[그게 뭔가요] 규제완화 분위기 스멀스멀 ‘망분리’
갈수록 고도화되고 있는 사이버 공격의 원리는 간단하다. 인터넷망을 통해 악성코드가 흘러들어오는 것이 사이버 공격의 시작이다. 해커는 이메일, 그룹웨어, 공급망 등으로 악성코드를 유포해 기업의 데이터나 자료, 계정 등을 갈취한다. 이를 막기 위해 기업들은 보안 장비를 구축하고 보안 소프트웨어(SW) 서비스를 이용한다.
그럼에도 한계는 있다. 세상에 뚫리지 않는 방패가 없듯 해커는 기업들의 허점을 노리고 사이버 공격을 단행한다. 그리고 그 수법은 날로 갈수록 교묘해지고 있다.
보안이 중요한 공공·국가기관과 금융권은 사이버 공격을 원천 차단하기 위해 인터넷을 끊어버리기로 했다. 일반 인터넷망과 인터넷이 연결되어 있지 않은 업무망을 분리한 것이다. 인터넷이 연결되지 않은 컴퓨터로 업무를 하니 해킹 걱정이 없어졌다. 이를 ‘망분리’라고 한다.
망분리는 국가 정책적 차원에서 시행되고 있으며, 공공·국가기관 뿐만 아니라, 금융사, 전자금융사업자(핀테크), 일정 규모 이상의 IT기업은 의무적으로 망분리를 해야 한다. 지난 2017년 랜섬웨어 ‘워너크라이’가 전세계에 대규모 피해를 일으켰음에도 불구하고, 국내는 큰 피해가 없었다는 점에서 망분리 규제는 효과를 입증했다.
그러나 양지가 있으면 음지도 있는 법. 인터넷에 연결되지 않은 컴퓨터로 일을 하는 것은 생산성을 갉아먹을 수 있다. 특히 인공지능(AI), 클라우드, 서비스형 소프트웨어(SaaS) 등의 활용도가 높아지는 가운데, 망분리 때문에 이런 신기술을 이용할 수 없다. 망분리가 의무화된 금융권 등에서 아우성이 나오고 있는 이유다. 정부에서도 기업들의 이러한 의견에 공감하면서 망분리 규제 개선에 나서겠다고 밝혔다.
<바이라인 네트워크>는 망분리가 무엇인지, 왜 규제가 생겼는지, 어떤 산업에 적용받고 있는지 등을 짚어봤다.
망분리는 무엇인가
망분리는 주로 공공·금융기관에서 인터넷망과 완전히 분리된 환경에서 업무를 할 수 있도록 인터넷망과 업무망을 분리하는 것을 말한다.
망분리는 두 가지 방식으로 나뉜다. 물리적 망분리와 논리적 망분리로, 사용하는 PC 대수에 따라 차이가 있다.
먼저, 공공기관과 금융권에서 흔히 쓰는 물리적 망분리는 물리적 PC를 두 대 사용하는 방식이다. 인터넷PC와 내부망PC가 별도로 존재한다. 직원은 업무할 때 인터넷이 연결되어 있지 않은 내부망PC를 사용하고, 인터넷 사용이 필요한 경우 인터넷PC를 사용한다.
논리적 망분리는 한 PC에 가상의 컴퓨터를 구현해 인터넷을 연결하는 방식이다. 이때 가상데스크톱인프라(VDI, Virtual Desktop Infrastructure) 기술이 활용된다. VDI는 PC 안에 또 하나의 가상 PC를 만들 수 있도록 돕는 기술이다. 데이터센터에 있는 서버를 컴퓨터 작업 에 필요한 본체로 활용, 이때 사용자의 가상 PC에 화면 정보만을 전달한다.
망분리를 하는 이유
일할 때 인터넷 활용은 필수인데 왜 망분리를 해야 하는 것일까. 망분리를 하는 이유는 사이버 보안 위협을 막기 위해서다. 보통 사이버 공격은 인터넷을 통해 이뤄진다. 이메일을 활용한 악성코드 첨부파일, 피싱 사이트 등이 대표적이다.
예를 들어, 해커는 특정 기업 임직원에게 악성코드가 담긴 한글파일이나 PDF 파일을 이메일로 보낸다. 직원이 파일을 열면 PC가 악성코드에 감염된다. 또는 해커는 악성 사이트를 만들어 이를 배포한다. 마찬가지로, 해당 사이트에 방문하면 악성코드에 감염되는 좀비 PC가 되거나, PC에 저장된 파일이나 데이터 등을 탈취할 수 있다.
이렇듯 사이버 공격은 인터넷을 통해 내부 시스템에 접근할 수 있는 단말기가 악성코드에 감염돼 정보유출, 자료파괴 등의 해킹 공격으로 이어진다. 따라서 네트워크와의 연결을 분리해 사이버 공격 침투를 원천적으로 차단하려는 취지에서 망분리 규제가 시행됐다.
