&D 망분리 예외 허용(2022년) ▲규제 샌드박스로 업무망 SaaS 이용 허용(2023년)이 있다. 다만 소프트웨어 형태 클라우드 이용을 제한하거나, 부가조건을 충족할 필요가 있어 실제 적용이 어렵다는 비판을 받아왔다.

금융당국은 망분리 개선 로드맵에 맞춰 올해 단계별 대책을 추진하고 있다. 대표적으로 샌드박스를 통해 규제 애로를 해소한다. 생성형 AI 활용, 클라우드 이용 확대, R&D 분야 망분리 개선 등이 핵심이다. 이후에는 샌드박스로 성과가 검증된 과제를 기반으로 규정 개정 등 제도화를 추진한다. 제3자 리스크 관리 강화를 위해 정보 처리 위탁제도를 정비하는 것도 로드맵 중 하나다.

기존에 다층보안체계(MLS)라는 이름으로 공공 망분리 완화를 주도하던 국가정보원(이하 국정원)은 올해 1월 국가망보안체계(N²SF·N2SF) 가이드 초안을 발표했다. 국가망보안체계는 정부 전산망을 업무 중요도에 따라 기밀(C)·민감(S)·공개(O) 등급으로 분류하고, 보안 통제 항목을 차등 적용해 보안성과 데이터 공유 활성화를 동시에 충족하는 내용을 담고 있다.

보안업계에서는 가이드 초안에 담긴 내용이 국가망보안체계에 대한 기본적인 개념이라, 추후 인식을 끌어올릴 만한 과제가 필요하다는 목소리도 나온다. 지난해 MLS라는 이름으로 망분리 완화가 본격화될 것이라는 소식이 나왔을 당시 공공 보안 판도가 뒤집힐 것이라는 기대감이 있었지만, 예상보다 추진 속도가 더디다는 평가다.

이에 국정원을 비롯해 이번 국가망보안체계 전환에 합류한 전문가들은 예정대로 계획을 추진하고, 현장과의 접점을 늘린다. 올해 7월 국가망보안체계 정식 가이드를 배포하고 시행한다는 계획이다.

그 일환으로 국가망보안체계 전환을 지원할 연구회도 출범했다. 한국사이버안보학회(KACS)는 지난달 정기총회를 통해 N²SF연구회를 발족했다. 연구회 회장에는 그간 국가망보안체계 전환에 힘을 보탠 김창훈 대구대 교수가 올랐다. 연구회는 '국가망보안체계 지속 개선을 위한 양질의 정보 생산'을 목표로 기술 고도화, 정책 연계 가능성, 실증 및 적용 확대, 협력 생태계 조성 등 전략을 추진할 계획이다.

한편 <디지털데일리>는 5월20일 서울 소공동에 위치한 롯데호텔서울 사파이어볼룸(3F)에서 제2회 차세대 보안 혁신 서밋 'NSIS 2025'를 개최한다. NSIS 2025는 공공·금융·일반 기업의 보안 실무자를 대상으로 하며, 공무원·일반 기업 보안교육(최대 7시간)으로 인정받을 수 있다. 디지털데일리 홈페이지를 통해 무료로 사전 등록할 수 있으며, 온라인 사전등록은 5월19일 오후 3시까지다.

현장에는 김창훈 N²SF연구회 회장이 참석해 'N²SF 통제항목 구현 전략'을 주제로 최근 현황과 향후 전략을 공유할 예정이다. 이외에도 주요 정부 및 금융권 관계자들이 참석해 국내 보안 패러다임을 담은 인사이트를 전한다.