ㅁ [이슈] 최근 미토스 등 고성능 AI의 보안 위협이 심화되면서 글로벌 금융당국의 경계 심이 고조된 가운데, 글로벌 금융권의 네트워크 보안 규제 및 전략 관련 동향을 점검
ㅁ [규제 동향] 주요국 금융당국은 금융기관에 대해 정보 자산의 중요ㆍ위험도에 따라 네트워크 보안 구역을 세분화하고 그에 맞는 다층적인 보안 전략의 적용을 요구. 한편, 물리적 망분리 의무를 일률 부과하는 사례는 없는 것으로 조사
ㅇ (미국) 연방금융기관검사협의회(FFIEC)는 금융기관의 경영진이 다양한 접근 통제를 통해 네트워크를 관리할 것을 권고하고 있으며, 물리적 망분리에 대한 요구는 없음
ㅇ (EU) EU는 디지털운영복원력법(DORA) 하에서 금융기관이 침해 및 데이터 오남용으로부터 네트워크를 보호하기 위한 조치의 일환으로 망분리(segregation) 및 세분화(segmentation)를 요구
ㅇ (기타) 그 외 영국, 호주, 캐나다, 일본, 싱가포르 등의 금융당국도 금융기관에 물리적 망분리를 의무적으로 요구하지는 않는 것으로 파악
ㅁ [전략 동향] 클라우드ㆍAI 확산으로 사이버 보안 위협이 진화함에 따라 은행 등 금융권 보안 전략은 기존의 ‘경계 기반’ 보안에서 ‘제로 트러스트’ 보안으로 전환되는 추세. 아울러 AI 기반의 방어 체계 마련도 중요한 전략 과제로 부상
ㅇ 기존의 보안 모델은 대부분 ‘안전한 경계의 내부(내부망)는 신뢰할 수 있다는 전제’를 기반으로 설계되었으나, 해당 방식은 현대의 고도화된 사이버 위협에 대응하기에 한계
- 제로 트러스트는 △신뢰하지 않고 지속 검증 △최소 권한 부여 △침해 가정 이라는 주요 원칙에 기반하며, 망 세분화는 동 전략 구현의 핵심
ㅇ 해외 은행들은 최첨단 AI의 빠르고 고도화된 공격을 방어 및 탐지하기 위한 AI 기반의 방어 체계를 구축하기 위해 노력
ㅁ [평가] 글로벌 금융당국 및 금융권은 변화하는 사이버 위협 환경에 유연하게 대응할 수 있도록 규제 체계와 보안 정책을 지속적으로 고도화할 필요