[정책·지침 따라잡기] 연구･개발 목적의 망분리 예외 적용에 따른 보안 해설서 #1 - 보안기린

📃 오늘의 정책·지침 따라잡기  

「연구･개발 목적의 망분리 예외 적용에 따른 보안 해설서 (2025.04)」 #1

🧠 범위

Ⅰ 개요

Ⅱ 망분리 예외로 인해 발생될 수 있는 예상 위협

🔍 주요 키워드

- 연구 개발망

- 완화된 망분리 규제

- 그에 따른 보안 위협

📚Ⅰ 개요

2025년 4월 30일에 금융보안원에서 「연구･개발 목적의 망분리 예외 적용에 따른 보안 해설서」를 발표했어요.🙏

[금융보안원 홈페이지]

(URL: https://www.fsec.or.kr/bbs/detail?menuNo=222&bbsNo=11686)

금융권 보안 담당자분들이나, 앞으로 금융권 보안 업무를 꿈꾸는 분들은 꼭 한번 챙겨보셔야 할 가이드예요!

(처음 들어보시는 분들도 계실 테고, 이미 내용 아시는 분들도 있으실 거예요.)

🦒 "하나씩 파악해볼까요?"

🌐 먼저 의문이 드는것은 연구·개발망이란건 왜 생겼을까요?

전자금융감독규정의 규제를 받는 대상인 전자금융업자, 전자금융보조업자는 망분리 규제를 따라야 해요.

아래 법령을 보면 '정보처리시스템의 운영, 개발, 보안 목적으로 직접 접속하는 단말기에 대해서는 인터넷 등 외부통신망으로부터 물리적으로 분리할 것' 이라고 나와 있어요.

🎯 제15조(해킹 등 방지대책)

5. 전산실 내에 위치한 정보처리시스템과 해당 정보처리시스템의 운영, 개발, 보안 목적으로 직접 접속하는 단말기에 대해서는 인터넷 등 외부통신망으로부터 물리적으로 분리할 것(단, 업무 특성상 분리하기 어렵다고 금융감독원장이 인정하는 경우에는 분리하지 아니하여도 된다.) 

쉽게 말하면, 정보처리시스템 관련해서 내가 개발하는 PC는 인터넷이 연결되면 안된다!

(보안은 철저해지지만, 생산성이 좀 떨어지죠.)

그래서 개발자분들은 라이브러리나 패키지 설치할 때 불편함이 있거나, 기술 문서 또는 오픈소스 활용하는데 애로사항이 생길 거예요.

이런 망분리 규제를 좀 완화하려고 '연구·개발망' 이라는 새로운 망이 생긴 거라고 보시면 됩니다!

ex) 망별 정의 및 역할

구분	역할
내부업무망	문서 작성, 메일 등 일반 사무업무
전산망, 중요망	시스템 운영, 보안 관리
연구·개발망	개발, 테스트
인터넷망	웹서핑, 이메일 등 인터넷 접근

🌐 어떤 규제들이 완화 되었을까?

주요 규제 개선 내용을 살펴볼까요 크게 3가지로 가이드에서 말해주고 있습니다. 

아래 연구·개발 분야 망분리 구조도(예시) 그림을 참고하면서 보면 좋을 것 같아요

1. 망간 이동 편의 확대

• 논리적 망분리 허용: 연구·개발망과 내부업무망 간 논리적 망분리 가능.

• 자료 전송 가능: 연구·개발망에서 내부업무망, 전산실로 개발 산출물 전송 가능.

• 🛡️주의: 전산망으로의 전송은 단방향만 허용, 양방향은 불가.

     2. 가명정보 사용 허용

• 개인신용정보 직접 사용 불가.

• 가명 처리된 정보만 연구·개발망 내 활용 가능.

• 🛡️주의: 추가·결합정보는 활용 불가, 개인정보 유형 별 개념 숙지 필요.

     3. 재택근무 허용

• IT개발자 등 연구·개발망을 통한 원격근무 가능. 

• 조건: 자체 위험성 평가 후, 금융감독원이 정한 망분리 대체 보호통제 적용 필수. 

• 참고: 🔗 전자금융감독규정 시행세칙 별표7 – 망분리 대체 정보보호통제

📚Ⅱ 망분리 예외로 인해 발생될 수 있는 예상 위협

🌐 망분리 예외로 생길 수 있는 보안 위협, 뭐가 있을까?

망분리 규제를 조금 완화해서 생산성을 높이려다 보니, 보안성이 약간 낮아지면서 위협이 생길 수 있잖아요. 그럼 어떤 위협들이 있을지 한 번 알아볼까요?

가이드에 따르면 예상되는 주요 위협은 크게 세 가지로 나뉘어요.

① 소스코드 유출 위험
② 취약한 오픈소스 사용으로 인한 금융 사고
③ 외부에서 내부로 유입되는 악성코드

이 위협들의 공통점은 연구·개발망이 외부와 연결을 허용하면서 외부 침입이나 내부 정보 유출로 이어질 수 있는 보안 취약점이 생긴다는 거예요.

🧬 공통 보안 위협 구조

연구·개발망이 외부 인터넷과 연결됨

→ 해커가 인터넷 연결 PC 장악

→ 망연계 솔루션의 제로데이 취약점 악용

→ 내부 폐쇄망까지 침투 가능

특히 연구·개발망이 외부 인터넷과 연결되면, 악성코드가 내부 업무망이나 전산실까지 퍼질 가능성이 있다고 하네요. 망분리가 되어 있다고 해도 절대 안심할 수는 없답니다!

실제 사례를 보면, 인터넷에 연결된 PC가 해커에게 장악된 후, 망연계 솔루션의 제로데이 취약점을 이용해서 폐쇄망까지 침투한 경우도 있었어요.

각 보안 위협 유형 별로 전파 경로와 예상 피해를 읽어보시면서, 이런 보안 홀을 줄일 방법을 같이 고민해보면 좋을 것 같아요!

① 소스코드 유출 위험

② 취약한 오픈소스 사용으로 인한 금융사고

③ 외부에서 내부로 들어오는 악성코드

🔭 다음 장에서는 「연구･개발 목적의 망분리 예외 적용에 따른 보안 해설서 (2025.04)」#2 

'Ⅲ. 연구·개발망 구성 절차와 보안 관리 방안'으로 돌아올게요!