IT 기업인데 인터넷 하면 안 된다고?

모바일 금융 앱 ‘토스’를 개발하는 비바리퍼블리카 등 핀테크 분야에 종사하는 개발자는 업무용 PC에서 인터넷에 접속하지 못한다. 개발자가 코드를 작성하다가 깃허브에 들어가지 못하고, 구글 검색을 할 수 없다. 인터넷에 접속하려면 업무에 사용하지 않는 별도의 PC를 통해야 하고, 이 인터넷 PC에서 다운로드 한 데이터를 업무용 PC에 옮겨오는 것은 매우 복잡한 과정을 거쳐야 한다.

이는 전자금융감독규정의 망분리 규제 때문이다. 이 규정은 금융기업의 업무용 PC와 전산시스템은 인터넷과 연결되지 않도록 의무화하고 있다.

전자금융감독규정 15조

3항. 내부통신망과 연결된 내부 업무용시스템은 인터넷(무선통신망 포함) 등 외부통신망과 분리·차단 및 접속 금지

5항. 전산실 내에 위치한 정보처리시스템과 해당 정보처리시스템의 운영, 개발, 보안 목적으로 직접 접속하는 단말기에 대해서는 인터넷 등 외부통신망으로부터 물리적으로 분리할 것.

망분리는 금융기관뿐 아니라 정부부처에도 의무적으로 부여된 보안 규제다. 7.7 DDoS(디도스), 3.4 디도스, 3.20 사이버테러 등 보안 사고가 잇따르자 업무 시스템을 아예 인터넷에 연결하지 않도록 의무화하는 극단적 처방을 내린 것이다.

서울대 이석윤 교수는 당시 정부가 이같은 처방을 내린 것에 대해 “허술한 보안의식이나 정보보호 인력 부족 등 보안 수준을 고려할 때 불가피한 대책이었고 외부 해킹을 막는 데 가장 효과적인 방법이었다”고 말했다.

그러나 보안 측면에서는 효과적일 수밖에 없는 ‘망분리’의 의무화는 여러 가지 문제점을 안고 있다.

모든 사물과 사람이 연결되는 ‘초연결 시대’에 망분리 정책은 이와 같은 흐름에 커다란 방해가 된다. 특히 데이터와 정보를 주고받으면서 혁신적 실험을 쉼 없이 시도해야 하는 핀테크 스타트업 입장에서는 인터넷에 연결되지 않은 상태에서 업무를 한다는 것은 혁신성과 생산성에 큰 장애가 된다.

19일 서울 삼성동 스타트업얼라이언스에서는 ‘핀테크 산업 경쟁력 강화를 위한 망분리 감독규정 개정 방안’ 토론회가 개최됐다.

이 자리에서 비바리퍼블리카의 신용석 정보보호최고책임자(CISO)는 현재의 망분리 규제가 핀테크 스타트업인 비바리퍼블리카에 많은 부정적 영향을 미치고 있다며, 규제 완화를 촉구했다.

신 CSIO에 따르면, 토스 개발자들은 망분리로 인해 클라우드나 오픈소스를 자유롭게 활용할 수 없다. 이로 인해 생산성이 떨어지는 것은 당연하다. 토스의 경우 망분리로 인해 업무 생산성이 50% 이상 떨어지며, 이에 따른 비용이 30% 이상 증가하는 것으로 나타났다고 신 CISO는 덧붙였다. 재택근무나 원격근무와 같은 스마트워크도 불가능한 것은 기본이다.

이런 환경에 불편함을 느낀 개발자는 이직하는 경우가 많고, 새로운 개발자를 뽑을  때도 망분리가 방해가 된다고 신 CISO는 전했다.

신 CISO는 대안으로 기업의 보안 자율성을 높이고 책임성을 강화하자고 주장했다.

국내의 경우 정부가 의무적으로 정해놓은 보안 규제를 지킨다면 해킹사고가 일어나도 기업에 책임을 묻지 않는다. 보안을 강화하려는 정책이 기업의 면죄부로 작용하는 셈이다.

반면 해외에서는 보안 정책과 기술은 기업이 자유롭게 선택하지만, 그에 따른 기업의 책임이 크다. 영국 항공의 경우 최근 50만 명 개인정보 유출 사건으로 2500억원에 달하는 벌금을 내야 했다. 페이스북은 개인정보 유출로 인해 미국에서 5조9000억원의 벌금을 내야 하는 상황이다.

신 CISO는 “해킹사고가 터지면 언론과 국회가 감독당국에 책임을 묻는 관행이 과도한 규제로 이어지고 있다”면서 “기업이 스스로 책임을 높이도록 해야 한다”고 말했다.

한국핀테크산업협회 이근주 사무국장은 “핀테크 기업들은 기존 금융회사들보다도 더 높은 수준의 보안 통제를 적용할 의지도 있지만 망분리 만큼은 규제 완화를 원한다”면서 “망분리로 인한 생산성 저하와 경쟁력 약화는 핀테크 기업의 생존에 직결되는 문제이기 때문”이라고 강조했다.

학계에서는 무조건적인 업무망 분리가 아닌 데이터의 중요도에 따른 망분리라는 대안을 제시했다.

김승주 고려대 교수(4차산업혁명위원회 위원)는 “외국에서도 망분리는 한다”면서도 “다만 업무망과 인터넷망으로 나누는 게 아니라 기밀자료 유통망, 일반 업무자료 유통망으로 구분한다”고 전했다.

김 교수는 “우리는 데이터의 중요도와 관계없이 도메인에 따라 구분해서 보안 정책을 세우는데 도메인으로 구분하면 중요하거나 중요하지 않거나 모든 데이터를 동일한 수준으로 다루기 때문에 보안의 하향평준화가 불가피하다”면서 “데이터 중심으로 보안정책을 펴야 예산을 효율적으로 쓸 수 있다”고 말했다.

금융기관의 경우 고객의 개인정보를 다루는 중요한 시스템만 망분리 하고, 일반 업무는 자유롭게 인터넷에 연결할 수 있도록 하자는 제안이다.

국내 망분리 정책 도입에 참여했던 것으로 알려진 서울대 이석윤 교수도 이와 같은 규제변경에 찬성했다.

이 교수는 “금융기관의 망분리 정책을 전환하기 위해서는 데이터의 중요도에 따라 정보시스템을 분류하고 적정 등급에 따른 다중 보안정책을 마련해야 한다”면서 “낮은 등급은 민감 데이터 소통망부터 인터넷에 연결시키는 단계적 보안대책을 시행해야 한다”고 말했다.

글.바이라인네트워크
<심재석 기자>shimsky@byline.network