당국은 망분리의 보안 효과는 이미 입증됐다고 봤다. 실례로, 지난 2017년 랜섬웨어 ‘워너크라이’가 전세계를 강타했으나 당시 국내에선 피해사례가 미미했다. 특히 금융권에서 피해 사례가 나오지 않았다는 점에서 망분리 효과가 입증됐다는 평가가 나온다.
망분리 규제는 왜 생겼나?
현재 망분리 규제를 적용받고 있는 곳은 공공기관과 금융권이다. 공공에서 시행된 것은 지난 2000년대 후반이다. 2006년 일부 공공기관에서 시범적으로 망분리를 해오다가, 본격적으로 공공기관 망분리 지침이 마련된 것은 지난 2007년 4월이다. 이듬해 국가정보원(국정원)에서 망분리 가이드라인을 발표하면서, 망분리 규제는 국가·공공기관으로 확대됐다. 정부의 망분리에 대한 관심은 지난 2009년 우리나라와 미국의 주요 정부기관, 포털 사이트, 은행 사이트 등이 디도스(분산 서비스 거부 공격, DDoS)을 당하는 등 대규모 사이버 공격으로 인해 더 커졌다.
금융권에서는 지난 2011년 NH농협은행의 전산망 마비 사태가 벌어진 것이 발단이 됐다. 그해 4월 농협 전산망에 있는 자료가 대규모로 손상되면서 며칠에 걸쳐 ATM을 비롯한 입출금 등 창구 업무, 인터넷 및 폰뱅킹 등의 서비스 이용이 마비됐다. 당시 농협은행 유지보수를 담당하던 외주업체 직원의 업무용 PC가 감염된 것이 원인으로 밝혀졌다. 이를 계기로 지난 2014년부터 모든 금융권의 물리적 망분리 규제 준수가 의무화됐다.
아울러, 일부 IT기업에도 망분리 규제가 적용된다. 정부는 2012년 개인정보 유출을 막기 위해 일정 규모 이상의 정보 통신서비스 제공자의 망분리를 의무화했다. 단, 망분리 종류에 상관없이 망분리 조치만 하면 된다는 점에서 공공기관과 금융권과 차이는 있다. 이때 해당되는 곳은 100만명 이상의 개인정보를 보유하고 있거나, 매출액 100억원 이상인 정보통신서비스 제공자로, 개인정보처리시스템을 접속할 때 외부 인터넷 망을 차단하도록 규정했다.
터져 나오는 망분리 규제 해소 목소리
클라우드나 AI, SaaS 등이 전 산업군에서 활발하게 쓰이면서 망분리 규제를 해소해야 한다는 목소리가 나온다. 이러한 신기술 활용을 위해선 소스코드, 오픈소스 활용 등 인터넷 연결이 필수적이지만 망분리로 인해 활용이 어렵다는 것이 규제를 적용 받는 기업들의 주장이다. 여기에 더해 IT업계에선 망분리 규제를 기피하는 개발자들이 지원하지 않아, 인재 영입이 어렵다는 호소를 하고 있다.
금융위는 망분리 규제를 손보기 시작했다. 지난 2022년 금융위는 개발·테스트 분야와 비금융 업무·SaaS에 대한 망분리 예외조치를 허용했다. 그러나 이마저도 제한적이어서 기업들은 유연한 개발 환경을 구현하기 어렵다고 주장한다. 결국 금융위는 지난달 유관기관, 전문가 등이 속한 ‘금융부문 망분리 태스크포스(TF)’를 꾸리고, 개선과제를 발굴하는 등 금융 망분리 규제를 개선하겠다고 밝혔다.
공공도 마찬가지다. 윤석열 대통령이 지난해 말 망분리 정책 제도 개선을 지시한 것이 계기가 됐다. 마찬가지로, 클라우드 전환, AI가 확산되는 가운데 기존 방식으로는 효과적인 업무에 한계가 있다는 이유에서다. 대통령의 지시로 국정원이 주도하는 TF가 구체적인 방안 마련에 나서고 있다. TF는 민감 개인정보, 공개정보, 기밀 등 데이터 보안 중요성에 따라 망분리 정도를 달리하는 방향으로 가닥을 잡은 것으로 알려졌다. TF는 오는 9월 구체적인 내용을 발표할 계획이다.
글. 바이라인네트워크
<홍하나 기자>0626hhn@byline.network
[무료 웨비나] API연결만으로 가능한 빠르고 쉬운 웹3 서비스 구축
- 내용 : API 연결을 통해 웹2와 웹3를 끊김 없이 연결하는 최신 융합 기술과 이를 통한 적용 사례를 다룹니다.
- 일시 : 2024년 10월 10일 (목) 14:00 ~ 15:10