>

이 기사는 바이라인네트워크가 운영하는 오디오클립   IT TMI의 11월 19일 방송 내용입니다.

남혜현: 안녕하세요. IT Too Much Information, IT TMI에 오신 걸 환영합니다. 저는 진행을 맡은 바이라인네트워크 남혜현이고요.

심스키: 네, 여러분 안녕하세요. 방가방가 심스키입니다.

남혜현: 스튜디오에 깔깔대는 웃음소리 들리십니까? 오늘 두 분의 게스트가 나오셨는데요, 이 두 분이 요즘 첨예한 관심사죠, 망분리 이슈에 대해 연구를 하고 계신 분들이거든요.

심스키: 망분리가 왜 이슈가 되는지에 대해 이야기를 해보게 되겠죠?

남혜현: 그렇죠, 스타트업들이 망분리에 대해서 가장 관심을 많이 갖고 있기 때문에 스타트업얼라이언스에서도 연구를 하는 거죠. 스타트업얼라이언스의 원동은 매니저님, 그리고 송명진 전문위원님 나오셨습니다.

송명진, 원동은: 안녕하세요, 반갑습니다!

심스키: 먼저 두 분 자기소개 부탁드릴게요.

원동은: 네, 저는 스타트업얼라이언스의 원동은 매니저라고 하고요. 저는 스타트업얼라이언스에 조인한지  6개월 정도 됐어요. 그전에는 인터넷 진흥원이라고, KISA라는 조직에 있었고요. 거기서 스타트업 육성 업무, IoT 기업 육성 업무 이런 것들을 했었어요.

남혜현: 요새 스타트업얼라이언스에서 무슨 행사를 하면, 원 매니저님이 사회를 진짜 많이 보시더라고요.

원동은: 우연히 그런 행사에 오셔가지고요(웃음).

남혜현: 네, 그럼 전문위원님?

송명진: 안녕하세요. 저는 송명진이라고 합니다. 저는 지금 스타트업얼라이언스에 1월에 조인했고요. 스타트업 업무 자체를 사실 그전에는 전혀 몰랐어요. 그런데 여기 와서 처음 하게 돼서, 사실 처음에는 적응하느라 정신없었고 그랬었습니다. 그전에는 학교에서 강의도 하고요. 그 전엔 마케팅박사로.

남혜현: 와, 박사 이러면 저희가 확 기가 죽거든요(모두 웃음).

심스키: 이야기를 시작하기 전에, 두 분 다 스타트업얼라이언스라는 조직에 몸담고 계신데, 그 조직이 뭔지에 대해서 모르시는 분도 있으니까 그게 스타트업얼라이언스가 어떤 조직인지 설명 좀 부탁드릴게요.

송명진: 보통은 사람들이 스타트업얼라이언스라고 하면, ‘얼라이언스’니까 스타트업들이 모여 있는 기관이라고 생각을 많이 하세요. 그런데 스타트업들의 모임이 아니고 스타트업 생태계가 모일 수 있도록 연결해주는 지원 기관이라고 생각을 하시면 될 거 같아요.

심스키: 스타트업들을 도와주는 조직이다, 이렇게 생각을 하면 되는 거죠?

송명진: 네, 맞습니다.

남혜현: 뭔가 보급 창고 같은 느낌이네요(웃음).

심스키: 주로 행사 같은 걸 많이 해서,

송명진: 그렇죠. 그전에는 행사 같은 걸 많이 해서. 가장 유명한 게 커피클럽, 런치클럽 같은 클럽 시리즈. 얼리버드께서 많이 오시더라고요.

원동은: 저녁 행사도 있고 하니까(웃음).

송명진: 제가 들어옴으로써 리서치팀이 만들어지고, 동은 님 같이 일하고 있습니다.

심스키: 그럼 오늘 주제에 대해 이야기해보겠습니다.

남혜현: 네, 망분리에 대해서 저희 내부적으로는 심스키님이 망분리에 대해서 가장 잘 알고 계시지 않습니까?

심스키: 잘 알지는 못하고요. 망분리는 망을 분리하는 거죠(모두 웃음).

남혜현: 말씀하신 것처럼 망분리는 망을 분리하는 건데, 이 이 슈가 왜 지금 이렇게 화두가 되고 있는지를 먼저 얘기를 나눠봐야 될 거 같아요. 어느 분이 얘기를 좀 해주실까요?

송명진: 일단은 이 배경부터 먼저 말해야 할 거 같아요. 지금 이야기하는 분리는 물리적 망분리를 기준으로 이야기한다고 생각하시면 될 거 같고요. 2009년부터 디도스 대한민국이랑, 주요 26개 사이트를 공격해 가지고 이런 게 발발했는데. 그러다 보니까 주요 언론사나 정당, 포털 이런 홈페이지들이 공격 리스트에 다 포함돼서 온 나라가 마비에 처했었죠?

