보안 전략

망분리는 끝났다 — SaaS 시대, 서버보안은 무엇으로 다시 세워야 하는가

2026년 4월 20일, 금융권 보안의 한 시대가 막을 내렸습니다. 13년간 한국 금융 보안의 근간이었던 '물리적 망분리'에 공식적인 예외가 생겼고, 금융회사는 이제 내부 업무망에서 SaaS를 자유롭게 쓸 수 있습니다. 빗장은 풀렸습니다. 그런데 — 벽이 사라진 자리를 무엇으로 지킬 것인가요?
📌 3줄 요약
  • 규제가 바뀌었습니다. 내부망 SaaS 사용이 합법화되면서, 보안 모델이 "벽으로 막는 망분리"에서 "스스로 통제하고 결과를 책임지는 자율보안"으로 전환됐습니다.
  • 위협의 성격도 바뀌었습니다. 경계가 사라진 환경에서 핵심 리스크는 '외부 침입'이 아니라 취약점이 공격으로 무기화되는 속도 — 발견과 대응 사이의 시간 격차입니다.
  • 해답은 단일 제품이 아닌 계층입니다. ① 패치 전 공백을 막는 가상패치(선제 차단), ② 실행 단계를 보는 EDR(탐지·대응), ③ 이 모든 걸 묶는 통합 플랫폼(XDR·CREM) — 세 개의 방어선이 서로의 사각지대를 메워야 합니다.
이 글은 가디언넷 〈SaaS 시대의 서버보안〉 시리즈의 기둥글입니다. 각 방어선의 상세 분석은 글 하단 〈시리즈 안내〉의 6편에서 이어집니다.

1. 빗장이 풀렸다 — 망분리 규제 완화의 실체

한국 금융권의 망분리는 2013년 3월 전산망 마비 사태 이후 의무화됐습니다. 외부 인터넷과 내부 업무망을 물리적으로 갈라놓는 이 규제는 오랫동안 "벽만 잘 지키면 된다"는 보안 철학의 상징이었습니다. 효과는 분명했지만, 시간이 지나며 클라우드·생성형 AI 같은 신기술 도입을 가로막는 '갈라파고스 규제'라는 비판도 함께 커졌습니다.

그리고 2026년, 변화가 현실이 됐습니다.

  • 2026년 1월 20일 — 금융위원회·금융감독원이 「전자금융감독규정 시행세칙」 개정안을 사전예고(1.20~2.9)했습니다.
  • 2026년 4월 20일 — 규제개혁위원회 심사를 거쳐 개정 시행세칙이 개정·시행됐습니다.

핵심은 이렇습니다. 금융회사·전자금융업자는 일정한 보안 규율을 준수하는 것을 전제로, 별도의 혁신금융서비스(규제 샌드박스) 심사 없이 내부 업무망에서 SaaS를 이용할 수 있게 됐습니다. 문서작성, 화상회의, 협업, 일정·성과관리 같은 업무지원 도구가 그 대상입니다.

다만 빗장이 전부 풀린 건 아닙니다. 고유식별정보나 개인신용정보를 처리하는 시스템 — 코어뱅킹과 대고객 서비스 영역은 여전히 망분리 규제를 적용받습니다. 가명정보 활용 역시 종전처럼 별도 절차가 필요합니다.

가장 중요한 변화는 규제 철학 그 자체입니다. 개정안은 '별표7 망분리 대체 정보보호통제'를 통해, 예외를 허용받는 대가로 더 엄격한 통제를 의무화했습니다.

  • 침해사고대응기관(금융보안원) 평가를 통과한 SaaS만 이용
  • 접속 단말기 보호대책, 안전한 인증, 최소 권한 부여 등 접근통제
  • 중요정보 입력·처리·유출에 대한 상시 모니터링과 통제
  • 허용되지 않은 외부 인터넷 접근 차단, 네트워크 구간 암호화
  • 이행 여부를 반기 1회 자체 평가하고 정보보호위원회(위원장: CISO)에 보고

규칙을 지키면 끝나던 규제중심(Rule-based) 모델에서, 스스로 위험을 평가하고 통제를 설계하며 그 결과까지 책임지는 자율보안(Principle-based)·결과책임 모델로 — 패러다임이 통째로 바뀐 것입니다.

실무 포인트. 사고가 나면 더 이상 "규정은 지켰다"가 방패가 되지 않습니다. "우리가 어떤 위험을 식별했고, 어떤 통제를 설계했으며, 왜 그것이 합리적이었는지"를 소명해야 합니다. 이는 곧 자산 가시성·위험 수치화·통제 증빙이 보안의 새로운 언어가 된다는 뜻입니다.

2. 경계가 사라진 자리 — 무엇이 바뀌었나

망분리 시대의 보안은 단순했습니다. 안전한 내부망과 위험한 외부망 사이에 벽을 세우고, 그 벽만 지키면 됐습니다. 서버도 DB도 단말도 모두 '벽 안쪽'에 있었으니까요. 경계가 곧 보안이었습니다.

