고객정보 보안이 핵심인 금융업계는 왜 해피톡을 선택했을까
최근 금융권의 기대를 한 몸에 받은 소식이 들려왔습니다. 금융위원회가 금융 분야 망 분리 개선 로드맵을 발표한 건데요. 국내 금융 경쟁력 저하 요인으로 지적 받던 망 분리 의무화 규제를 단계적으로 개선하고 중장기적으로는 금융 보안 법과 제도를 전면 개편한다는 내용 등이 골자였습니다.
오랜 숙원이었던 망 분리 규제 완화가 공식화되자 금융권은 이를 환영하는 분위기입니다. AI를 비롯한 혁신 기술, 외부 클라우드 도입 등이 활발해져 산업 전반의 경쟁력이 크게 제고될 것이라는 전망 때문입니다.
혁신 시계 늦춘 10년, 망 분리 의무화
‘망 분리’란 내부 업무망과 외부 인터넷망을 따로 사용한다는 뜻입니다. 금융권 망분리는 지난 2013년 북한 정찰총국 소행으로 추정되는 대규모 사이버 공격 사건을 계기로 그 해 12월 의무화됐습니다. 당시 사이버 공격으로 우리은행, 신한은행, 농협은행, 제주은행 등의 인터넷뱅킹과 자동화기기(ATM) 이용이 중단되는 사태가 발생했죠. 이후 국내 금융업계는 망 분리 정책에 따라 인터넷 등 외부통신과 분리된 환경에서 금융 보안 체계를 구축해왔습니다.
그런데 왜 10년만에 망 분리 규제를 완화해야 한다는 목소리가 나온 걸까요?
해당 규제는 보안 강화를 위해 필요한 결정이었던 것은 분명하지만, 업무상 비효율이 클 뿐만 아니라 신기술 활용이 어렵고 오히려 규제 그늘 아래서 선진 보안 체계 연구나 개발이 저해되고 있다는 비판이 지속적으로 제기돼 왔습니다.
특히 소프트웨어 시장이 자체 구축형에서 SaaS로 빠르게 전환되고, AI 기술 활용이 글로벌 산업의 혁신을 이끌어가고 있는 상황에서 망 분리를 지속하는 건 금융 경쟁력에 도움이 되지 않는다는 목소리도 컸습니다. 금융위원회도 망분리 규제 완화 추진 배경을 밝히며 이를 지적한 바 있습니다.
금융위가 이번에 제시한 실행 계획은 ‘금융회사의 생성형 AI 활용 허용’, ‘SaaS 이용 범위 대폭 확대’, ‘금융회사 연구-개발 환경 개선’ 등 크게 세 가지입니다. 금융위 조사에 따르면 국내 금융권은 인터넷 등 외부 통신 활용 제한 등으로 인해 생성형 AI 도입에 제약이 있는 상황입니다. SaaS 이용 범위도 문서관리, 인사관리 등 비중요 업무에 대해서만 허용됐고요. 고객의 개인 신용정보를 활용하는 데 규제가 엄격했기에 새로운 서비스를 연구하고 개발하는 데도 제약이 따랐습니다.
이에 금융위는 규제 샌드박스를 활용해 애로사항을 해소하고, 이 때 예상되는 리스크에 대해서는 별도로 충분한 보안대책 등 안전장치를 마련할 예정입니다. 현행 금융 보안 체계가 10여년이라는 긴 시간동안 외부와 분리된 환경에서 구성되어왔기 때문에 급격한 규제 완화보다는 점진적인 개선을 추진한다는 입장입니다.
AI와 클라우드가 가속화할 금융 혁신
망 분리 규제 완화가 본격적으로 시작되면 AI와 클라우드 서비스를 기반으로 한 업무 혁신이 가속화할 전망입니다. 업무 자동화부터 전사적 경영관리(ERP) 도입으로 업무 생산성이 향상됨은 물론, 고객관계관리(CRM) 서비스도 SaaS 활용이 가능해져 더 개인화된 고객 마케팅 서비스를 제공할 수 있게 됐죠. 생성형 AI 기반의 데이터 분석이나 이를 바탕으로 한 생산성 높은 비즈니스 모델 구축, 이상금융거래탐지시스템(FDS) 고도화로 금융소비자 보호를 강화할 수 있다는 점도 기대를 모으고 있습니다.
