코로나19 이후 세상에는 많은 변화가 생겨나고 있다. 기업들은 재택근무로 전환하고 디지털 전환을 가속화하고 있다. 정부는 디지털 뉴딜 정책을 추진하면서 첨단 기술에 대한 투자를 계획하고 있다. 이같은 상황에서 사이버보안의 중요성은 더욱 커진다.

보안이 모든 IT 서비스의 근간이 되는 만큼 보안 전문가들은 보안 투자를 늘리고, 보안사고시 기업의 자발적인 책임을 강화해야 한다고 강조한다. 그 연장선에서 획일적인 국내 망분리 규제를 완화해야 한다는 주장도 나오고 있다.

15일 국회의원회관에서 열린 ‘디지털 뉴딜과 보안 패러다임’ 세미나에서 보안 전문가들이 한 자리에 모여, 코로나19로 가시화된 여러 보안 이슈를 논의했다. 이날 기업들의 재택근무시 보안문제, 망분리 규제 완화, 보안 투자 촉진 등에 대한 논의가 이어졌다.

재택근무할 때 가장 중요한 것은 ‘보안’

국내 게임 기업인 엔씨소프트는 2019년부터 클라우드 서비스를 이용한 스마트워킹 환경을 조성했다. 직원들은 스마트워킹을 통해 언제 어디서나 원격 화상회의, 공동업무, 이메일 시스템을 이용할 수 있다.

그러다 지난 2월 코로나19가 본격화되면서, 엔씨소프트는 그 시기 7일간의 휴무를 결정했다. 스마트워킹 환경을 구축했음에도 불구하고, 충분한 준비가 안되어 재택근무는 어렵다고 판단한 것이다. 특히 사운드, 비주얼 등의 업무는 관련 장비, 시스템 등이 필요하기 때문에 재택근무에 한계가 있다는 설명이다. 또 재택근무가 가능한 업무에 대해서는 보안을 유지해야 하는 과제를 떠안게 됐다.

장석은 엔씨소프트 보안운영실 실장은 “재택근무가 가능한 영역에 대해서는 안전하게 관리하면서 재택근무를 허용하는 방향으로 추진하고 있다”고 말했다.

이렇듯 재택근무를 실시할 때 기업 입장에서 가장 신경 써야 하는 것은 보안이다. 신용석 비바리퍼블리카 정보보호최고책임자(CISO)는 “재택근무시 가장 중요한 과제는 보안업무”라며 “이 경우 보안업무가 평소보다 두 배가 될 수 있다”고 했다.

재택근무시 사무실에서 사용하는 동등한 성능을 가진 보안 백신이 직원들의 개인 컴퓨터에도 설치되어 있는지, 업데이트가 안되어 안전하지 않은 시스템이 회사 네트워크에 접속했는지, 가상사설망(VPN) 장비가 보안백신이 작동하고 있을 때만 원격접속을 수행하고 있는지 등을 수시로 살펴야 한다.

재택근무의 걸림돌은 ‘망분리’ 규제

획일적인 국내 망분리 정책으로 재택근무에 어려움을 겪고 있어, 정책을 개선해야 한다는 목소리도 나왔다. 공공, 금융기관에서는 외부 사이버 공격을 막기위해 업무를 보는 내부망과 인터넷을 사용하는 외부망을 분리하고 있다.

신용석 CISO는 “지난 2월 금융당국에서 코로나로 망분리 예외에 대한 비조치의견서를 냈다. 다행인 것은 지난 4개월간 (보안) 문제가 없었다”며 “앞으로 일정 부분 완화하더라도 종합적인 보안 대책이 마련된다면 위험관리를 할 수 있을 것”이라고 말했다.

내부 업무망과 외부 인터넷망으로 나뉘어진 획일적인 망분리를 데이터 중요도 중심의 적용 체계로 바꿔야 한다는 제언도 나왔다.

김승주 고려대 정보보호대학원 교수는 “국내에선 클라우드에 데이터를 올리려고 하면 업무망과 인터넷망을 수시로 끊었다 연결했다를 반복해야 한다”며 “반면 외국은 기밀자료 유통망, 일반 업무자료 유통망 등 데이터 중요도에 따라 등급을 나눠 따로 망을 구성한다”고 설명했다.

이에 이한진 금융위원회 과장은 “(국내 망분리 규제가) 대단히 세다는 것은 인정한다”며 “망분리에 대한 고민은 있다”고 전했다.

디지털 뉴딜, 보안 투자·기업책임 강화해야

포스트 코로나 시대를 대비해 정부가 ‘디지털 뉴딜’을 추진 중인 가운데, 이날 보안에 대한 규제 강화보다 투자가 촉진되어야 한다는데 의견이 모아졌다.

이동범 한국정보보호산업협회 회장은 “새로운 데이터 경제 활성화를 위해 신규 서비스 사업을 투자해 새로운 산업을 육성해야 한다”고 주장했다. 심범수 연세대 교수도 여기에 공감하며 “규제 완화에 대한 노력은 계속하되, 예산을 늘리는 것이 중요하다”고 말했다.

아울러 보안사고가 났을 때 기업들의 책임을 강화해야 한다는 의견이 공감을 샀다. 김승주 교수는 “기본적으로 사고가 났을 때 책임은 해당 업체가 진다”며 “페이팔처럼 보안대책을 추가해 보상을 하는 등, (보안사고에 대한) 책임은 기업이 지는 것”이라고 강조했다.

미국 간편결제 플랫폼 페이팔은 고객 피해금액을 우선으로 보상하는 정책이 있다. 이 금액은 작년에만 1조3000억원이 넘는다. 클릭 한 번으로 송금을 할 수 있는 서비스를 제공하는 편의성이 높은 서비스를 제공하는 만큼, 보안사고가 생길 경우 책임을 전적으로 진다는 얘기다.

최근 부정결제 사건이 일어난 토스 측도 여기에 동의했다. 신용석 비바리퍼블리카 CISO도 “기업의 책임이 높아지는 것이 필요하다”며 “고객의 피해를 최우선적으로 구제해야 한다”고 밝혔다.

글. 바이라인네트워크
<홍하나 기자>0626hhn@byline.network