금융권 망분리 예외 적용, 안전한 연구개발을 위한 대체 통제 보안 해설서

금융보안원이 2025년 4월에 발행한 「연구·개발 목적의 망분리 예외 적용에 따른 보안 해설서」에 대한 요약입니다. 👇

📘 문서 개요 및 목적

• 제목: 연구･개발 목적의 망분리 예외 적용에 따른 보안 해설서
• 발행처: 금융보안원 보안연구부
• 발행일: 2025년 4월
• 목적
  • 연구･개발 목적의 망분리 예외 적용 시 보안 위험을 사전에 인지
  • 금융회사 등의 이해를 돕고 안전한 연구･개발망 운영을 위한 보안 대책 가이드라인 제공
  • 해당 해설서는 법적 구속력은 없으며, 참고 자료로 활용

🧩 배경 및 정의

▍연구･개발망 정의

• 목적: 프로그램 개발(코딩, 테스트), AI 및 SaaS 기반 연구･개발 수행
• 구성: 금융회사 내부업무망 및 전산실, 외부망과 논리적으로 분리된 독립망

▍망분리 관련 주요 규제 개선사항

• 망간 이동 허용:
  • 연구･개발망 ↔ 내부업무망 간 논리적 망분리 허용
  • 연구･개발 결과물(소스코드 등)의 전산실로 전송 허용
• 가명정보 사용 허용:
  • 가명처리된 개인신용정보만 연구･개발망 내 사용 가능
• 재택근무 허용:
  • 연구･개발망을 통한 개발자 재택근무 가능

⚠️ 단, 위 예외 허용은 강화된 보안 대책 마련을 전제로 함

🚨 예상 보안 위협 분석

① 소스코드 및 정보 유출

• 인터넷 연결 시 악성코드 감염, 설정 오류, 내부자 유출 등으로 인한 중요 정보 유출
• 유출된 소스코드는 공격자의 금융서비스 침해 도구로 악용될 수 있음

② 오픈소스 취약점 이용

• 취약한 오픈소스를 검증 없이 사용할 경우, APT 공격, 인증 우회 등 금융사고 위험

③ 내부망으로 침해 확산

• 연구･개발망이 인터넷에 연결되면서, 위협이 내부업무망으로 확산될 수 있음
• 전산실로 이동 시 적절한 보안 통제가 없으면 악성코드 전파 가능성

🏗️ 연구·개발망 구성 절차

▍1) 활용 범위 판단

• 허용 업무: 코딩/테스트, AI, SaaS 기반 연구개발
• 금지: 실데이터 테스트 및 실제 서비스 제공
• 전산실 전송 원칙: 인가된 서버 간 단방향 통신
• 예외적 전송 시: CISO 승인 및 정보보호위원회 의결 필요

▍2) 자체 위험성 평가

• 자사 환경 기반 위협 식별 및 평가
• 최신 취약점과 보안사고 사례 반영 필요

▍3) 보호대책 및 통제

• 「전자금융감독규정 시행세칙」 기반 망분리 대체 통제 적용
• 유해 사이트 차단, 단말 보호, 소스코드 보호, 침해 대응 포함

▍4) 정보보호위원회 의결

• 보호대책의 적정성 검토 및 정기적인 재평가 권고
• 연 1회 이상 모의해킹 포함한 평가 권장

300x250

🛡️ 세부 보안 관리 방안

🧷 독립 네트워크 구성

• 내부망 자원 활용 금지
• 클라우드 구성 시 관련 규정 준수
• 무선통신 시 접속 차단/인증/암호화 필수

🧷 단말기 및 시스템 보호

• 인가된 단말기만 접근 허용, 논리적 분리 적용
• 문서 암호화 저장, 실데이터 사용 금지

🧷 가명정보 보호

• 재식별 가능성 모니터링 및 삭제 조치 필요

🧷 침해사고 대응

• 보안관제 포함, 인터넷 로그 및 파일 이력 기록
• 사고 발생 시 디지털 증거 보존 및 비상 대응 절차 운영

🧷 소스코드 보호

• 접근제어, MFA, 감사로그, 무결성 점검, 오픈소스 검증 필요
• 저장소에 대한 최소 권한 원칙 및 취약성 점검 프로세스 마련

🔄 구간별 보호 대책

구간	보안대책 요약
논리적 망분리 (연구 ↔ 내부망)	인가된 단말기만 접근, 데이터 이동 기록, 악성코드 점검
망간 전송 (연구망 → 전산실)	단방향 통신 원칙, 소스코드 무결성 검증, 시큐어코딩 점검
외부 연결 (인터넷, 재택 등)	외부 접근 제한, SaaS/AI 이용 시 규정 준수, 비업무 사이트 차단

