연구·개발 목적 망분리 예외 적용 보안 해설서(금융보안원) 내용 해석, 정리

2025년 4월, 금융보안원이 연구·개발(R&D) 목적의 망분리 예외에 대한 공식 해설서를 발간했다. 이번 가이드는 금융회사 내 IT개발, AI 실험, SaaS 기반 분석 등의 업무가 늘어남에 따라, 기존 물리적 망분리 환경 하에서 발생하던 업무 비효율을 완화하기 위한 규제 개선안과 그에 따른 보안 관리 방안을 담고 있다. 본 글은 해당 문서의 핵심 내용을 정리하고, 실무에서 이를 어떻게 반영할 수 있을지 구체적으로 설명한다.

 

금융보안원 ｢연구·개발 목적의 망분리 예외 적용에 따른 보안 해설서｣ (2025.4)

▼다운로드

(붙임) 연구·개발 목적의 망분리 예외 적용에 따른 보안 해설서 fn.pdf

0.98MB

왜 연구·개발망이 필요한가?

기존의 금융보안 체계에서는 내부업무망(3호망), 전산실(5호망), 외부 인터넷망을 각각 물리적으로 분리하여 운영해 왔다. 그러나 이러한 구조는 개발 효율성과 유연성을 저해하는 측면이 있었다. 이에 따라 금융위는 2024년 8월 「금융분야 망분리 개선 로드맵」을 통해 연구·개발망이라는 새로운 개념을 도입했고, 금융보안원은 이에 맞춰 이번 해설서를 발간했다.

연구·개발망이란, 금융회사가 AI, SaaS, 코딩 테스트 등 연구·개발 활동을 수행하기 위해 내부업무망, 전산실, 인터넷망과 논리적으로 또는 물리적으로 분리하여 구성한 전용 네트워크 환경을 말한다. 이 환경에서는 소스코드 작성, 모델 훈련, 테스트 등 고도의 유연성이 요구되는 작업을 수행할 수 있으며, 외부 도구와도 일정 수준 연동이 허용된다.

달라진 보안 규제, 핵심은 무엇인가?

연구·개발망을 도입하면서 다음과 같은 규제 개선이 이루어졌다.

• 내부업무망과 연구·개발망 간 논리적 망분리가 허용되었다. 즉, 엄격한 물리적 분리를 유지하지 않아도 된다.
• 연구·개발망에서 전산실로 소스코드나 개발산출물을 전송하는 것이 가능해졌다. 단, 인가된 형상관리 서버를 통한 단방향 통신만 허용되며, CISO 승인 하의 예외 조치는 정보보호위원회 의결이 필요하다.
• 실 데이터는 사용할 수 없지만, 가명정보를 활용한 개발과 테스트는 가능해졌다.
• 보안 통제가 전제된다면 IT 개발자의 재택근무도 가능하다.

망분리 예외가 불러올 수 있는 보안 위협은?

규제가 완화된 만큼, 새로운 보안 위협도 함께 증가한다. 금융보안원이 식별한 주요 위험은 다음 세 가지다.

첫째, 소스코드 유출 위험이다. 외부 인터넷과 연결된 연구·개발망에서 소스코드가 깃허브 등의 플랫폼에 무심코 업로드되거나, 악성코드 감염으로 유출되는 일이 발생할 수 있다. 이 경우 공격자는 해당 소스코드를 분석해 금융서비스의 취약점을 파악하고, 공격에 악용할 수 있다.

둘째, 검증되지 않은 오픈소스 소프트웨어의 활용으로 인한 침해사고 위험이 있다. 대표적으로 인증 우회, APT 공격, 내부 침투 등의 경로가 발생할 수 있으며, 취약한 라이브러리를 통해 공급망 전체가 위협받을 수 있다.

셋째, 외부망에서 유입된 악성코드가 연구·개발망을 경유해 내부업무망이나 전산실로 전파될 가능성이다. 특히 망 연계 구간의 통제가 부실할 경우, 해커가 통신 중계용 악성코드를 심어 폐쇄망을 뚫는 사례도 실제로 보고되고 있다.

실무에서 어떻게 적용해야 할까?

1단계: 활용 범위 정의 및 위험성 평가

먼저, 연구·개발망에서 수행할 수 있는 업무 범위를 명확히 정의해야 한다. 개발(코딩 및 테스트), AI 실험, SaaS 기반 분석 등의 연구·개발 목적 이외에는 사용이 제한된다. 실 데이터를 이용한 테스트나 시범 서비스 제공, 실 사용자 대상 베타 테스트 등은 허용되지 않는다.

그다음, 자체 위험성 평가를 수행해야 한다. 예상되는 보안 위협을 식별하고, 이로 인한 영향과 발생 가능성을 평가한 뒤, 이에 따른 대응 방안을 마련해야 한다.

2단계: 보안통제 및 보호대책 적용

전자금융감독규정 시행세칙 <별표 7>에 명시된 정보보호 통제를 반드시 준수해야 한다. 구체적으로는 다음과 같은 대책이 요구된다.

• 유해 사이트 및 불필요한 인터넷 접속 차단
• 연구·개발망과 내부업무망 간 논리적 분리 및 접속 통제
• 단말기 인증 및 보안 모니터링
• 침해사고 대응체계 및 로그 관리 체계 구축
• 소스코드 접근 통제 및 다중 인증 적용
• 오픈소스 취약점 탐지 도구 활용 및 라이선스 관리

3단계: 정보보호위원회 의결 및 사후관리

위험성 평가와 보호대책을 종합하여 정보보호위원회의 심의를 받아야 한다. 단순한 보고가 아니라, 실제 위협에 대한 통제력이 확보되었는지를 검토받는 절차다. 이후에도 정기적인 모의해킹, 로그 분석, 망 구성 변경 시 재심의 등을 통해 보안 수준을 지속적으로 유지해야 한다.

실무자 체크리스트: 도입 전에 꼭 확인하자

• 연구·개발망은 어떤 업무에 사용할 것인가?
• 인터넷 접속, SaaS, 오픈소스 사용에 대한 내부 가이드라인은 존재하는가?
• 소스코드 저장소의 인증 방식과 접근 권한은 안전하게 구성되어 있는가?
• 망 연계 구간에 대한 감사 로그 및 악성코드 검사 체계가 마련되어 있는가?
• 퇴직자, 외주 인력의 접근 권한 해제 절차는 명확한가?
• 정보보호위원회의 의결 및 재검토 프로세스가 준비되어 있는가?

마무리하며

연구·개발 목적의 망분리 예외는 개발 효율성과 보안을 동시에 만족시키기 위한 필연적 진화다. 그러나 그것은 ‘완화’가 아니라 ‘재설계’다. 보안 책임자는 기술자와 협업해 실무적이고 실행력 있는 보안 통제를 설계해야 하며, 개발자 또한 보안을 개발 환경의 일부로 받아들여야 한다.

이번 해설서는 단지 지침을 나열하는 문서가 아니라, 금융 IT보안의 새로운 균형점을 제시하는 실무적 나침반이라 할 수 있다.

---

📌 참고 자료 및 출처

• 금융보안원. 「연구·개발 목적의 망분리 예외 적용에 따른 보안 해설서」 (2025년 4월)
• 금융위원회. 「금융분야 망분리 개선 로드맵」 (2024년 8월)
• 금융보안원. 「금융분야 오픈소스 소프트웨어 활용·관리 안내서」 (2022년 12월)
• 전자금융감독규정 및 시행세칙