특히 외부 클라우드 기반의 SaaS 기술 도입은 금융권의 운영 비용을 획기적으로 절감할 수 있습니다. 망 분리 규제로 SaaS 서비스 도입에 많은 제약을 받았던 국내 금융기관에서는 큰 비용을 지불하고 자체 내부망에서 사용할 수 있는 시스템을 별도로 구축해야 했습니다. 필요한 기능만 커스텀(맞춤)이 가능하다는 장점이 있었지만 완성된 제품을 구독형으로 사용하는 SaaS 서비스를 이용할 때보다 더 많은 리소스 투입이 필요했죠.
한마디로 만드는 데 오래 걸렸고 비쌌습니다.
글로벌 소프트웨어 산업 트렌드에 발맞춰 은행이나 보험사에서 외부 클라우드 기반의 솔루션을 활용하게 된다면 기업의 편익은 물론, 고객들도 더욱 혁신적인 서비스를 이용할 수 있을 겁니다.
물론 보안 책임에 대한 우려는 해결해야 할 사안입니다. 망 분리 규제가 시작된 계기가 보안 문제였기 때문에 이를 완화했을 때의 부작용도 고려해야 한다는 목소리가 나올 수밖에 없고요. 규제가 개선된다고 해도 충분한 안전장치가 필요합니다.
남은 과제는 수준 높은 보안 체계 구축
인터넷망 활용 범위와 데이터활용 범위가 더 넓어진 만큼 기업들의 보안 책임은 더욱 강화될 전망입니다. 금융당국은 ‘자율보안, 결과책임’ 원칙에 입각해 자율에 따른 보안책임을 강화하는 새로운 금융보안체계를 구축해 나갈 계획입니다. 해외 선진사례를 연구해 국내 환경에 맞는 리스트 관리 방안도 검토할 예정이고요.
민간 클라우드 기반의 솔루션을 이용하려는 금융기업의 경우 보안체계가 강화된 업체와 협업하는 것도 방법입니다. 보안 수준을 가늠할 수 있는 제도 중에는 정보보호 관리체계(ISMS) 인증이 대표적입니다. ISMS는 한국인터넷진흥원(KISA)이 주관하는 공인 인증 제도로, 기업의 주요 정보자산 보호를 위한 관리 체계를 수립해 정보 유출 피해를 예방하고 대처할 목적으로 만들어졌습니다. ‘관리체계 수립 및 운영’과 ‘보호대책 요구사항’ 2개 영역에서 총 80개의 고시 기준을 모두 충족한 기업을 대상으로 KISA의 평가를 거친 뒤 인증을 부여합니다.
망분리 규제 하에 많은 IT 기업들이 ISMS 인증을 위해 보안 체계를 고도화해 왔습니다. 고객의 개인정보와 상담 데이터를 관리하는 고객상담 업계에서는 특히 신경 써 왔죠.
금융·보험·공기업이 선택한 채팅상담: 해피톡
국내 최초로 채팅상담 솔루션 ‘해피톡’을 개발해 업계를 선도하고 있는 엠비아이솔루션도 ISMS 인증을 받았습니다. 2022년 초부터 정보보안팀을 구성해 약 1년에 걸쳐 ‘정보 관리 체계화’, ‘사고 예방 및 대응’, ‘보안 강화 체계 수립’ 등을 준비하며 ISMS 인증에 총력을 기울였습니다. 그 결과 해피톡은 지난 2023년 4월, 클라우드 기반 상담 솔루션 업계 최초로 ISMS 인증을 획득했습니다.
이후에도 해피톡은 수준 높은 인프라를 구축하는 데 투자하고 보안을 강화해 왔습니다. 토스, 우리은행, 교보생명, 빗썸, 우체국, 코레일, 서울주택도시공사 등 고객정보 보안이 핵심인 금융·보험·공기업이 해피톡 챗봇과 채팅상담을 선택한 이유이기도 합니다.
금융당국은 하반기부터 본격적으로 효과적인 망 분리 개선 로드맵에 따른 계획을 추진합니다. 빠르면 올해 말부터는 금융권에서도 생성형 AI 활용이 가능해 질 전망입니다. 정부가 나서 규제 개선에 착수한 만큼 새로운 제도가 정착할 수 있도록 보안과 관련한 금융권의 협조도 필요하고요. 금융산업 전반의 경쟁력을 높이고 각종 부정거래 및 사기로부터 소비자를 보호할 수 있는 혁신적인 규제 개선이 가져 올 변화가 기대됩니다.