망분리 완화와 SaaS 개방 — 규제는 풀렸는데, 보안은 누가 책임지나

1. 13년 만의 변화 — 망분리는 왜 풀렸나

한국 금융권의 물리적 망분리는 2013년 3월 전산망 마비 사태 이후 의무화됐습니다. 외부 인터넷과 내부 업무망을 물리적으로 갈라놓는 이 규제는 "벽만 잘 지키면 된다"는 보안 철학의 상징이었고, 외부 침입을 막는 효과는 분명했습니다.

그러나 시간이 지나며 부작용이 커졌습니다. 클라우드·SaaS·생성형 AI 같은 신기술이 표준이 된 시대에, 모든 업무 단말을 외부와 단절시키는 한국식 망분리는 글로벌 흐름과 동떨어진 '갈라파고스 규제'라는 비판을 받았습니다. 직원들은 가장 흔한 협업·문서 도구조차 내부망에서 쓰지 못했고, 그 비효율은 고스란히 비용과 경쟁력 저하로 돌아왔습니다.

금융당국은 이 문제를 인식하고 단계적 개선에 착수했습니다. 「금융분야 망분리 개선 로드맵」(2024년)에서 방향을 제시한 뒤, 시행세칙 개정으로 이를 제도화했습니다. 핵심은 망분리를 '폐지'한 것이 아니라, 위험이 낮은 영역에 한해 대체 통제를 갖추는 조건으로 예외를 허용한 것입니다.

2. 무엇이 바뀌었나 — 2026년 시행세칙 개정의 실체

이번 변화의 법적 근거는 「전자금융감독규정 시행세칙」 개정입니다. 절차와 시점은 다음과 같습니다.

• 2026년 1월 20일 — 금융위원회·금융감독원이 시행세칙 개정안을 사전예고했습니다.
• 2026년 4월 20일 — 규제개혁위원회 심사를 거쳐 개정 시행세칙이 개정·시행됐습니다.

가장 큰 변화는 도입 절차의 간소화입니다. 종전에는 내부망에서 SaaS를 쓰려면 혁신금융서비스(규제 샌드박스) 지정이라는 별도 심사를 거쳐야 했지만, 이제는 일정한 보안 규율을 준수하는 것을 전제로 별도 심사 없이 내부 업무망에서 SaaS를 이용할 수 있습니다.

다만 모든 SaaS가 열린 것은 아닙니다. 개방 대상은 위험도가 상대적으로 낮은 업무지원 도구입니다.

• 문서 작성·편집
• 화상회의
• 협업·메신저
• 일정·성과관리

3. 무엇이 여전히 막혀 있나 — 풀린 영역과 막힌 영역

이번 완화는 '제한적 개방'입니다. 민감정보를 다루는 핵심 시스템은 여전히 기존 망분리 규제의 적용을 받습니다. 풀린 영역과 막힌 영역을 명확히 구분하는 것이 컴플라이언스의 출발점입니다.

정리하면, 고유식별정보나 개인신용정보를 처리하는 시스템, 코어뱅킹과 대고객 서비스 영역은 여전히 망분리 규제를 적용받습니다. 가명정보 활용도 종전처럼 별도 절차가 필요합니다. 따라서 SaaS 도입을 검토할 때는 "이 서비스가 어떤 데이터를 어디서 처리하는가"를 먼저 따져야 합니다. 정확한 적용 범위는 관련 고시 기준에 따릅니다.

4. 핵심은 별표7 — 망분리 대체 정보보호통제

이번 개정의 진짜 무게중심은 '개방'이 아니라 '대체 통제'에 있습니다. 시행세칙 '별표7 망분리 대체 정보보호통제'는, 예외를 허용받는 대가로 더 엄격한 통제를 의무화합니다. 즉 벽을 허무는 대신 그 자리에 더 정교한 통제 체계를 세우라는 것입니다. 핵심 요건은 다음과 같습니다.

