[정책·지침 따라잡기] 연구・개발 목적의 망분리 예외 적용에 따른 보안 해설서 #2

보안기린
보안기린
Update:

 



📃 오늘의 정책·지침 따라잡기  
「연구・개발 목적의 망분리 예외 적용에 따른 보안 해설서 (2025.04)」 #2




🧠 범위
Ⅲ. 연구·개발망 구성 절차 및 보안관리 방안 - 연구・개발망 구성 절차




🔍 주요 키워드
1. 연구·개발망 활용 범위 판단
2. 자체 위험성 평가
3. 정보보호통제 및 추가 보호대책 적용
4. 정보보호위원회 의결




📚 Ⅲ. 연구·개발망 구성 절차 및 보안관리 방안 - 연구・개발망 구성 절차




📢 연구·개발망 구성은 다음과 같은 4단계 절차를 순차적으로 진행해야 합니다.

1. 연구·개발망 활용범위 판단

2. 자체 위험성 평가 수행

3. 정보보호통제 및 추가 보호대책 수립·적용

4. 정보보호위원회 심의·의결




🔍 1. 연구·개발망의 활용 범위

✅ 어떤 업무가 가능한가요?

연구·개발망에서는 크게 두 가지 업무만 허용되고 있습니다.


바로 금융서비스의 개발(코딩이나 테스트) 그리고 AI나 SaaS를 활용한 연구·개발(R&D) 업무인데요.

즉, 내부적으로 새로운 서비스를 만들기 위한 프로그래밍, 기능 테스트, 머신러닝 모델 훈련 같은 활동은 허용된다는 뜻입니다.


단, 그 외의 업무에 대해서는 각 금융회사가 자체적으로 정의하고 통제해야 하니 기관마다 조금씩 기준이 다를 수도 있습니다.



❌ 어떤 업무는 하면 안 되나요?

사용이 제한되는 대표적인 사례는 다음과 같습니다.

  • 실제 고객 데이터(실 데이터)를 이용한 테스트
  • 외부인을 대상으로 서비스하는 시범 서비스, 베타 테스트
  • 서비스 기획이나 설계 업무

이 중 기획·설계는 원칙적으로 연구·개발망에서 수행이 금지돼 있지만, 정말 불가피한 경우에는

보안 대책을 세운 뒤 정보보호위원회의 승인을 받아야만 사용할 수 있어요.



🧩 가명정보는 사용할 수 있나요?

네, 사용할 수 있습니다.

다만 연구 목적에 한해서만 가명처리된 개인신용정보를 사용할 수 있고요, 반드시 다음 기준을 따라야 합니다.

  • 「신용정보법」 등 관련 법령

  • 「금융분야 가명정보 처리 안내서」에 따른 안전한 처리 절차

즉, 연구 목적으로도 개인정보보호는 철저히 해야 한다는 원칙은 그대로 유지되는 거죠.


🔁 다른 망과 자료를 주고받을 수 있나요?

가능은 한데, 엄격한 조건이 붙습니다.

  • 연구·개발망에서 전산실로 결과물(예: 소스코드)을 보낼 때는 반드시 인가된 형상관리 서버만 제한적으로 가능해요.

  • 서버 간 연결은 단방향 통신이 원칙입니다. (연구망 → 전산실만 가능)

  • 단, 전산실 → 연구망 방향의 통신이 꼭 필요하다면 CISO(최고정보보호책임자)의 승인을 받아야 해요.

  • 그리고 보안이 취약한 파일전송 프로토콜(예: FTP)이나 원격접속 방식은 사용할 수 없습니다.




🔍 2. 자체 위험성 평가

연구·개발망을 도입하시기 전에 꼭 해야 하는 것이 바로 자체 위험성 평가입니다.

쉽게 말하면, "이런 구성으로 우리가 망을 만들면 어떤 보안 문제가 생길 수 있을까?"를 미리 따져보는 거예요.


🔥 어떤 위험이 있을까요?

다음과 같은 위협들이 발생할 수 있습니다.

  • 소스코드 유출
    → 공격자가 이를 분석해서 시스템 취약점을 찾을 수 있어요.

  • 검증되지 않은 오픈소스 사용
    → 보안 점검 없이 사용하면, 금융사고로 이어질 수도 있습니다.

  • 인터넷 연결을 통한 악성코드 감염 위험

  • 연구망을 통해 업무망이나 전산실까지 침해가 확산될 가능성


👉 이 평가에서는 단순히 문서 몇 장 작성하는 수준이 아니라, 최근 해킹사례나 보안 사고를 반영해서 실질적인 분석을 하셔야 합니다.


🔍 3. 정보보호통제 및 추가 보호대책 수립·적용

연구·개발망에 대한 보안통제는 전자금융감독규정 시행세칙에 기반해 구성해야 해요.


📋 기본적인 정보보호통제 내용은요?

  • 외부 인터넷 통제 (유해사이트 차단 등)

  • 연구망과 내부망은 독립된 네트워크로 분리

  • 단말기 및 시스템 보안조치와 개인정보 모니터링

  • 침해사고 예방 및 대응 계획 수립

  • 중요 소스코드의 외부 유출 방지 및 망간 전송 통제


➕ 추가 보호대책이 필요한 경우도 있어요

기본적인 보안통제 외에도, 자체 위험성 평가 결과에 따라 추가 보완조치가 필요할 수 있습니다.

  • 사용자별 접근통제 및 행동 모니터링 강화

  • 가명정보 활용에 따른 추가 보안대책 적용

  • 논리적 망분리를 구성했다면 그에 맞는 추가 보호조치도 함께 적용


🛡️ 핵심은, 식별된 위험을 실제로 제어할 수 있도록 보안수단이 충분한지를 끝까지 점검하는 겁니다.



🔍 4. 정보보호위원회 심의·의결

마지막 단계는 바로 정보보호위원회의 공식적인 승인입니다.
연구·개발망을 그냥 설치해서는 안 되고, 반드시 내부 심의 절차를 거쳐야 해요.


📌 위원회에서 검토하는 내용은?

  • 연구·개발망의 활용 범위가 적절한가?

  • 망간 자료 전송 방식은 안전한가?

  • 위험성 평가와 보호대책이 충분한가?

  • 필요한 보완조치까지 잘 이행되었는가?


이런 항목들을 위원회에서 꼼꼼히 살펴보고, 정식 의결을 통해 운영을 허가하게 됩니다.


🔄 이후에는 어떻게 관리하나요?

  • 연구·개발망을 구성한 뒤에도 정기적인 위험성 평가와 모의해킹(연 1회 이상)이 권장됩니다.

  • 망 구성이나 보호대책에 중대한 변경이 생기면 위원회의 재심의가 필수입니다.




🔭 다음 장에서는 「연구・개발 목적의 망분리 예외 적용에 따른 보안 해설서 (2025.04)」 #3

'Ⅲ. 연구·개발망 구성 절차와 보안 관리 방 - 2. 연구・개발망 구성 및 보안관리 방안'으로 돌아올게요



이전최근

Related Posts

로드 중…

댓글 쓰기