심스키: 그게 3.20 대란인가요?

송명진: 3.20 대란이 그 후에 있었죠. 그전엔 7.7 디도스가 있었고요. 그다음에  범정부 사이버위기종합대책 이런 걸 시행해 가지고 망분리를 본격적으로 추진하고 있던 차에 2011년에 3.3 디도스 공격이 또 들어와서 청와대, 국민은행 등 40개 기관이 공격받아서 약 820여대 PC 가 파괴되는 일이 있었어요. 그 후에 바로 4월 12일에 농협 전산망의 내부 서버가 파괴되고 일주일 동안 금융거래가 정지되는 일이 있으면서, 문제는 우리나라는 사이버 해킹 사태가 벌어지면 해킹을 막지 못한 회사를 뭐라고 해야 되는데 그냥 전체적으로 다 합쳐 가지고 보안을 담당하는 기관, 다 정부 탓이에요. 그러니까 대책을 내놔라, 이렇게 되는 거잖아요.

심스키: 정부는 그러면 뭔가 근본적인 대책을 마련해야 되는, 그런 숙제를 안게 되는 거죠.

송명진: 그러다 보니까 금감위에서 ‘금융회사 IT 보안 강화 종합대책’ 이런걸 수립해가지고 모든 금융기관과 금융기관의 인터넷망과 업무망을 단계적으로 분리하는 보안대책을 추진하게 되는 겁니다. 이런 걸 추진하고 있는 찰나에 2013년도 3.20 사이버테러가 나와 가지고 KBS, YTN, MBC 같은 언론사는 물론이고 농협, 신한은행, 제주은행 등에 엄청난 손해를 입혀 가지고 그 후에 2013년 6.25 테러까지 나고 12월 3일에 ‘전자금융감독규정’이 새로 생겼습니다.

심스키: 거기서 망을 분리해라, 업무망과 인터넷망. 그래서 금융기관에서는 PC를 두 대를 사용해서 업무 볼 때는 인터넷이 안 되는 PC를 쓰고, 외부에 이메일을 보내거나 뉴스 검색을 할 때는 업무망에 접속하지 못하는 다른 PC를 쓰고 이렇게 해야 되는 상황이 된 거죠.

남혜현: 저는 그냥 인터넷이 안 되는 PC는 타자기 느낌이어서(웃음).

심스키: 인터넷이 아예 안 되는 건 아니고, 업무망엔 접속이 되니까.

남혜현: 어쨌든, 이런 망분리라는 얘기가 왜 나왔는지에 대해서 역사적으로 쭉 훑어 주신 거죠.

심스키: 망분리는 보안의 필요성이 강화되는 그 시기에 어떤 특단의 대책으로 나온 거죠. 그 뒤로 해킹 사고가 많이 줄었어요. 특히 은행권이나 이런 데는 거의 사라져서.

송명진: 하려야 할 수 없게 만들어 놨는데 그럼 지금까지 왜 잘해오던 거를 이제 와서 다시 또,

심스키: 왜 또 징징거리는 거야(웃음)! 또 해킹당하자는 이야기야!

송명진: 그게 사실 지금 정부 쪽 이야기이고요.  스타트업 쪽의 이야기는 이제는 보안기술이 많이 좋아졌기 때문에 그렇게까지 물리적으로 아예 원천차단하는 방법을 쓰지 않고도 얼마든지 보안을 더 높일 수 있는 방법들이 많이 나왔는데, 아직도 구시대적으로 그렇게 하는 거는 너무 비효율적이라는 게 스타트업 쪽의 주장입니다.

심스키: 그러면 효율성과 안정성 두 마리 토끼를 다 잡아야 되잖아요? 그런데 스타트업 업계에서 효율성을 강조하면서, “우리는 너무 비효율적이기 때문에 망분리라는 문제를 좀 완화시켜달라”라고 이야기를 하고 계시는 거고. 정부나 이쪽 사이드에서는, 옛날의 악몽을 다시 (살아나게) 할 것이냐, 그런 문제 우려가 있으니까 “아직은 안 된다”라고 말씀하시는 건데, 이 둘 사이에 조정을 하려면 스타트업 쪽에서도 옛날과 좀 달라진, “기술이 좋아졌어요”로는 해결이 안 되는 거고. 무엇이 달라졌고 어떤 더 심각한 문제가 있는지 이런 걸 좀 말씀해 주셔야 될 것 같은데요.

남혜현: 엄청난 질문을 하신 것 같은데요(웃음).

