“망분리 규제, 그때는 맞고 지금은 틀리다”

By홍하나

“그때는 맞고 지금은 틀리다” 핀테크 개발자들이 망분리 규제를 두고 이렇게 말을 한다. 망분리 규제가 적용되던 약 8년 전은 합리적이었지만, 시간이 흐른 지금은 그렇지 않다고 주장한다.

망분리는 네트워크를 인터넷이 연결된 망과 그렇지 않은 폐쇄망으로 나눈 것을 말한다. 2010년대 초반 이어진 대규모 금융 보안사고로 인해 2013년, 망분리가 법으로 제정됐다. 전자금융감독규정 제 15조에 따라 금융회사, 전자금융업자(핀테크)는 망분리 규제를 적용받는다.

전자금융감독규정 제 15조에 따라 금융회사, 전자금융업자(핀테크)는 망분리 규제를 적용받는다.

이 법에 따르면, 내부 통신망과 연결된 업무용 시스템은 인터넷 같은 외부통신망과 분리, 차단되어야 한다. 전산실 내 정보처리시스템과 단말기도 외부통신망과 물리적으로 분리해야 한다. 이때 말하는 물리적 망분리는 내부 시스템과 연결된 업무용 PC와 인터넷용 PC를 분리하는 것을 말한다.

그런데, 핀테크 개발자들이 망분리 규제를 바꿔야 한다고 외치는 이유는 무엇일까. 금융회사와 달리 핀테크 업체들은 모바일을 중심으로 금융 서비스를 제공하고 있다. 따라서 외부 소프트웨어 자원인 오픈소스 활용도가 높은데, 이때 인터넷 연결이 필수적이다. 하지만, 망분리 규제로 인해 인터넷이 연결된 환경에서 개발을 할 수 없는 제약이 따른다.

또 핀테크 업종 상 스타트업이 많은 만큼 망분리로 인한 비용부담이 클뿐더러, 망분리가 모든 보안의 만병통치약이 아니라는 것이 이들의 주장이다. 따라서 망분리에 준하는 수준의 보안기술도 허용해달라는 목소리가 높아지고 있다.

28일 스타트업얼라이언스와 한국핀테크산업협회 주관으로 열린 ‘망분리 규제가 핀테크산업 개발환경에 미친 영향’ 토론회에서 학계와 현업이 모여, 망분리 규제에 대한 패러다임을 전환해야 한다고 입을 모았다.

먼저, 국가행정기관과 대형금융사에 적용된 망분리 규제를 산업의 특성을 고려하지 않은 채 핀테크 업계에도 획일적으로 적용한 점이 문제로 제기됐다.

이석윤 서울대 수리과학부 교수는 “국가행정기관이 먼저 망분리를 한 뒤 이 정책을 금융에 획일적으로 적용시켰다”며 “또 대형금융사와 핀테크 업계의 차이를 감안해야 하는데 동일한 수준의 망분리를 그대로 적용했다”고 지적했다. 이 교수에 따르면, 은행, 증권, 카드 등 대부분의 금융사는 물리적 망분리를 오래 전부터 해왔다. 또 핀테크사와 달리 금융사는 변화와 규제에 소극적이어서 성격이 다르다고 강조했다.

무엇보다 망분리가 무적의 보안수단은 아니라는 의견이 나왔다. 송명진 과학기술정책연구원(STEPI) 부연구위원은 “망분리가 되어 있음에도 불구하고 보안사고는 발생하고 있다”며 “이동식저장장치(USB), 적외선 원격제어, 초음파 통신 등 해킹기술이 고도화되는 가운데 다 막아낼 수 없으며, 무적 수단은 아니”라고 말했다.

실제로, 망분리 규제 시행 계기가 된 금융 보안사고 당사들도 물리적 망분리가 이뤄져있었다. 이석윤 서울대 교수는 2011년 3.4 디도스 사건과 농협 내부전산망 해킹, 금융3사 디도스 사건 등 모두 물리적 망분리가 되어 있었다고 강조했다.

