망분리 규제 완화될까, 금융당국 “장기적으로 자율성 줄 것”

By홍하나

금융권과 전자금융업자 사이에서 망분리 규제 완화 촉구 목소리가 높아지고 있다. 현행 법에 따라 금융권과 전자금융업자는 망분리 규제를 따라야 하는데, 급변하고 있는 IT환경에 맞지 않다는 지적이다. 망분리는 외부와 연결된 컴퓨터망과 내부만 연결된 컴퓨터망을 완전히 분리해야 하는 규제로 금융사와 전자금융업자가 대상이다. 관련해 금융당국은 점진적으로 자율성을 가지는 방향으로 규제 완화를 추진하겠다고 답했다. 

한국정보보호학회과 주최한 금융권 망분리 정책 개선 끝장 토론회가 12일 서울시 중구 은행회관에서 열렸다. 금융권, 전자금융업자, 금융당국 관계자가 참석해 망분리 규제에 대한 다양한 의견을 공유했다. 

업무망을 인터넷망과 분리하는 망분리 규제는 지난 2013년 대규모 금융 전산사고를 계기로 도입됐다. 3.20 사이버테러 공격으로, 악성 이메일, 액티브엑스(ActiveX) 취약점 등이 원인이 되어 NH농협은행과 신한은행 등의 전산망이 마비된 바 있다. 

이에 당국은 금융사에 내부망 업부용 단말기는 외부망과 방식에 관계없이 분리하고, 전산시스템·단말기에 대해서는 외부망과 물리적인 방식으로 분리하도록 했다. 이것이 바로 망분리 규제다. 

망분리 규제 도입 이후 금융 전산사고가 크게 감소하는 등 효과를 보였다. 실제로 지난 2017년 전세계가 랜섬웨어 감염 사고로 피해를 입었음에도 국내 금융권은 피해가 없었던 점이 이를 방증한다. 

그러나 망분리 규제 대상이 되는 금융권과 전자금융업자 사이에서 망분리 규제가 지금과 맞지 않는 해묵은 규제라며 완화해줄 것을 촉구하고 있다. 

“복잡해지는 금융 IT환경, 망분리 규제 맞지 않아”

현행 전자금융감독규정에 따라, 금융사와 전자금융업자는 전산실 내에 위치한 정보처리시스템과 해당 정보처리시스템에 직접 접속하는 단말기를 인터넷 등 외부망과 물리적으로 분리해야 한다. 

문제가 되는 것은 현행 망분리 규제가 예외 가능 사항에 대해 구체적인 상황을 기술하는 열거주의 형식이라는 점이다. 즉, 열거되지 않은 사항은 망분리 예외를 적용하지 못해 소프트웨어 개발, 서비스형소프트웨어(SaaS) 이용 등 업무 활용에 어려움이 있다는 의견이 잇따르고 있다. 

강형우 김앤장 전문위원은 “급변하는 IT환경 변화 속에서 인공지능(AI), SaaS가 대세이며 금융권에서 적극 활용하려고 한다”며 “구체적인 열거주의 형식에서 다양한 정보 서비스 창출과 AI 등 혁신기술 개발 업무, SaaS 이용이 어려운 상황”이라고 문제를 제기했다. 

이어 “과거에는 금융사 정보서비스, 내부 전산망이 비교적 단순해서 망분리를 상세하게 규제하는 것이 가능했다”며 “그러나 현재 금융권에서는 금융 플랫폼, 음식배달, 알뜰폰 등 다양한 정보서비스 제공을 추진함에 따라 금융권 내부 전산망이 매우 복잡해지고 있다”고 덧붙였다. 

금융사·전자금융업자 “촘촘한 망분리 규제, 완화해야”

열거주의와 관련해 금융권은 이중적 통제 방안이라고 지적했다. 망분리 예외사항은 금융사가 자율적으로 결정해 정보보호위원회 등을 거친다. 그러나 당국의 지침에 따라 해당 조건을 규율하는 규정에 ‘별표’가 추가되어 상세화된 규제가 적용되고 있다. 

이창복 롯데카드 정보보호최고책임자(CISO)

이창복 롯데카드 정보보호최고책임자(CISO)는 “금융당국이 망분리 별도 규정을 주면서 다시 규제하는 이중적 통제 방안이 이뤄지고 있다”며 “정보보호위원회가 판단을 하더라도 (별표) 규정을 충족해야 열어줄 수 있다”고 말했다. 

관련해 금융당국은 해당 부문의 규제를 완화 중이라고 밝혔다.  김수호 금융위원회 금융혁신기획단 전자금융과 과장은 “법이 세세하게 열거됐다는 것이 문제”라며 “세부적 예시는 가이드라인 형태로 해서 (이를 어길 시) 패널티를 주는 것으로 바꾸는 작업을 하고 있다”고 답했다. 