송명진: 저희가 보는 스타트업들의 주장은, 보안과 관련해가지고 규정을 완화해 달라는 주장이고요. 대신에 우리가 포기할 수 있는 거는, 그렇게 해주는 대신에 다른 부분을 우리가 좀 더 강화하겠다, 그러니까 예를 들면 지금은 사실 리스트가 있어가지고 어떤 거 어떤 거는 반드시 해야 된다고 하는 리스트가 있는데, 사실은 그거보다 훨씬 더 강화된 보안 방법들을 실제로 쓰고 있대요. 그런데 이제 잘 갖춰지지 않은 곳에서는 그 리스트만 그냥 지키고 있다는 거죠. 그럼 사실은 그보다 훨씬 더 강화해서 지킬 수 있는 방법들이 있음에도 불구하고, 그 리스트에 있는 부분들만 지키고도 얼마든지 합법적으로 운영은 할 수 있는 그런 상태라는 거죠.

심스키: 그래서 우리나라는 해킹사고가 나서 재판을 하면 기업들이 이기잖아요. 왜냐하면 리스트에서 하라는 걸 다 했는데?

송명진: 예, 맞습니다.

남혜현: 원동은 매니저님, KISA에 계셨으니까 관련된 얘기를 조금 더 많이 듣지 않으셨어요?

원동은: 제가 아무래도 그쪽에서 일을 했었으니까, 망분리를 한 번 당했다고 해야 할까요(웃음)?

송명진: 자, 이제 공노비 시절 이야기를 한 번 들어볼까요?

원동은: 생각을 해보면, 사실 중요한 정보들도 많긴 하니까 그런 정보들은 따로 떨어져서 보관을 할 필요는 있다고 생각되긴 됐었거든요. 그런데 정말 하찮은 일들, 되게 작은 일들을 할 때 “내가 뭐 이런 것까지 왔다 갔다 하면서 해야 하나”하는 생각을 하긴 했어요. 예를 들어 공문 하나만 받아도 외부에서 공문이 이메일로 왔어요. 프린트를 해서 도장을 찍어서 관련된 내용을 적고, 팀장님한테 사인을 받은 다음 스캔을 하고 나면 외부 망으로 들어가요. 그러면 외부망이랑 내부망을 연결하는 소프트웨어가 있거든요? 그걸 통해서 내부망으로 전송을 시켜서, 다시 등록을 시켜야 해요. 이거에 대한 후속 공문을 보내야 하면 역으로 이런 과정을 한 번 더 거쳐야 하거든요.

남혜현: 공문 한 번 주고받는데 시간이 얼마나 걸리는 거예요?

원동은: 이게 팀장님도 자리에 계시고, 뭐가 딱딱 맞아떨어지면 한 시간이든 두 시간이든 안에 될 수도 있긴 한데요. 그런데 이게 사실, (실무자가) 관련 내용을 받아서 맞다고 판단이 되면 회신을 주는 커뮤니케이션이잖아요? 이게 진짜 “저 관련 내용 받았으니까 이렇게 진행해주세요” 하고 1~2분이면 될 건데, 팀장님이 하필 해외출장을 가셨는데 망분리 때문에 접속을 못 하면 이게 일주일도 걸릴 수 있는 거죠. 일단, 사실 엄청 단순한 행정절차인데도 문제가 생기는데 만약 개발자 단까지 간다, 그러면 얼마나 갑갑하겠어요. 제가 알고 있기로는 개발자분들이 쓰시는 망으로도 인터넷 접속이 안 되는 걸로 알고 있거든요.

남혜현: 그러면 코드 이런 건 어떻게 해요?

원동은: 그러니까요.

심스키: 그래서 지금 스타트업 업계에서 가장 문제를 제기하는 게, 개발자들이 인터넷망에서 일할 수 있도록 해달라는 건가요?

송명진: 네, 맞습니다.

심스키: 지금 개발자들이 오픈소스 코드를 하나 검색할 수도 없고 이런 상태가 되니까. 요즘엔 깃허브라고 해서 모든 코드가 모여 있는 사이트가 있잖아요. 거기 들어가서 내가 등록도 하고 보기도 하고 이런 일이 일어나야 되는데 그런 게 안 되니까 코드를 일일이 손으로 써야 되는 상황인 건가요?

원동은: 그렇겠죠, 아마.

심스키: 스타트업 업계가 망분리의 문제를 가장 크게 지적하는 게 생산성이 떨어진다, 이런 얘긴가요?

