투데이e코노믹 = 우혜정 기자 | 신한금융그룹이 금융권 최초로 ‘금융보안 수준진단 프레임워크’를 현장에 적용하며, 규제 중심의 보안 체계에서 데이터·리스크 기반 자율보안 체계로의 전환에 나섰다. 금융사의 보안 경쟁력이 ‘규정 준수’에서 ‘실질적 대응 역량’으로 이동하는 흐름을 반영한 조치로 해석된다.

신한금융은 6일 금융보안원이 지난 2월 공개한 ‘금융보안 수준진단 프레임워크’를 주요 그룹사에 적용하고 합동 진단을 완료했다고 밝혔다. 해당 프레임워크는 금융사가 스스로 보안 수준을 점검하고 목표 수준을 설정해 단계적으로 고도화하는 자율보안 관리 체계를 골자로 한다.

7개 영역·127개 원칙…보안 ‘성숙도’ 기반 관리

이번 프레임워크는 ▲거버넌스 ▲식별 ▲보호 ▲탐지 ▲대응 ▲복구 ▲공급망 등 7개 영역, 45개 항목, 127개 세부 원칙으로 구성된다. 단순 점검을 넘어 조직의 보안 역량을 ‘초기→기반→발전→고도화’ 4단계 성숙도로 구분하고, 목표 수준을 설정해 체계적으로 개선할 수 있도록 설계된 것이 특징이다.

이는 기존 금융권 보안 관리 방식과 대비된다. 그동안 금융사는 금융당국 규정 준수를 중심으로 체크리스트 기반 점검을 수행해왔지만, 실제 보안 대응 역량이나 위협 대응 체계를 정량적으로 평가하고 개선하는 데에는 한계가 있다는 지적이 이어져 왔다.

업계에서는 이번 프레임워크를 사실상 금융권 ‘NIST형 성숙도 모델’ 도입의 신호로 보고 있다. 규제 준수 중심의 사후 점검에서 벗어나, 리스크 기반 사전 대응 체계로 전환하는 계기가 될 수 있다는 평가다.

지주·은행·카드·증권·보험 ‘그룹 단위 진단’

신한금융은 지주를 포함해 은행, 카드, 증권, 라이프 등 5개 주요 그룹사가 참여하는 형태로 금융보안원과 합동 진단을 진행했다. 지난달 초부터 약 2개월간 진행된 이번 진단은 ▲자가진단(5일) ▲현장 인터뷰(5~7일) ▲결과 보고(10일) 등 단계별 프로세스로 이뤄졌다.

특히 지주사 담당자가 자회사 진단에 교차 참여하는 방식을 도입해, 그룹 전체의 보안 기준과 평가 체계의 일관성을 확보한 점이 특징이다. 금융보안원 자율보안연구팀은 실무 교육부터 진단 수행, 결과 보고서 작성까지 전 과정에 참여해 현장 적용성을 높였다.

이를 통해 신한금융은 각 계열사의 IT 인프라와 업무 특성을 반영한 맞춤형 보안 개선 과제를 도출했으며, 향후 이를 표준화해 그룹 전반으로 확산할 계획이다.

“보안도 플랫폼화”…금융권 표준 경쟁 본격화

이번 사례는 금융 보안 체계가 ‘규제 대응’에서 ‘플랫폼 기반 운영’으로 진화하고 있음을 보여준다. 특히 클라우드 전환, 오픈 API 확대, 생성형 AI 도입 등으로 금융사의 IT 환경이 복잡해지면서, 공급망 보안과 실시간 위협 대응 역량이 핵심 경쟁 요소로 떠오르고 있다.

이러한 변화 속에서 자율보안 체계는 금융사가 스스로 리스크를 정의하고 대응 전략을 설계하는 ‘능동형 보안 모델’로 자리잡을 가능성이 크다. 업계에서는 향후 금융당국 역시 자율보안 체계를 기반으로 한 평가·감독 방식으로 점진적으로 전환할 것으로 보고 있다.

신한금융은 이번 진단 결과를 바탕으로 그룹 차원의 자율보안 가이드라인을 구축하고, 이를 전 계열사에 단계적으로 확대 적용할 방침이다. 동시에 금융권 보안 표준 논의에서도 주도적인 역할을 강화한다는 계획이다.

신한금융 관계자는 “자율보안 체계를 선제적으로 도입해 실질적인 보안 수준을 높이고자 금융보안원과 합동 진단을 진행했다”며 “이번 경험을 토대로 그룹 차원의 모범 사례를 정립하고 금융권 전반의 보안 수준 향상에 기여하겠다”고 밝혔다.

금융사의 경쟁력이 ‘자산 규모’에서 ‘데이터 보호 역량’으로 확장되는 가운데, 자율보안 체계 도입은 향후 금융 IT 전략의 핵심 축으로 자리잡을 전망이다.