9년여 동안 우리나라 금융보안 정책의 근간이었던 ‘망분리’ 정책이 변화의 시기를 맞았다. 금융당국은 금융분야의 디지털 전환을 안정적으로 뒷받침하기 위해 클라우드 활용에 관한 규제와 망분리 규제 개선을 추진한다고 14일 발표했다. 중장기로는 망분리 대상업무를 축소하고 '논리적 망분리'에 대한 선택권을 부여하는 방안도 검토한다. 9년여 간 금융보안의 근간을 차지하던 망분리 정책의 변화는 금융사는 물론 보안업계에도 일정부분 영향을 줄 수 밖에 없다. <디지털데일리>는 5회에 걸쳐 금융 망분리 정책 변화에 따른 시장 영향을 조망한다.<편집자>
[디지털데일리 이종현기자] 망분리란 일반적으로 사용하는 인터넷망과 조직 내부에서 사용할 내부망을 분리해 관리하는 체계를 뜻한다. 군에서 인트라넷(Intranet)이라고 부르는 국방망이나 검찰의 이프로스 등이 내부망의 대표 사례다. 공공기관이나 금융권을 비롯해 기업들 다수가 망분리 정책을 적용 중이다.
망을 분리하는 이유는, 외부와의 연결을 차단함으로써 내부에서의 유출이나 외부 위협을 막기 위함이다. 2013년 국내 주요 방송사와 금융회사 전산망이 마비되는 ‘3.20 사이버 테러’를 계기로 금융권에는 망분리를 의무적으로 도입하도록 제도화했다.
보안이라는 측면에서 망분리는 가장 효율적인 대책으로 언급된다. 대부분의 사이버위협은 연결돼 있는 통로를 통해 이뤄지는데, 망분리는 그 길목을 원천 차단한다. 작년 11월 아파트 월패드가 해킹되는 사고가 있은 뒤 그에 대한 대안으로 떠오른 것 역시 ‘세대간 망분리’다.
문제는 천편일률적인 망분리가 오픈소스 활용 등, 최근 소프트웨어(SW) 개발 트렌드에 맞지 않다는 점이다. 경쟁력을 위해 빠른 기능 업데이트와 신규 서비스 출시 등이 필요한데, 인터넷에 접속하지 못하는 개발 환경에서는 제약이 클 수밖에 없다는 것이 핀테크 업계의 불만이다.
보안업계에서도 망분리에 대해 부정적인 시각을 나타내는 이들이 많다. 망분리가 보안에서 ‘전가의 보도’처럼 취급되며, 망분리만 하면 아무런 조치도 하지 않아도 된다는 잘못된 인식을 심어준다는 것을 꼬집는다.
망을 분리하더라도 가상사설망(VPN) 등을 통해 원격에서 내부망에 진입 후 작업하는 경우가 많은데, 이 과정에서 보안 사고가 발생하는 일도 잦다. 작년 북한에 의해 한국항공우주(KAI), 한국원자력연구원 등이 해킹된 것 역시 VPN 취약점이 원인으로 지목됐다.
이동범 한국정보보호산업협회(KISIA) 회장은 “망분리 자체가 잘못된 것은 아니다. 하지만 획일적인 망분리 적용에는 문제가 있다. 핀테크나 마이데이터 등, 연결의 필요성은 더욱 커지고 있는데 신규 사업에 망분리를 적용하면서 현장에서 겪는 애로사항이 많다”고 현행 망분리 정책을 비판했다.
이어서 그는 “한쪽에서는 클라우드를 활성화한다고 하면서, 또 다른 한쪽에서는 망분리를 의무 적용한다는 것이 이상하다. 기존에 망분리가 적용돼 있는 것을 걷어내야 한다고 주장하진 않겠으나, 신규 시스템에 획일적으로 망분리를 적용하는 것은 피해야 한다. 그런 면에서 이번 완화 조치는 고무적”이라고 부연했다.
다만 현장에서는 우려의 목소리도 있다. 보안성 측면에서 망분리는 현재로선 대체할 수 없는 기술이며, 망분리를 완화할 경우 보안 공백이 생길 수 있다는 주장으로, 이는 그간 망분리의 문제점이 지적돼 왔음에도 유지돼 온 배경이다.
보안업계 관계자는 “균형의 문제라고 생각한다. 망분리를 완화하는 것은 당연한 흐름이나, 보안성 유지를 위해서 망을 분리하는 것 역시 당연한 조치다. 망분리를 없애야 한다, 전부 도입해야 한다는 식의 이분법적인 접근이 아니라, 보완점을 찾아가는 논의가 이뤄졌으면 한다”고 전했다.