SaaS가 열리면 이 구도가 무너집니다. 업무 데이터가 M365·협업툴·클라우드 콘솔을 오가고, 직원 단말은 내부망과 외부 SaaS에 동시에 접속합니다. '안쪽'과 '바깥쪽'의 구분이 흐려지면서, 방어해야 할 표면(attack surface) 자체가 폭발적으로 늘어납니다.

새로 열린 위협의 입구는 대표적으로 셋입니다.

  • Shadow IT — IT 부서가 인지하지 못한 비인가 SaaS의 무분별한 사용. 보이지 않는 자산은 지킬 수 없습니다.
  • 계정·권한 탈취 — 경계가 없으니 '누가 접속했는가'가 곧 방어선입니다. 한 계정이 뚫리면 내부 이동(lateral movement)으로 번집니다.
  • 장기 잠복형 위협(APT) — 벽이 막아주던 것을, 이제는 행위 기반으로 잡아내야 합니다.

핵심 통찰은 이것입니다. 경계가 없어졌다는 건, 모든 표면이 위협의 입구가 됐다는 뜻입니다. 더 이상 "어디를 지킬까"가 아니라 "모든 곳에서, 어떻게 빠르게 탐지하고 차단할까"의 문제로 바뀝니다.

3. 진짜 문제는 '속도' — AI 시대의 공격–방어 비대칭

표면이 넓어진 환경에서 공격자가 가장 많이 노리는 입구는 취약점(Vulnerability)입니다. 주요 침해 조사들이 공통적으로 가리키는 방향은 명확합니다. 알려진 취약점을 통한 '시스템 침입형' 공격이 전체 공격의 가장 큰 비중을 차지하며, 그 비중은 해가 갈수록 커지고 있습니다. 취약점은 이제 예외적 경로가 아니라 공격의 표준 입구입니다.

여기에 AI가 비대칭을 키웁니다.

  • 방어자에게도, 공격자에게도 AI는 코드와 바이너리를 자동으로 분석해 취약점을 대량으로 찾아냅니다.
  • 문제는 속도의 격차입니다. 취약점이 공개(CVE)되고 나서 공격자가 이를 무기화하는 데 걸리는 시간은 점점 짧아지는 반면, 조직이 영향 자산을 파악하고 공식 패치를 검증·배포하는 데는 여전히 수 주에서 수 개월이 걸립니다.
  • 그 사이에 벌어지는 '패치 공백(patch gap)' 동안 자산은 무방비로 노출됩니다.

조직의 패치 사이클이 AI의 발견 속도를 따라잡는 건 구조적으로 불가능합니다. 그래서 시대의 질문이 바뀝니다. "어떻게 더 빨리 패치할까"가 아니라 — "패치하기 전, 그 공백을 무엇으로 메울까".

결국 이 시리즈가 말하려는 한 문장은 이것입니다. 경계가 무너졌고(왜 지금) → 발견과 대응의 속도 격차가 핵심 리스크가 됐으며(진짜 문제) → 이 격차는 계층적 방어로만 메울 수 있다(해답).

4. 격차를 메우는 3개의 방어선

속도 격차를 한 방에 없애는 단일 제품은 없습니다. 대신 서로 다른 시점에서 작동하는 세 개의 방어선이 필요합니다.

🛡️ 1선 — 가상패치(Virtual Patch): 패치 전 공백을 막는 선제 차단

가상패치는 공식 보안 패치가 적용되기 전에, 네트워크·커널 레벨에서 익스플로잇 시도 자체를 차단하는 기술입니다. 호스트 기반 침입방지(HIPS/IPS Agent)가 취약점을 겨냥한 트래픽을 가상의 보호막으로 막아냅니다.

  • 무엇을 해결하나 — 패치 검증·배포에 걸리는 시간 동안의 '패치 공백'을 메웁니다. 패치를 못 하는 환경(EoS·레거시·서비스 연속성이 중요한 업무 서버)에도 적용됩니다.
  • 왜 지금 중요한가 — AI가 지금 찾아내는 취약점 카테고리(OS·브라우저·서버 애플리케이션)가 바로 가상패치가 커버하는 영역입니다.
  • 부가 효과 — 외부의 직접 공격뿐 아니라, 내부 이동(스캐닝 → 취약점 발견 → 핵심 서버 침투)의 공격 체인을 끊습니다.

가상패치는 임시 보호 수단이지, 근본 패치를 대체하지 않습니다. "공식 패치를 안전하게 계획·검증할 시간을 벌어주는 방어선"으로 이해하는 것이 정확합니다.

🔍 2선 — EDR: '발견 그 이후'의 실행 단계 가시화

가상패치가 입구에서 막는 '사전 방어'라면, EDR(Endpoint Detection & Response)은 이미 단말·서버 안에서 벌어지는 행위를 실시간으로 기록·분석해 위협을 탐지하는 '사후 가시화'입니다.