📌 연구･개발망의 정의 및 주요 규제 개선 내용

• 정의: 프로그램 개발(코딩, 테스트) 및 AI, SaaS를 활용한 연구･개발을 위해 금융회사의 내부업무망･전산실, 외부망으로부터 독립적으로 구성된 망을 의미합니다.
  • 주요 규제 개선: 망간 이동 편의 확대: 연구･개발망과 내부업무망 간 논리적 망분리 허용, 연구･개발 결과물(소스코드 등)의 연구･개발망에서 전산실로의 망간 전송 허용. "망분리 예외 허용에 따른 강화된 보안대책 마련"이 필요함을 명시하고 있습니다.
  • 가명정보 허용: 개인신용정보 활용은 불가하나, 가명 처리한 개인신용정보에 한해 연구･개발망에서 활용 가능.
  • 재택근무 허용: 연구･개발망을 통한 IT개발자 등의 재택근무 허용.

📌 망분리 예외로 인해 발생될 수 있는 예상 위협

망분리 예외로 인해 외부 인터넷 상시 연결 및 오픈소스 활용이 증가하면서 다음과 같은 위험이 예상됩니다.

• ① 소스코드 등 정보 유출: 개발 시스템의 외부 인터넷 연결, 악성코드 감염, 시스템 설정 오류, 퇴직 직원의 무단 유출 등으로 인해 소스코드, 코드서명 인증서 등 중요 정보가 유출될 위험이 있습니다. 유출된 소스코드는 공격자가 취약점을 파악하여 금융서비스 공격에 활용할 수 있습니다.
• ② 오픈소스 등 취약한 소스코드 사용으로 인한 금융사고: 보안 취약점이 존재하는 오픈소스를 검증 없이 활용하거나 악성코드가 삽입된 오픈소스 사용으로 인해 인증우회, APT 공격 등 금융사고가 발생할 수 있습니다.
• ③ 내부로 침해위협 전파: 연구･개발망의 인터넷 연결로 인한 외부 침해 위협이 연구･개발망을 경유하여 내부업무망･전산실로 유입될 수 있습니다. "연구･개발망과 내부업무망･전산실 간 데이터 이동 시 보안 관리가 미흡할 경우 연구･개발망으로 유입된 악성코드 등이 내부까지 전파"될 위험이 있습니다.

📌 연구·개발망 구성 절차 및 보안관리 방안

안전한 연구･개발망 구성을 위해 다음의 절차 및 보안 관리 방안을 제시합니다.

