망분리란 무엇인가? 13년의 역사와 한계

망분리(Network Separation)는 금융기관과 공공기관의 내부 업무망을 외부 인터넷망으로부터 물리적·논리적으로 완전히 분리하는 보안 정책입니다. 2013년 3·20 사이버 테러 이후 금융감독원이 「전자금융감독규정」 제15조를 통해 금융회사에 의무화하면서 시작되었으며, 공공기관은 국가정보원이 별도로 운영해 왔습니다. 13년 동안 실제 해킹 피해를 막는 데 기여한 것은 사실이지만, 시대가 바뀌면서 근본적인 모순이 드러났습니다.

핵심 모순은 간단합니다. 클라우드와 AI를 활용하려면 외부 서버와 데이터를 주고받아야 하는데, 망분리는 바로 그 통로를 막아버립니다. 직원 한 명이 ChatGPT에 업무 문서를 입력하려면 개인 스마트폰을 꺼내 별도로 접속해야 하는 현실, 화상회의를 하려면 규제 샌드박스(혁신금융서비스) 지정을 따로 받아야 하는 행정 낭비가 매년 반복되어 왔습니다.

망분리 규제의 5대 부작용

공공기관의 경우 더욱 심각했습니다. 국가정보원에 따르면 2025년 기준 망분리를 실제로 적용 완료한 공공기관은 전체의 11%에 불과했습니다. 즉, 규제는 있는데 현장 이행률은 극히 낮은 “서류상 망분리”가 만연했던 것입니다. 이런 구조적 모순이 쌓인 끝에 2026년 전면 개편이 현실화되었습니다.

▲ 목차로 돌아가기

2026년 금융권 망분리 규제 완화: 개정안 핵심 내용

망분리 규제 완화 2026의 출발점은 금융위원회·금융감독원이 2026년 1월 20일 사전예고한 「전자금융감독규정시행세칙」 개정안입니다. 이는 2024년 8월에 발표한 「금융분야 망분리 규제 개선 로드맵」의 직접적인 후속 조치로, 2023년 9월부터 32개 금융회사가 총 85건의 혁신금융서비스 지정을 통해 SaaS를 안정적으로 운영해온 실증 결과를 바탕으로 제도화한 것입니다.

개정안 3대 핵심

예고 기간(1월 20일~2월 9일) 이후 규제개혁위원회 심사를 거쳐 시행될 예정이며, 시행 시점에 맞춰 보안 해설서도 별도 배포될 예정입니다. 금융권에서는 이미 변화가 현실화되고 있습니다. 규제 완화 발표 직전인 2026년 1월, KB금융과 신한금융을 중심으로 SaaS 도입 건수가 전년 대비 3배 이상 증가했다는 보도도 나왔습니다.

▲ 목차로 돌아가기

SaaS 허용의 조건: 어디까지 되고, 어디까지 안 되나?

현장에서 가장 많이 나오는 질문은 단순합니다. “그래서 구글 드라이브 써도 되나요?” “챗GPT 업무망에서 써도 되나요?” 결론부터 말하면, 조건부로 가능해졌지만 아무 SaaS나 바로 쓸 수 있다는 뜻이 아닙니다. 반드시 지켜야 할 5가지 조건이 있습니다.

SaaS 사용 허용 체크리스트

주요 SaaS별 허용 가능성 정리

⚠️ 주의: 생성형 AI(ChatGPT, Claude, Gemini 등)에 대한 업무망 적용은 이번 개정안 범위 밖으로, 금융위는 “추가 로드맵 과제로 신속히 논의하겠다”는 입장입니다. 아직 업무망에서 생성형 AI를 쓰려면 별도 혁신금융서비스 지정이 필요합니다.

▲ 목차로 돌아가기

공공기관 패러다임 전환: N²SF와 제로트러스트의 실체

금융권이 SaaS 예외 조항으로 점진적 변화를 택했다면, 공공기관은 훨씬 근본적인 변화가 진행 중입니다. 국가정보원이 주도하는 N²SF(국가망보안체계, National Network Security Framework)는 망분리 자체를 폐기하는 것이 아니라 “무엇을 어떻게 보호할 것인가”를 전면 재설계하는 체계입니다.

N²SF의 작동 원리는 비유하면 이렇습니다. 기존 망분리가 도시 전체를 하나의 성벽으로 두르는 방식이라면, N²SF는 건물마다 출입문을 다르게 설계하는 방식입니다. 성벽은 한 지점이 뚫리면 도시 전체가 위험해지지만, 건물별 출입 규칙은 한 지점이 흔들려도 피해 확산을 막을 수 있습니다. 이를 위해 모든 데이터를 3등급으로 분류합니다.

N²SF 5단계 적용 프로세스

N²SF는 단순 설치가 아닌 순환형 보안 설계입니다. ①준비(Prepare, 자산 식별 및 관리 체계 수립) → ②등급분류(Categorize, C·S·O 등급 부여) → ③위협식별(Identify, 서비스 모델 기반 위협 도출) → ④보안대책 수립(Select, 등급별 필수 보안 항목 선정) → ⑤적절성 평가(Assess, 실효성 점검 후 재조정) 순으로 반복됩니다.