또 당국은 지난 2013년 ‘금융전산 망분리 가이드라인’에 명시적으로 “본 가이드라인에서 제시하지 않은 새로운 기술도 망분리의 기본 원칙에서 벗어나지 않으면 적용이 가능하다”고 했음에도 불구하고 2015년 예외기준을 만들면서 예외사항을 구체적으로 열거했다. 

이창복 CISO는 “예외 시 통제항목을 명시한 것이 망분리 도입 취지에 반한다”며 “망분리 개념을 현재의 물리적, 논리적 개념에서 탈피해 악성코드 등 외부 위협에 대한 대응체계와 내부정보의 유출관리라는 목적을 기반으로 해 다양한 방법이 적용될 수 있도록 해야 한다”고 주장했다. 

전자금융업권에서는 망분리 구현 방식을 완화해야 한다는 의견이 나왔다. 현행 전자금융 감독규정에 따라 망분리 구현 방식을 ‘인터넷 등 외부통신망으로부터 물리적으로 분리’로 규정해 물리적 망분리를 의무화하고 있다. 그러나 물리적 망분리 방식으로만 구현할 경우 재택근무가 어렵고 클라우드 서비스나 오픈소스와 같이 온라인 업데이트를 전제로 하는 업무 도구의 활용이 제한되어 업무 생산성이 저하된다는 것이 업계의 의견이다. 

또 전자금융감독규정 제15조에 따르면, 망분리 대상을 내부 통신망과 연결된 내부 업무용 시스템으로 규정했다. 이때 모든 내부 업무용 시스템을 망분리 대상으로 규제해 보호 대상 자산의 중요도가 낮은 업무까지 망분리를 적용해 망분리 예외의 관리 복잡성이 증가하는 등 보안 통제의 비효율이 발생한다. 

지정호 토스증권 CISO

지정호 토스증권 CISO는 “모든 내부 업무용 시스템을 망분리 대상으로 규정하기보다 중요도에 따른 위험 기반 통제를 적용할 수 있도록 대상을 구체적으로 정의해야 한다”며 “이용자의 개인신용정보를 처리하는 내부 업무용 시스템 또는 전자금융 업무를 처리하는 내부 업무용 시스템과 같이 대상을 구체화할 수 있는 수식어가 추가되길 희망한다”고 밝혔다. 

망분리 예외 허용 조건을 완화해야 한다는 의견도 나왔다. 전자금융감독규정은 망분리 적용 예외가 가능한 조건과 유형을 안내하고 있다. 이때 망분리 적용 예외 조건이 구체적으로 정의되어 있고, 그렇지 않은 유형에 대해서는 업무상 불가피한 경우와 같이 모호한 표현으로 안내되어 있다. 

지정호 CISO는 “구체적으로 정의되지 않은 업무에 대해서는 망분리 적용 예외 정책을 활용하는데 어려움이 있다”며 “망분리 예외 조건과 유형을 구체적으로 안내하기보다 인터넷 차단에 준하는 보안성을 갖춘 경우 망분리 적용을 예외할 수 있도록 조건이 완화되길 희망한다”고 말했다. 

금융당국 “자율성 갖는 방향으로 규제완화 노력 중”

금융당국은 망분리 규제 완화 필요성에 대해 공감을 표했다. 김수호 금융위원회 금융혁신기획단 전자금융과 과장은 “SaaS의 경우 기업들이 탄력적으로 서비스를 이용할 수 있고 다양한 서비스가 나올 때 망분리 규제가 제약이 된다는 점에 공감이 된다”고 말했다. 

김수호 금융위원회 금융혁신기획단 전자금융과 과장

다만, 그럼에도 불구하고 망분리가 보안성이 뛰어나다는 것이 금융당국의 입장이다. 김수호 과장은 “2017년 랜섬웨어로 미국의 캐피탈원 등 전세계적으로 정보유출 사고가 많았다”며 “반면 우리나라의 경우 잘 버텼고, 이를 보아 망분리는 우리나라 정보보안의 근간이라고 주장하는 축이 있다”고 강조했다. 

아울러, 금융당국은 망분리 규제 완화를 위한 노력을 하고 있다는 점도 강조했다. 김수호 과장은 “SaaS와 관련해 혁신금융서비스로 규제를 완화했다”며 “이전에도 연구개발, 재택근무 등을 샌드박스로 풀어줬으며 조금씩 규제 완화를 하는 방향으로 가고 있다”고 전했다. 

다만, 당국은 망분리 규제를 완전히 해소하는 것은 어려움이 있다고 선을 그었다. 김수호 과장은 “모든 장벽을 해소하는 것은 현실적으로 애로가 있으며, 금융사의 여건에 따라 재량을 줘보자는 방향이 힘을 얻을 것으로 보인다”고 밝혔다. 이어 “조금씩 규제 완화하면서 장기적으로 자율성을 가지고 있는 방향을 염두해 점진적으로 접근할 것”이라고 덧붙였다.  

글. 바이라인네트워크
<홍하나 기자>0626hhn@byline.network

작은 것이라도 지나치지 않겠습니다. 0626hhn@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다