송명진: 사실 생산성하고 비용문제를 다 이야기를 하는데 제 생각에는 이 두 가지가 분리될 수 있는 사안이 아닌 거 같아요. 왜냐면 어떤 것이 더 결정적이라고 이야기할 수가 없는 게, 스타트업이 J커브로 확 성장하려면 다른 경쟁업체들이랑 절대 뒤떨어지지 않게 속도를 확 올려줘야 되는데, 속도가 떨어지지 않게 하기 위해서는 개발자가 혼자서 일할 거를 망분리 때문에 속도가 떨어지니까. 그 속도를 맞추려면 개발자를 한 명 더 붙여야 하잖아요. 그러면 인건비가 또 더 들어가는 거잖아요. 생산성과 비용이 동시에 계속해서 더 드는 거기 때문에 어떤 게 더 문제라고 이야기할 수도 없는 거 같아요.

심스키: 개발의 생산성이라는 게 사람 한 명 추가했으니까 생산성 플러스 1, 이렇게 안 되는 거거든요.

송명진: 그리고 개발하시는 분들이 굉장히 짜증을 많이 내신데요(일동 웃음).

남혜현: 아, 성격을 나쁘게 하는군요.

송명진: 금융회사에서 나는 못 해 먹겠다(웃음).

심스키: 아, 차라리 안 들어가는 거야.

송명진: 차라리 IT 회사 다른 데 가면 되지, 금융회사에 오니까 내가 하는 걸 좀 자유롭게 할 수가 없고 개발을 제대로 할 수가 없으니까 내 생각보다 이직률도 되게 많고 그런 문제들이 있답니다.

심스키: 개발자들이 나도 이제 커리어를 올리고, 실력을 내야 되는데 여기서는 너무 느리고 깃허브로 못 보니까.

남혜현: 저 방금 토스가 왜 연봉이 높은지 깨달았어요(모두 웃음). 깜짝 놀랐어.

심스키: 1.5배 준다고 했잖아.

송명진: 사실 토스 같은데도 개발자들이 많잖아요. 그분들을 잘 모셔 가다가 그분들의 커리어를 잘 쌓아가지고 계속해서 이렇게 더 성장하도록 만들고 싶은데 여기서 짜증이 나면(웃음), 돈 더 주고 말고 간에 좀 더 생산적인 데를,

심스키: 토스 직원들이 퇴사율도 높잖아(웃음).

송명진: 그런데 생각을 해보면 토스 같은 데는 비용을 감당할 수 있는 회사예요. 근데 이런 데서는 사실 어떻게 보면 생산성 문제가 더 클 거고요. 근데 초기스타트업 같은 데서는 어쩌면 비용문제가 더 클 수 있죠.

원동은: 그럴 수 있죠.

송명진: 그러면 개발자분들 비용을 더 드려야 하는데, 그럴 수 없는 문제가 생기니까 이건 사실 악순환이 되는 거죠.

심스키: 팩트인지 아닌지 모르겠는데, 네이버가 최근에 네이버페이를 분사시켰잖아요. 네이버페이 때문에 네이버 전체가 망분리를 해야 하는 상황 때문이라고(일동 웃음) 하는 얘기가 있던데, 그게 사실인가요?

송명진: 잘 모르겠습니다(웃음). 그런데 네이버도 최근에 망분리 관련해 가지고 한 번 벌금을 맞았잖아요. 그런데 저도 사실관계는 잘 모르겠습니다.

심스키: 저도 사실관계는 잘 몰라요.

남혜현: 왜 다들 이제 와가지고 발을 빼시는 거죠?(웃음) 그러면, 망분리를 하지 않고도 실질적으로 보안을 할 수 있는 방안 같은 거는…

송명진: 실제로는 잘 갖춰져 있대요. 그래서 물리적 망분리라는 개념 자체가 다른 나라에서 다 쓰이고 있는지를 조사를 해보면 실제로 거의 없다고 합니다. 그게 정말로 NASA, 국정원 정도 되는 정말 초기밀을 다루는 그런 곳에서만 아예 따로 떨어뜨려서 물리적으로 망분리를 하는 거지, 이런 용어 자체를 쓰는 데가 거의 없고. 그래서 우리나라의 보안 정책은 아주 예외적인 경우라고 볼 수 있습니다.

심스키: 그러면 스타트업 업계의 대안 같은 게 있을 거 아니에요? 무조건 완화해달라고만 하면 받아들이기 힘들잖아요.

송명진: 아까 제가 규정 이야기를 했었는데, 리스트에 있는 거보다 오히려 더 많이 지킬 수 있도록. 그 리스트만 지키면 된다가 아니라, 사고가 나면 무조건 회사에 책임을 더 물리는 걸로. 예를 들면 유럽의 개인정보보호규정인 GDPR에서는 전 세계 매출의 4%까지 과징금을 물릴 수 있도록 되어 있거든요. 그 수준으로 (벌금을) 세게 물리면 회사 자체가 흔들흔들 할 수 있으니까 보안을 회사들이 알아서 더 수준을 높일 수 있을 거라는 이야기들을 하고 있습니다.