  • 모든 프로세스·레지스트리·파일 행위를 기록하고, MITRE ATT&CK 기반의 공격 기법(Observed Attack Techniques)과 위협 인텔리전스 IoC를 대조해 이상 행위를 잡아냅니다.
  • 단순 알림을 넘어 공격 경로의 인과관계를 시각화하고, 감염 단말 격리·프로세스 강제 종료 같은 대응까지 연결됩니다.
  • 가상패치가 막지 못한 '실행된 위협'을 잡는 두 번째 그물입니다.

🧩 3선 — 통합 플랫폼(XDR·SIEM·SOAR·CREM): 따로 노는 방어선을 하나로

방어선이 각자 콘솔에서 따로 울리면, 보안팀은 알림 더미에 파묻힙니다. 통합 플랫폼은 엔드포인트·네트워크·클라우드·계정·이메일·타사 로그를 한 곳에 모아 교차 분석(cross-layer correlation)하고, AI가 연관된 사건을 하나의 인시던트로 묶어줍니다.

  • XDR — 흩어진 신호를 상관 분석해 "점"이 아니라 "공격 스토리"로 보여줍니다.
  • SIEM/SOAR — 타사 보안 장비의 로그까지 수집·정규화하고, 위험도에 따라 대응을 자동 실행(플레이북)합니다.
  • CREM(공격표면·위험노출 관리) — Shadow IT를 포함한 자산을 가시화하고, 위험을 수치화해 우선순위를 매기며, AI로 공격 경로를 예측해 선제 차단합니다. 자율보안 시대에 요구되는 '통제 증빙'과 직결됩니다.

5. 계층적 방어 — 하나가 뚫려도 다음이 막는다

세 방어선의 진짜 가치는 개별 성능이 아니라 조합에 있습니다. 어느 하나가 완벽할 필요는 없습니다. 각 계층이 서로의 사각지대를 메우면 됩니다.

계층역할작동 시점
접근 제어최소 권한·MFA·실시간 위험도 평가진입 전
가상패치취약점 익스플로잇 선제 차단공격 직전
악성코드 차단행위 기반 탐지·샌드박스·위협 인텔리전스실행 직전
EDR / 탐지·대응행위 가시화·격리·포렌식·플레이북실행 이후
통합 플랫폼(XDR/CREM)교차 상관분석·위험 관리·자동 대응전 단계 통제

한 문장으로: 가상패치로 차단하고 — EDR로 탐지하고 — 플랫폼으로 통제한다. 어느 한 겹이 뚫려도 다음 겹이 받아내는 구조, 이것이 경계가 사라진 시대의 '새로운 벽'입니다.

6. 어디서부터 시작할까 — 현실적인 단계

모든 걸 한 번에 도입할 필요는 없습니다. 기존 투자를 보호하면서 점진적으로 확장하는 것이 현실적입니다.

  1. 자산 가시성 확보 — 무엇을 가졌는지부터. Shadow IT를 포함한 자산과 위험을 먼저 보이게 만듭니다.
  2. 선제 차단 적용 — 중요 업무 서버·레거시에 가상패치를 우선 적용해 패치 공백을 즉시 메웁니다.
  3. 탐지·대응 확장 — 서버·PC에 EDR을 배포해 실행 단계 가시성을 확보합니다.
  4. 통합·자동화 — 타사 로그까지 단일 플랫폼으로 모아 교차 분석하고, 대응을 자동화합니다.

핵심은 순서가 아니라 방향입니다. "벽을 더 높이 쌓는" 사고에서 "표면 전체를 빠르게 보고·막고·통제하는" 사고로 전환하는 것 — 자율보안 시대가 요구하는 바로 그 역량입니다.

마치며 — 가디언넷의 관점

망분리 완화는 규제 완화이기 이전에 책임의 이전입니다. 이제 보안 수준을 결정하는 건 규정집이 아니라 각 조직의 설계 역량입니다. 좋은 소식은, 그 설계의 원리가 이미 분명하다는 것입니다 — 속도 격차를 인정하고, 단일 솔루션 대신 계층으로 답하는 것.

가디언넷은 이 시리즈를 통해 각 방어선을 제품 이름이 아니라 원리와 의사결정 기준으로 풀어갑니다. 우리 조직의 표면이 어디까지인지, 어느 격차가 가장 위험한지, 무엇부터 메워야 하는지 — 그 판단을 함께 세우는 것이 목표입니다.

시리즈 안내 (연관 글)

이 기둥글에서 요약한 각 주제는 아래 6편에서 깊이 있게 이어집니다.

참고 자료

  • 금융위원회·금융감독원, 「전자금융감독규정 시행세칙」 개정(2026.1.20 사전예고 → 2026.4.20 시행) — 내부 업무망 SaaS 망분리 예외 및 별표7 망분리 대체 정보보호통제
  • 금융위원회, 「금융분야 망분리 개선 로드맵」(2024.8)
  • 업계 보도 및 법무법인 해설(2026) — 자율보안·결과책임 패러다임 전환 관련
본 글은 가디언넷의 보안 인사이트 시리즈로, 특정 벤더 제품에 종속되지 않는 일반 보안 원리를 다룹니다.

더 자세한 내용이 궁금하신가요?

금융 보안 전략 상담