“일률적 망분리 시대착오적…자율 제고하고 책임성 강화해야“

스타트업얼라이언스
‘망분리 규제 핀테크 개발환경 영향’ 토론회

물리적 망분리로 해킹 차단 불가능
위험 수준 따라 데이터 등급화하고
차등적 보안정책 시행될 필요 강조

28일 스타트업얼라이언스 주최로 열린 망분리 규제 관련 토론회에서 송명진 과하기술정책연구원 부연구위원이 발제하고 있다. — 28일 스타트업얼라이언스 주최로 열린 망분리 규제 관련 토론회에서 송명진 과학기술정책연구원 부연구위원이 발제하고 있다.

[정보통신신문=최아름기자]

금융기업 및 핀테크기업에 동일하게 적용되고 있는 물리적 망분리 규제 정책과 관련해, 물리적 망분리라는 원천 차단 방식보다는 기업의 자율성과 책임성 강화, 위험 수준에 따른 등급화된 관리정책 등이 필요한 시점이라는 전문가들의 의견이 제시됐다.

28일 스타트업얼라이언스는 더불어민주당 이용우 의원실, 홍정민 의원실, 한국핀테크산업협회와 함께 ‘망분리 규제가 핀테크산업 개발환경에 미친 영향’ 토론회를 개최했다.

망분리란 사이버위협, 정보유출 등을 방지하기 위해 업무용(내부망)과 인터넷용(외부망)으로 분리하는 것을 말한다.

논리적 망분리가 한 대의 PC 안에서 업무용과 인터넷용으로 분리하는 것이라면, 물리적 망분리는 2대의 PC와 별도의 망을 통해 분리한는 것을 말한다.

2006~2010년 공공부문에서 처음 도입됐으며 2009년, 2011년, 2013년 정부 및 금융사에 대한 디도스 공격으로 인해 2013년 전자금융감독규정이 이뤄졌다. 중요 내용은 △중요한 정보를 보유한 내부통신망은 인터넷 등 외부통신망과 분리차단 및 접속 금지 △운영, 개발, 보안 목적으로 직접 접속하는 단말기에 대해서는 인터넷 등 외부통신망으로붙터 물리적으로 분리 등이다.

하지만 모든 것을 연결하는 초연결시대 망분리 조항은 시대 착오적이라는 비판을 받고 있다.

2016년과 2019년 전자금융감독규정이 개정돼 비중요 및 중요정보처리시스템의 클라우드 이관 이 가능해졌으나, 개발자의 경우는 여전히 망분리를 적용해야 해 클라우드는 VPN 또는 전용선을 통해 연결해야 한다.

송명진 과학기술정책연구원 부연구위원에 따르면, 물리적 망분리는 악성코드와 바이러스 유입을 원천 차단하는 장점이 있다. 하지만 구축비용이 많이 들고 보안관리 업무도 많이 들어간다. 데이터 흐름을 USB 통해서 이동시켜야 하는 등 비효율이 늘어나고 인건비가 많이 든다.

또한 물리적 망분리 상태에서도 보안사고는 일어나고 있다. USB를 통한 오토런이나, 적외선 원격제어, 초음파통신 등을 통해 물리적 망분리 상태는 뚫을 수 있는 것으로 알려져 있다.

망분리 규제로 인해 SW 개발자들이 핀테크산업을 기피하는 것도 산업 발전을 저해하는 큰 요인이 되고 있다.

이대호 성균관대학교 교수가 28일 열린 망분리 규제 관련 토론회에서 발제하고 있다.

이대호 성균관대학교 인터랙션사이언스학과 교수가 최근 핀테크 기업에서 개발 업무를 수행하는 SW엔지니어 134명을 대상으로 한 표본 조사 결과, 가장 많은 68.1%가 업무 스트레스 원인으로 물리적 망분리를 들었다.

이직 및 퇴사 요인 역시 망분리 관련 고충이 54.3%로 가장 높은 것으로 나타났다. 타산업 대비 부족한 보상, 타산업 분야의 이직 제의 등이 그 뒤를 이은 것으로 나타났다.

또한 지난해 스타트업 얼라이언스 발표에 따르면 망분리 규제는 개발자원 활용을 어렵게 해 업무 생산성을 기존의 50% 이하로 저하시키는 것으로 분석됐다.

이 교수는 “보안에 대한 두려움으로 인한 정책이 기술 발전을 막고 있거나, 기술도 보안도 지키지 못하게 하고 있는 것은 아닌지 되짚어봐야 한다”고 말했다.

토론에 참여한 이석윤 서울대학교 수리과학부 객원교수는 정책당국은 보안에 대한 포괄적인 가이드라인만 제시하고, 기업이 자율적으로 세부 사항을 결정하고 대신 책임성을 강화하는 방식의 정책 방향성 변화가 필요하다고 주장했다.

그는 2009년, 2013년 디도스 대란 당시에도 물리적 망분리는 돼 있었다며 국가 차원의 해킹은 상당히 빠르게 고도화되기 때문에 이를 100% 막는다는 접근은 잘못된 개념으로 이보다는 사고 시 피해 최소화 방안을 고민하는 것이 더 합리적 접근이라고 지적했다.

또한 국가기관에 적용시킨 망분리 정책을 금융기관에 그대로 적용하고, 대형금융사와 오픈소스, 클라우드 활용 등 외부 정보 활용도가 높은 핀테크 업체의 망분리수준을 동일하게 적용한 것이 정책당국의 실책이었다고 강조했다.

그는 데이터 식별 및 중요도는 기업이 가장 잘 알고 있다며 금감위가 금융기술연구원 등과 함께 핀테크 업체 데이터를 분류하고 중요도에 따라 등급을 적용하고 포괄적인 가이드라인만 제시해줘야 금융당국의 책임을 덜 수 있다고 조언했다.

또한 그는 금융사는 지침만 준수하면 된다는 안일주의에서 벗어나 피해 전액 보상이 가능한 보험가입을 의무화하고 업체 과실로 인한 사고에는 과태료 등 철저하게 처벌해야 최신 기술도입에 적극적일 것이라고 덧붙였다.

김남진 카카오페이 CISO가 28일 열린 망분리 규제 관련 토론회에서 발언하고 있다.

김남진 카카오페이 최고정보보호책임자(CISO)는 목적 달성에는 다른 효과적인 방법이 있을 수 있다는 공감대 형성이 중요할 것이라며 같은 리스크 결정 요인이 되는 접속 대상권한방법 등은 차치하고 운영개발보안이라는 목적에 해당하지 않는다고 같은 접속 대상권한방법에도 해당 목적에만 물리적 망분리 예외가 되는 것은 비합리적이라며 이러한 부분의 합리화가 필요하다고 지적했다.

또한 보안 자체가 목적은 아니라고 생각한다며 사고 자체가 아닌 그로 인한 피해나 문제 발생 차단이 주 목적이라면, 금융사의 실질적인 리스크와 사고 발생 시 일어나는 영향을 판단해서 100% 위험 차단이 아닌 위험도에 맞는 적절한 보안 환경 유지와 이를 위한 투자 환경 마련이 필요하다고 덧붙였다.

최아름 기자 다른기사 보기