원동은: 그리고 사실 그 업체들도 물리적 망분리 말고도 다른 대안이 있는 걸로 알고 있어요. 물리적 망분리를 굳이 고수하지 않아도 데이터 중심으로 보안 체계를 세우면 그게 훨씬 더 실정에도 맞고 더 안전하고 얘기를 하고 있거든요. 그래서 만약에 제가 금융업자라고 한다면, 제가 지켜야 할 데이터 레이어가 다양할 텐데요. 예를 들어 고객들 정보도 있을 테고, 회사의 기밀도 있을 거고, 거래처 정보가 있을 수도 있고요. 이것 중에서 사실 제일 중요한 건 아마 고객들 개인정보일 거예요. 이건 정말 따로 분리를 해야 될 필요가 있고, 그다음 수준은 이런 정도, 또 그다음 수준은 이런 정도로 레이어에 맞게 보안 대책을 세울 수 있는 거죠.

송명진: 업무용인지 비업무용인지 이런 게 아니라 가치 중심으로, 데이터의 중요도에 따라서 기밀이 유통되는 망과 기밀이 아니지만 중요한 데이터가 유통되는 망을 분리하는 그런 방향으로 가야 된다고,

심스키: 전문가들은 대부분 그 얘기를 하시더라고요. 망분리를 처음에 정부에 제한한 분도 이제는 이렇게 업무망이냐 비업무망이냐(가 아니라), 업무에도 아까처럼 공문 하나 주고받는 업무가 있고, 개인정보를 다루는 업무도 있는데 공문 하나 주고받는데 그렇게 해야 하냐,

원동은: 그렇죠.

심스키: 개인정보를 다루는 거는 따로 빼서 망분리를 하든 다른 거를 하든 그렇게 하고 이쪽, 개발이나 공문 업무는 인터넷망에서 할 수 있게 하자, 이런 주장인 거죠.

송명진: 네, 맞습니다. 일단 4차산업혁명 이야기가 많이 나오고 있는데, 모든 것이 네트워크로 연결되는 초연결사회로 가고 있는데 우린 망분리 로 너무나 단절돼 있어서 그런 부분들이 어려운 거 같습니다.

원동은: 그리고 제가 KISA 다녔을 때 들었던 거를 생각해보면, ‘보안의 3대 원칙’ 이렇게 이야기하잖아요.

남혜현: 그게 뭐예요?

원동은: C, I, A 세 개 이야기하더라고요. 정보처리기사 이후 처음 보는 건데요

심스키: 저, 1급입니다(웃음).

원동은: 처음 게 기밀성(Confidentiality)이고요. 허가받은 사람만 접근해야 한다. 두번째가  Integrity(무결성)라고, 어디서 접근하던지 똑같은 정보를 볼 수 있게 보장하겠다는 거고, 세 번째가 Availability, 가용성이에요. 쓸 수 있어야 하는 거죠. 진짜 완벽한 보안을 하려면, 없으면 돼요. 정말 완벽한 보안을 하려면 인터넷 연결이 안 되어 있으면 되는 건데. 그걸 감수를 하고 저희가 어쨌든 (인터넷을) 써야 되는 입장인 거잖아요. 그런 목적성 같은 걸 생각을 해보면 지금 상황에서는, 예전에는 뭐 그런 상황이었지만, 지금 만약에 이 규제를 조금 더 풀어서 조금 더 현실에 맞게 다른 시스템을 짤 수 있다면 그 방향으로 가는 게 맞죠.

송명진: 그래서 저희가 스타트업얼라이언스에서 8월에 기획했던 국회 토론회가 있었는데 국회에서 하지는 못하는 사정이 생겼었어요.

심스키: 테헤란로에서 했었죠.

송명진: 그때 난리가 났었죠. 그 당시에 나왔던 말씀 중에 그때는 맞고 지금은 틀리다, 라는 이야기가 있어요. 그때의 그 수준에서 해킹을 막아내야 되고 전 국민이 불안에 떨고 하는 그 사정에서는, 그 당시 보안 수준에서는 물리적 망분리라도 해서 어쨌든 지키는 것이 더 맞았는데, 지금은  보안수준이 많이 올라가고 또 다른 방안들이 많이 마련된 상태에서는 지금은 이게 틀린 게 아닌가라는 이야기를 전문가들이 하고 있습니다.