이 교수는 “망분리가 되어도 해킹 기술이 고도화되어서 뚫린다”며 “자동차 사고가 났으니 자동차를 타지말자는 것이 아니라 사고가 났을 때 피해를 최소화할 수 있는 방법을 찾아야 한다”고 주장했다.

이에 대한 해법 중 하나로, 데이터를 중심으로 망을 분리하는 방법이 나왔다. 송명진 연구위원은 “내부망을 아예 차단하는 것이 아니라 데이터를 중요도 순으로 나눠서 보관하는 방법이 있다”고 제언했다.

데이터 중심의 보안정책 예시(자료=송명진 STEPI 부연구위원)

지금까지는 시스템을 기준으로 중요 시스템에 폐쇄망을 적용했다면, 중요한 데이터는 폐쇄망에 그렇지 않은 데이터는 인터넷망에 저장해 활용할 수 있도록 해야 한다는 의견이다. 이를 위해서는 데이터 분류가 선행되어야 한다.

이석윤 서울대 교수는 “데이터 가치를 정하고 그에 맞는 서버에 저장할 수 있도록 해야 한다”며 “이를 위해 당국과 핀테크 업체가 함께 데이터 가치 중요도에 대한 가이드라인을 만들고, 업체들이 분류작업을 할 수 있도록 해야 한다”고 말했다.

현업에서는 보안을 무조건 다 막는다는 개념보다 다양한 관점으로 바라봐야 할 필요가 있다고 강조했다. 김남진 카카오페이 최고정보보호책임자(CISO)는 “막고 차단하는 것보다 필요한 연결은 안전하게 허용을 해주고, 이를 지속가능하도록 함께 고민하고 투자를 지속해야 본질적인 문제를 폴 수 있다”고 말했다.

즉, 모든 금융 서비스가 모바일에서 이뤄지는 가운데 핀테크사들은 플랫폼을 제공하는 애플과 구글의 프레임워크에 맞춰 개발을 해야 한다. 이 경우 외부와의 접속이 불가피하다. 개발에 필요한 리소스가 외부에 있기 때문에 어느 정도의 개방과 연결은 필요하다는 것이다. 따라서 무조건적인 폐쇄형보다 열린 상황에서 보안을 할 수 있는 관점으로 접근해야 한다는 주장이다.

김남진 CISO는 “최근 해외에서 보편적으로 받아들이고 있는 보안 관념은 디펜스 레이어”라며 “여러 레이어를 통해 보안을 하는 개념으로, 해커가 침입해 권한탈취를 하더라도 데이터를 가지고 나가야 사고가 난다”고 설명했다. 또 망분리 규제가 완화되더라도 머신러닝이나 인공지능(AI) 등이 적용된 보안관제로 탐지가 가능하다고 덧붙였다.

아울러, 망분리 규제 완화에 앞서 기업들이 자체적인 보안기술을 강화해야 한다는 지적도 나왔다. 이석윤 서울대 교수는 “업계도 최신 보안기술을 도입하는데 적극적이어야 한다”며 “동시에 금융당국에서는 업체들의 최신 기술을 평가하고 보호조치를 제대로 이행하고 있는지 관리감독하는 방향으로 전환되어야 한다”며, 그렇지 않을 경우 망분리 규제에 대한 논란은 계속될 것이라고 봤다.

국회에서도 이날 나온 제언들에 공감을 표했다. 이수환 국회입법조사처 조사관은 “보안에 대한 사고방식 전환 필요성에 대해 공감한다”면서 “기업에게 보안에 대한 책임성을 강화하는 방향으로 법을 제정해야 할 것”이라고 전했다.

글. 바이라인네트워크
<홍하나 기자>0626hhn@byline.network

작은 것이라도 지나치지 않겠습니다. 0626hhn@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다