MS 클라우드·크라우드스트라이크 보안 패치 업그레이드 충돌
국내 금융권 사전 테스트 '충분'
"망분리 규제 완화해도 문제 없을 것"
김주현 금융위원장이 지난 17일 서울 중구 더 플라자 호텔 서울 그랜드볼룸에서 열린 제13회 정보보호의 날 기념 금융회사 최고경영자 초청 세미나에서 '디지털 금융혁신 속 금융보안이 나아갈 방향'을 주제로 기조연설을 하고 있다. 사진=뉴스1
지난 19일(현지시각) 미국 뉴욕 타임스퀘어 광장에서 시민들이 통신 중단 문제로 대형 전광판이 꺼진 거리를 걷고 있다. 마이크로소프트(MS)의 소프트웨어 업데이트 결함으로 전 세계 공항, 병원, 호텔 등에서 피해가 속출하는 IT 대란이 발생했다. 사진=뉴시스
[파이낸셜뉴스]마이크로소프트(MS) 클라우드와 보안플랫폼 기업 크라우드스트라이크의 업데이트 패치 프로그램의 충돌로 전세계 금융전산망이 ‘먹통’에 빠진 가운데 국내 금융권은 고요했다. MS클라우드를 사용하는 금융회사가 극소수인데다 전자금융감독규정에 따라 패치프로그램의 적용 전 충분한 테스트 의무가 있는 만큼 이번 MS 클라우드 서비스 장애에 따른 정보기술(IT) 대란은 국내 시스템상 발생하기 어려운 사고였다는 분석이다.
다만 이번 MS 클라우드 서비스 장애가 탄력을 받고 있는 망분리 규제 완화 정책에 영향을 주는 것이 아니냐는 우려가 업계에서 나오는 가운데 금융당국은 이번 서비스 장애로 관련 규제 개선 논의가 멈추지 않을 것이라는 입장이다.
22일 금융업계에 따르면 이번 MS클라우드-크라우드스트라이크 프로그램 충돌로 벌어진 국제적인 소동에 휘말린 국내 금융회사는 거의 없다. 일부 금융회사가 MS클라우드를 사용하지만, 보안패치 프로그램인 크라우드스트라이크의 업데이트를 한 곳이 없어 금융전산 장애를 겪지 않은 것이다. 금융보안업계 관계자는 “금융전산 망분리 가이드라인에 따라 우리나라 금융회사들은 패치프로그램 설치 전 충분한 테스트 절차를 거쳐야한다”면서 “해당 프로그램을 사용했다고 하더라도 해외에서 발생한 장애는 테스트 단계에서 걸러낼 수 있었을 것”이라고 설명했다.
실제 금융감독원 ‘전자금융 감독규정 해설’에 따르면 금융회사와 전자금융업자, 전자금융보조업자 등은 전자금융거래법 21조 2항에 따라 전자금융감독규정 제8조~37조를 지켜야한다. 금융회사 등이 전자금융의 안전성과 신뢰성을 확보할 수 있도록 인력과 전자적 장치, 절차 등을 완비해야한다는 규정이다.
특히 8호 규정에 따라 중요도가 높은 시스템 운영체제, 데이터베이스관리프로그램 등의 시스템 프로그램의 변경 또는 패치프로그램 적용 시에는 충분한 테스트를 실시해야 한다. 또 관리 권한을 최소한으로 한정하고, 관리통제를 강화해 업무서비스 장애 발생 가능성 최소화해야 한다.
금융권 관계자는 “다행히 이번 사고에서 국내 금융회사들이 비껴갔지만, 탄력을 받았덤 망분리 규제 완화 움직임이 움츠러 드는 것은 아닐지 우려스럽다”며 “생성형 인공지능(AI)를 업무에 적용하려면 망분리 규제, 특히 기존 서비스형 소프트웨어(SaaS·사스) 사용 범위가 대폭 완화돼야 한다”고 말했다.
김주현 금융위원장은 지난 17일 금융보안원이 주최한 '정보보호의날 기념 금융회사 최고경영자 초청 세미나' 기조연설에서 "지난 10년간 해킹 등 외부위협을 차단하는데 큰 역할을 한 망분리 규제는 유연성을 부여하는 방향으로 단계적 개선을 추진할 것"이라고 강조했다.
금융당국은 생성형 AI의 도입과 클라우드 기반이라는 변화된 IT 환경을 감안해 규제수준에 대한 종합적인 재검토가 필요하다는 입장이다. 이미 지난 4월 금융감독원, 금융보안원, 학계, 업계 전문가가 참여하는 '금융부문 망분리 태스크포스(TF)'를 출범시켰다. TF는 사스(SaaS)의 사용 범위를 확대하는 쪽으로 규제 완화를 검토 완료한 것으로 알려졌다.
TF에 참여한 관계자는 “보안과 사고 방지 등 리스크를 최소화하면서 클라우드나 사스 활용도를 높일 수 있는 다양한 안을 검토했다”면서 “금융당국의 최종 결론만 남았는데 국가정보원 등 다른 기관과 협의 중인 것으로 알고 있다”고 말했다.
금융보안업계 관계자는 “이번 IT대란과 망분리 규제는 직접적인 관계가 없다”면서 “크라우드스트라이크같은 패치 프로그램 도입시 사전 테스트를 충분히 해야하는 상황에서 망분리 규제가 완화돼도 문제될 일은 없을 것”이라고 강조했다.
금융당국 관계자는 “디지털플랫폼정부위원회와 과학기술정보통신부, 국가정보원 등과 금융위의 시기 등의 조율이 남았을 뿐 이번 IT 대란을 이유로 관련 규제 개선 논의가 멈추는 등의 이야기는 들어본 적 없다”고 선을 그었다.
mj@fnnews.com 박문수 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지