심스키: 그런데 개인정보가 유출되는 사례가 너무 많잖아요. 보안수준이 올라갔다고 간단히 얘기하기에는 사람들의 불안함이 많고, 또 페이스북 이런 데도 유출돼서 (벌금을) 7조(원) 맞고 이러잖아요, 지금. 그런데 페이스북도 못 했는데 스타트업들이 뭘 얼마나 잘 할 수 있는 거야, 라는 생각을 할 수 있지 않을까요?

원동은: 그래서 아까 스타트업들이 대안으로 내놓는 게, 그래 일단 뭔가 문제가 생길 수도 있지만, 그 문제에 대해서 책임을 정말 지겠다고 말씀을 해주시는 주장들이 계속 나타나는 것도 이런 맥락인 것 같아요. 솔직히 페이스북 어떻게 생각하면 크게 (벌금을) 맞았잖아요. 그러면 또 그만큼 엄청나게 보안을 할 거예요. 다음에 또 이런 상황이 벌어지면 안 되니까요. 그래서 지금 같은 경우에는 저도 정확히는 모르긴 하지만, 이런 사고가 한번 나면 이런 법에 의해서 기업에서 조금 물고, 저런 법에 의해서 조금 조금씩 물다 보면 나중에 소비자들 입장에선 억울할 수 있잖아요. 나중에 고소로 했을 때는 기업이 너무 털린 이후라가지고. 뭔가 더 큰 배상을 받아내기 좀 어려워 보이는 경우가 많다고 하더라고요.

송명진: 그거랑 관련해서 예전에 페이팔이 어떻게 성장했는지에 대해서 다른 교수님께서 말씀해 주신 적이 있었는데 거기도 처음에는 그냥 작은 스타트업으로 시작해서 이런 개인정보 보호 문제가, 해킹사건이 있으면서 보안하고, 또 물어 주고 이런 과정을 겪으면서 지금은 훨씬 더 큰 회사로 성장을 했다는 거죠. 그래서 그런 걸 계속해서 무서워하기 시작하면 작은 스타트업이 사실 커나갈 수가 없고, 점점 커질수록 본인들이 더 큰 배상을 해야 되기 때문에 매출손실 때문에라도 더 잘 보안을 할 거라는 그 기대를 사실 할 수 있을 것 같습니다.

심스키: 징벌적 손해배상도 논의가 되나요?

송명진: 네, 징벌적 손해배상 그 이야기도 같이, 오히려 역으로 스타트업 쪽에서 제안을 하는 상황입니다. 그리고 또 무서운 점은, 보안책임자를 형사처벌 하는 걸 이야기를 하거든요. 그런데 그렇게 되면 물론 보안책임자 한 명은 내가 감옥에 들어갈까 봐 무서워서 조심해야지, 하는 마음은 있을 수 있겠지만 회사 전체에서는 사실 한 명만 그냥 형사처벌 받는 거니까 크게 문제가 없는 거예요. 그런데 매출에 얼마, 이렇게 들어가 버리면 회사 전체가 크게 타격받을 수 있으니까 그게 훨씬 더 회사 측면에서는 더 큰 징벌이 될 수 있다는 거죠.

심스키: 그런 문제도 있겠다, 보안 책임자 입장에서는 사고가 나면 내가 독박을 쓰니까 무조건 못 하게, 무슨 약간의 위험성도 감수하지 않는. 망분리 다 해버려라,

송명진: 그래서 조금 더 적극적으로 할 수 있는 것도 못 하는 그런 상황이라고 이야기 많이 하십니다.

심스키: 그런 상품을 만들어야겠네요.

남혜현: 보험이요?

심스키: 어, 보험(웃음). 개인정보 유출을 대비한 보험. 그거 때문에 회사가 망하면 안 되니까.

원동은: 보안 산업 관점에서도 좀 생각을 해볼 필요가 있는 거 같아요. 지금 보안 산업 입장에서는 그 체크리스트 방식이 아마 당장은 용이하긴 할 거예요. 왜냐면은 사업을 벌일 근거가 체크리스트로 정리가 다 되잖아요.

심스키: 나라에서 산업을 다 만들어주니까.

원동은: 그래서 이제 이거대로, 너네가 해야 되는데 안 하면 너네가 때려 맞을 수도 있다. 그러니까 꼭 해야 된다, 라는 근거가 될 수 있는데 근데 만약에 이게 징벌적 손해 배상 같은, 기업에 책임이 많이 가는 구조로 가면 오히려 저는 보안 기업이 장기적으로 성장을 많이 할 수 있을 거라고 생각을 해요. 왜냐면은 어쨌든 결과적으로 책임을 지는 거기 때문에 기업 각각 마다 알맞은 보안 체계가 구축이 되어야 하는 거고. 그걸 하려면 사실 보안업체가

남혜현: 계속 개발을 해야 되고,

원동은: 그렇죠, 체크리스트 방식이 아니라 기업에 맞는 방식들을 계속 만들어야 되기 때문에 훨씬 더 고민을 많이 해야 되거든요. 아마 돈도 훨씬 많이 들어갈 거예요, 그쪽에.