2026년부터는 공공기관 사이버보안 실태평가에 N²SF 구축 여부가 가산점 항목으로 반영됩니다. 경영평가 보안 배점도 0.25점에서 0.6점으로 대폭 상향되었습니다. 이재명 대통령이 주재한 국가인공지능전략위원회 제2차 전체회의(2026년 2월)에서는 기밀(C) 데이터는 정부 데이터센터, 민감(S)·공개(O) 데이터는 민간 클라우드로 이관하는 방향을 공식 의결했습니다.

제로트러스트는 N²SF를 실제로 작동하게 만드는 운영 원칙입니다. “아무도 믿지 마라, 항상 검증하라”는 철학 아래, 내부망에 접속했다고 해서 신뢰를 부여하지 않고, 매번 사용자·기기·위치를 재검증합니다. KISA는 2024년 12월 「제로트러스트 가이드라인 2.0」을 공개했으며, 2026년을 기점으로 한국 기업 보안의 실질적 표준이 되어가고 있습니다.

▲ 목차로 돌아가기

실무 담당자가 지금 당장 해야 할 것 3가지

제도가 바뀌었다고 해서 아무것도 안 해도 된다는 뜻이 아닙니다. 오히려 이제는 “금융보안원이 심사한다”는 안전망이 사라지고 금융회사 스스로 보안 통제의 책임을 져야 하는 구조로 바뀌었습니다. 담당자 입장에서 당장 해야 할 실무 3가지를 정리했습니다.

▲ 목차로 돌아가기

내 솔직한 의견: 규제 완화가 아니라 ‘책임 이전’이다

이번 개정안을 두고 언론은 대부분 “망분리 빗장 풀렸다”는 식으로 보도했습니다. 하지만 실제로 정독해 보면, 이번 개정의 본질은 규제를 없애는 것이 아니라 보안 책임의 위치를 바꾸는 것에 가깝습니다. 기존에는 금융보안원이 개별 SaaS를 사전 심사하고 허가해주는 구조였다면, 이제는 금융회사 스스로 통제 체계를 설계하고 CISO가 이를 보고·확인하는 구조입니다.

현장 보안 담당자 입장에서는 업무량이 오히려 늘어날 수 있습니다. 이전에는 “규제 샌드박스 승인 받았으니 괜찮다”고 말할 수 있었지만, 이제는 자체 평가 보고서, 통제항목 이행 증빙, CISO 보고 결재선까지 직접 갖춰야 하기 때문입니다. 편의성은 높아지지만 내부 거버넌스에 구멍이 생기면 전적으로 금융회사 책임이 됩니다.

공공 분야의 N²SF 전환은 조금 다른 시각으로 봐야 합니다. 솔직히 말하면, 기존 망분리의 11% 이행률이라는 수치 자체가 현행 규제가 이미 현장에서 실패했음을 보여줍니다. N²SF로의 전환은 어쩌면 “지킬 수 없는 규제”를 “지킬 수 있는 원칙”으로 바꾸는 현실적 선택일 수 있습니다. 단, 이 체계가 실효성을 가지려면 데이터 등급 분류 자체가 정교하게 이루어져야 하는데, 아직 대부분의 기관이 이 분류 작업을 시작조차 못 했다는 점이 가장 큰 허점입니다.

▲ 목차로 돌아가기

Q&A 5선

▲ 목차로 돌아가기

마치며

2026년 망분리 규제 완화는 단순한 정책 변경이 아닙니다. 13년 만에 한국 디지털 보안의 기본 철학이 바뀌는 전환점입니다. 금융권은 SaaS를 실질적으로 쓸 수 있는 길이 열렸고, 공공기관은 N²SF라는 새로운 패러다임으로 이행 중입니다. 공통된 방향은 하나입니다. “벽으로 막는 보안”에서 “데이터를 이해하는 보안”으로의 전환입니다.

핵심은 이렇게 정리됩니다. 금융사는 금융보안원 평가 통과 SaaS에 한해 내부망 상시 이용 가능해졌으며, 단 개인신용정보 처리 SaaS는 제외됩니다. 자체 보안통제 구축과 반기 CISO 보고가 새로운 의무로 추가되었습니다. 공공기관은 N²SF C·S·O 3등급 체계로 데이터를 분류하고 제로트러스트 원칙을 적용해야 하며, 2026년 경영평가부터 N²SF 구축 가산점이 반영됩니다.

이번 변화를 기회로 삼으려면 서두르되 신중해야 합니다. 특히 담당자 입장에서는 “이제 자유롭게 쓸 수 있다”는 오해가 가장 위험합니다. 제도가 바뀌어도 보안 사고가 나면 그 책임은 고스란히 기관과 담당자에게 돌아오기 때문입니다. 정책 변화를 정확히 이해하고, 내부 규정을 선제적으로 정비하는 조직이 이 전환을 진짜 기회로 만들 수 있습니다.

▲ 목차로 돌아가기