여기서 주목할 점은 마지막 항목입니다. 반기 1회 자체평가와 CISO 보고는, 통제를 한 번 갖추는 데서 끝나지 않고 지속적으로 점검·증빙해야 한다는 의무를 부과합니다. 통제의 존재 여부가 아니라 통제가 실제로 작동하고 있다는 '증적'이 요구되는 것입니다.

5. 패러다임 전환 — Rule-based에서 결과책임으로

이번 변화의 본질은 규제 완화가 아니라 규제 철학의 전환입니다. 규칙을 지키면 끝나던 규제중심(Rule-based) 모델에서, 스스로 위험을 평가하고 통제를 설계하며 그 결과까지 책임지는 자율보안(Principle-based)·결과책임 모델로 무게중심이 옮겨갔습니다.

두 모델의 차이는 사고가 났을 때 가장 극명하게 드러납니다.

핵심은 이것입니다. 이제 보안 수준을 결정하는 건 규정집이 아니라 각 조직의 설계 역량입니다. 자유를 얻은 만큼 책임도 함께 넘어왔습니다.

6. 실무 시사점 — 사고가 나면 무엇으로 소명하나

결과책임 시대에 사고가 발생하면, 더 이상 "규정은 지켰다"가 방패가 되지 않습니다. 당국과 이해관계자 앞에서 조직은 다음을 소명해야 합니다 — "우리가 어떤 위험을 식별했고, 어떤 통제를 설계했으며, 왜 그것이 합리적이었는지". 이는 곧 자산 가시성·위험 수치화·통제 증빙이 보안의 새로운 언어가 됐다는 뜻입니다.

그래서 SaaS 도입에 앞서 다음을 점검할 것을 권합니다.

1. 대상 적격성 확인 — 도입하려는 SaaS가 금융보안원 평가를 통과했는지, 다루는 업무·데이터가 개방 대상에 해당하는지 확인합니다.
2. 자산·데이터 흐름 매핑 — 어떤 데이터가 어느 SaaS를 거쳐 어디서 처리·저장되는지 가시화합니다. 보이지 않는 자산은 통제할 수 없습니다.
3. 접근통제 설계 — 단말 보호, 안전한 인증, 최소 권한 부여를 정책으로 구현하고 예외를 관리합니다.
4. 상시 모니터링 체계 — 중요정보의 입력·처리·유출을 실시간으로 관찰하고 이상 징후를 탐지·차단합니다.
5. 경계·암호화 적용 — 허용되지 않은 외부 접근을 차단하고 네트워크 구간을 암호화합니다.
6. 증적 자동화 — 반기 자체평가와 CISO 보고에 대비해, 통제별 로그·리포트가 상시 산출되는 체계를 갖춥니다.

마치며 — 가디언넷의 관점

망분리 완화는 규제 완화이기 이전에 책임의 이전입니다. 빗장이 풀린 자리에서 보안 수준을 결정하는 건 이제 규정집이 아니라 조직의 설계 역량입니다. 가디언넷은 클라우드 보안과 APT 대응을 전문으로, 금융·공공 분야의 다양한 환경에서 통제 설계와 증적 체계를 함께 세워 왔습니다. 특정 제품에 종속되지 않는 원리 중심의 접근으로, 어떤 위험을 어디서부터 통제하고 무엇으로 증명할지 — 그 판단을 함께 세우는 것이 우리의 역할입니다.

참고 자료

• 금융위원회·금융감독원, 「전자금융감독규정 시행세칙」 개정(2026.1.20 사전예고 → 2026.4.20 시행) — 내부 업무망 SaaS 망분리 예외 및 별표7 망분리 대체 정보보호통제
• 금융위원회, 「금융분야 망분리 개선 로드맵」(2024)
• 업계 보도 및 법무법인 해설(2026) — 자율보안·결과책임 패러다임 전환 관련