심스키: 무슨 일이 벌어질지 모르니 일단 있는 거 다 써,

원동은: 그래서 사람도 많이 투입도 하고 그럴 것 같아서, 단기적으로는 조금 타격이 있을 수 있지만 장기적으로는 보안산업이 크는 방향도 이쪽이라고 생각해요. 그래서 일단 그런 점에서는 조금 더 (망분리 규제가) 풀리는 게 발전에 좋지 않을까,

남혜현: 보안 산업도 (규제 완화를) 적극 지지를 해달라, 이런 이야기인 거죠.

심스키: 보안업계에서는 싫어하더라고요(웃음). (스튜디오 바이라인에 올려놓은 망분리 관련) 유튜브에 댓글 달리더라고요. 욕하는 댓글. 질문이 있는데요, 이게 스타트업만의 이야기는 아니잖아요? 금융산업 전체의 문제이고, 그러면 스타트업만 열외를 해줘, 이게 사실 공정성이라고 해야 하나 형평성이라고 해야 하나. 이런 게 좀 안 맞는 거 같은데, 은행이든 보험이든 금융권하고도 이런 얘기를 좀 해 보신 적이 있나요?

송명진: 금융권이랑 이야기를 해 본 적은 없는 게 일단은 저희가 스타트업 대상으로 이야기를 하고 있는 거고요. 근데 저는 그런 생각은 한 적이 있어요. 대답이 되는지는 잘 모르겠는데요. 금융권에서 이미 망분리를 다 해 놓은 상태이고 비용도 이미 다 들어간 상태잖아요. 어떻게 보면 신진 금융 세력이 들어오지 못하게 하는 좋은 진입장벽이 될 수 있어요, 사실은. 이미 기존에 다 갖춰 놓은 사람 입장에서는 오히려 이러한 논의에 금융권은 아예 들어오지 않는 게 아닌가, 그런 생각도 사실 합니다.

심스키: 징벌적 손해배상이니 이런 위험을 감수할 필요가 없겠죠. 그런데 이게 바뀔 수도 있어요. 요즘은 금융사들도 지금 그대로의 모습으로는 지속 가능하지 못하다는 걸 알아서 디지털 트랜스포메이션 특별팀 같은 걸 만들어서 하잖아요. 그러니,

송명진: 그런데 기본적으로는 금융감독원이나 이런 지침이라든지 감독 규정들이 대부분 기존 전통 금융시장을 바탕으로 다 짜여져 있는 것이기 때문에 사실 그분들은 불편한 게 아직은 별로 없는 걸로 이렇게 알고 있습니다.

남혜현: 망분리를 풀어달라 안 하게 해 달라, 이렇게 요구를 하는데 사실 결정을 하는 건 저쪽이잖아요?

송명진: 네, 맞습니다.

심스키: 금융위? 금감원이던가요?

송명진: 예, 금융위 쪽이라서 저희가 안 그래도 8월에 (토론회에) 부르려고 했었는데, 금융위 전자금융과에서 안 오신다고 해서,

심스키: 그래서 아무도 안 오시지 않았어요?

송명진: 네, 원래 국회의원께서 같이 주최하기로 하셨는데 본인의 사정으로 국회에서 못 하게 됐고요. 국회의원이 오라는 압박을 해줘야 공무원들이 오시는데.

남혜현: 이 이야기는, 금융위에서는 (망분리 규제 완화 이슈에) 별 반응을 안 하고 있다고 받아들여도 되나요?

송명진: 아무래도 그 후의 반응들을 제가 한 번 봤는데, 9월 15일 전자신문에 이런 기사가 실렸어요. ‘금융 보안 관련 규정’ 법에 명시, 라는 제목으로 더 크게 실렸어요. “핀테크에만 망분리 예외 적용 없어”. 오히려, 감독규정으로 그치지 않고 오히려 법으로 한 번 더 적용해 보겠다,

심스키: 아, 이게 보안이라는 게 명분이 너무 세서.

송명진: 그래서, 와 큰일 났다 그랬는데 사실 이게 사실인지 아닌지 제가 잘 모르겠어요. 왜냐하면 전자신문에만 실렸어요. 나머지 미디어들은 이걸 다루지 않고 있어서 예의주시하고 있었는데, 9월 25일에 중소벤처기업부에서 신산업 핀테크 보안 등 규제개선과제를 4개 선정해 가지고 간담회 같은 걸 했었거든요. 근데 그  4개 주제 중에서 하나로 망분리가 들어갔었어요. 핀테크 분야의 과도한 보안 주제로, 망분리 요건 완화 관련해가지고 이야기가 있었는데 결론적으로는 중기벤처부에서 의견을 좀 담아 가지고 국무조정실에 규제혁신 과제로 올리겠다고 약속을 했다는 것까지가 업데이트된 상황이고요.