• 구성 절차: ① 연구･개발망 활용범위 판단 → ② 자체 위험성 평가 → ③ 정보보호통제 및 추가 보호대책 적용 → ④ 정보보호위원회 의결 순으로 진행됩니다.
• 연구･개발망 활용 범위 판단: 금융서비스의 개발(코딩, 테스트), AI 및 SaaS 활용 연구･개발 업무에 한해 수행 가능하며, 실 데이터 활용 테스트 및 실제 서비스 제공은 불가합니다. 가명처리된 개인신용정보 활용은 가능하나 관련 법령 준수 및 보호대책 적용이 필요합니다. 연구･개발 결과물(소스코드 등)의 전산실 전송은 인가된 서버 간 단방향 통신을 원칙으로 하며, 예외적인 경우 CISO 승인 및 정보보호위원회 의결이 필요합니다.
• 자체 위험성 평가: 금융회사 등은 자사의 환경을 고려하여 예상되는 보안 위협을 식별하고 위험성을 평가해야 합니다. "위험성 평가 시 최근 보안 취약점 및 보안사고 사례 등을 고려하여 망분리 예외에 따른 보안사고 발생 가능성을 다각도로 검토"할 것을 권고합니다.
• 정보보호통제 및 추가 보호대책 적용:「전자금융감독규정 시행세칙」에 명시된 망분리 대체 정보보호통제를 이행하고, 자체 위험성 평가 결과에 따라 도출된 위험을 완화하기 위한 추가 보호대책을 적용해야 합니다. (유해 사이트 차단, 독립적 네트워크 구성, 단말기 및 시스템 보호대책, 중요정보 처리 모니터링, 침해사고 예방 및 대응, 중요 소스코드 관리 등)
• 정보보호위원회 의결: 자체 위험성 평가 결과 및 적용된 보호대책의 적정성에 대해 정보보호위원회 의결을 거쳐야 하며, 정기적인 위험성 평가(연 1회 정기 모의해킹 포함) 및 구성 변경 시 재의결을 권고합니다.
  • 연구･개발망 구성 및 보안관리 방안 (세부 보호대책):독립적인 네트워크 구성: 내부망 자원 활용은 불가하며, 인터넷망에서 활용 중인 정보보호 시스템은 활용 가능합니다. 연구･개발망의 보안 위협이 내부망에 미치는 영향이 최소화되도록 구성해야 합니다. 실제 서비스 제공 시스템은 위치 불가하며, 클라우드 환경 구축 시 관련 규정을 준수해야 합니다. 무선통신망 사용 시 내부망과 분리, 접속 차단 시스템 구축, 인증 및 암호화 등 보안 대책 적용이 필요합니다.
  • 단말기 및 시스템 보호대책: 인가된 대상만 접근 허용하며, 내부업무망 단말기에서 논리적 분리를 통한 접속은 가능합니다. 실제 서비스 운영에 사용되는 중요 정보 활용은 금지하며, 실 데이터 활용 테스트 및 실제 서비스 제공은 처리 금지합니다. 연구･개발 문서 작성 및 저장 시 문서보안(암호화)이 필요합니다.
  • 가명정보 활용에 대한 보호대책: 연구･개발 목적으로만 활용 가능하며, 관련 법령을 준수하고 재식별 가능성 모니터링 및 삭제 조치가 필요합니다.
  • 침해사고 예방 및 사고대응 대책: 연구･개발망을 보안관제 범위에 포함하고 모니터링 결과를 주기적으로 검토해야 합니다. 인터넷 접속 기록 및 주요 파일 업로드･다운로드 내역을 보관하고 검토해야 합니다. 소스코드 유출 등 보안사고 발생에 대비한 대응 절차를 마련해야 하며, 사고 발생 시 디지털 증거 보존 및 긴급 대응 절차를 이행해야 합니다.
  • 소스코드 등 보호대책: 중요 소스코드는 강화된 통제 조치(접근 제한, 인증 강화, 기록 관리 등)를 권고하며, 소스코드 저장소 구성 시 보안 고려사항(최소 권한 부여, 민감 정보 점검, MFA 지원, 감사로그 생성, 취약성 점검 등)을 제시합니다. 오픈소스 소프트웨어의 안전한 활용 및 데이터 외부 반출 엄격 통제, 무단 공개 시 대응 절차 마련을 강조합니다.
  • 논리적 망분리(내부업무망↔연구·개발망) 구간 보호대책: 인가된 사용자(단말기)만 접근 통제하며, 데이터 이동 내역 기록, 악성코드 감염 여부 점검 등 보호대책을 적용하고 모니터링해야 합니다.
  • 망간 전송 허용(연구·개발망→전산실) 구간 보호대책: 연구･개발망의 인가된 서버(형상관리 서버)만 전산실에 접속 가능하며, 서버 간 단방향 통신을 원칙으로 합니다. 소스코드 등 데이터 전송 시 시큐어코딩 점검 및 소스코드 무결성 검증 등 강화된 보호대책 적용이 필요합니다.
  • 외부연결 구간 보호대책: 원격 접속(재택 등) 시 보호대책 수립･적용이 필요하며, 기존 인터넷망 단말기에서의 접근은 불가합니다. 인터넷 등 외부 접속 허용 범위 및 절차를 마련하고, 연구･개발과 무관하거나 악용될 수 있는 웹사이트 접속 차단을 권고합니다. SaaS, 생성형 AI 이용 시 관련 규정 준수 및 보호대책 적용이 필요합니다.

 

결론적으로, 본 해설서는 금융분야 연구･개발 목적의 망분리 예외 허용에 따른 보안 위험을 사전에 인지하고, 금융회사 등이 안전하게 연구･개발망을 구성 및 운영할 수 있도록 구체적인 절차와 보안 대책을 제시하여 관련 규제 준수 및 금융 안정성 확보에 기여하고자 합니다. 법적 구속력은 없으나, 금융회사들의 보안 관리 역량 강화에 실질적인 도움을 제공하는 것을 목표로 합니다.

연구･개발망 구성 및 보안관리 방안

(붙임) 연구･개발 목적의 망분리 예외 적용에 따른 보안 해설서 fn.pdf

0.98MB

출처 : 금융보안원