남혜현: 그러면 금융위랑 중기벤처부랑 싸우면…

송명진: 그러니까요, 항상 그게 문제입니다. 중기부에서는 이걸 좀,

심스키: 금융위가 이깁니다.

남혜현: 그러니까요,

송명진: 중기부에서는 스타트업들이 전자금융 관련해 가지고 많이 어려움이 있다는 부분을 충분히 공감하고 했는데, 사실 이때도 금융위가 참석하지 않았다고 해요.

심스키: 하지만 이번 중기부장관이 매우 힘센 장관이기 때문에, 박영선 장관 화이팅!

송명진: 스타트업들이 얼마나 목소리를 내는지, 사실 이게 첨예한 이슈여서, 처음에 과징금을 맞기도 하고 이러니까 스타트업들이 크게 목소리를 못 내요. 혹시 우리한테 조사 나올까봐. 예를 들면, 미운털 박힐까봐 큰 소리를 못 내다 보니까. 사실 지금 이렇게 큰 소리를 낼 수 있는 업체가 한두 군데밖에 없거든요.

심스키: 한 군데 같은데요, 토스(웃음).

송명진: 핀테크 산업협회라는 곳이 있는데, 거기서 6월에 조사를 했어요. 44개 회원사에게 조사를 했는데 결과를 보시면은 88.6%가 망분리 규제 완화 의견에 찬성하는 거로 나왔으니까, 다들 필요하다고는 생각을 하시는 거 같아요.

남혜현: 그러나, 앞에 나서기는 부담스럽고.

송명진: 네, 맞습니다. 내가 나서서 해달라고 하기는 조금 부담스러운 거 같습니다.

심스키: 스타트업 전반의 이야기가 아니고 특정 영역의 문젠데, 핀테크가 그렇게 지금 토스 및 한두 회사를 제외하고는 힘 있는 업체가 없잖아.  그리고 사회적 이슈, 모빌리티처럼 시민들이 다 경험하는 그런 일이 아니기 때문에.

남혜현: 우리가 금융 하면, 말씀하신 것처럼 토스밖에 기억이 안 나지만, 또 다른 곳들이 있죠?

송명진: 네, 많은 곳들이 있죠.

심스키: 카카오페이? 아니면 네이버페이?

송명진: 카카오 같은 경우에는 너무 커서 스타트업이라고 할 수는 없는데요, 그런데 사실 카카오랑 네이버도 다 과징금 맞아가지고 굉장히 불만이 있죠, 사실은.

남혜현: 보험 이런데도 해당되나요, 보맵 같은 곳도?

심스키: 상관이 있지. 차라리 그냥 예산으로 과징금을 책정하는 것도(웃음).

송명진: 문제가 되는 감독규정 잠깐 이야기를 하면은 “전자금융감독규정 15조 1항 3호가 있고 5호가 있는데, 3호를 잠깐 읽어드릴게요. 내부통신망과 연결된 내부 업무용 시스템은 인터넷, 무선통신망 포함 등 외부 통신망과 분리 차단 및 접속 금지를 이야기하고 있고요.  5호는 전산실 내에 위치한 정보처리 시스템과 해당 정보처리시스템의 운영 개발 보안 목적으로 직접 접속하는 단말기에 대해서는 인터넷 등 외부통신망으로부터 각각 물리적으로 분리할 것을 규정하고 있는데요. 3호를 훨씬 더 완화해야 한다는 쪽을 지지를 많이 받고 있습니다.

심스키: 5호는 어차피 전산실에 해당하는 이야기라,

송명진: 네, 맞습니다.

심스키: (거기는) 망분리 하지 말라고 해도 할 거예요.

송명진: 네, 그러니까 이분들도 보안을 아예 하지 말자는 게 아니,  실제적으로 일을 할 때 좀 생산성 있게 잘해 보자고 이야기하는 거라는 그 말씀입니다.

남혜현: 두 분께서 이야기를 잘 정리해주셔서 조금 더 체계 있게 알게 돼서 참 좋았습니다. 나와주셔서 정말 감사하고요, 다음에 데이터 3법으로 또 두 분을 모시도록 하겠습니다.

일동: 이렇게 섭외를 하나!

남혜현: 나와주셔서 정말 감사하고요, 모두 들어주신 청취자분께 인사 좀 부탁드릴게요.

일동: 고맙습니다, 망연결 가자(웃음)!