[정보통신신문=이민규기자]

최근 다양한 유형의 사이버 테러와 해킹이 빈번히 발생하면서 정보통신 네트워크를 용도에 따라 나누어 사용하는 ‘망분리’의 중요성이 커지고 있다.

많은 양의 정보를 관리하는 공공기관이나 금융기관, 민간기업 등에서 정보통신망을 내부용과 외부용 등으로 적절하게 분리해 안전하게 운영하는 게 망분리의 핵심이다. 체계적인 망분리를 통해 사이버 보안위협에 능동적으로 대처하고, 유·무선 데이터 트래픽의 폭증에도 효과적으로 대비할 수 있다.

■망분리의 발자취와 법적 근거

국회 입법조사처 보고서(디지털 금융혁신 관련 입법·정책과제, 2021년 6월)에 따르면, 우리나라의 망분리 규제는 국가·공공기관에서부터 먼저 시행됐다.

먼저 2006년 국가사이버안전전략회의에서 국가기관의 업무 전산망과 인터넷 분리방침이 최초로 보고됐다. 국가 차원에서 해킹 및 사이버 공격을 예방하고 불의의 보안침해사고에 따른 피해를 최소화하기 위한 조치다.

이듬해에는 국무총리실과 통일부에서 망분리 시범사업을 추진했으며, 2008~2009년 주요 정부 부처를 중심으로 망분리 사업이 본격적으로 확산되기 시작했다.

이 같은 공공부문의 움직임을 바탕으로 민간기업에 대해서도 망분리 적용이 의무화됐다. 민간부문의 망분리는 개인정보 보호에 초점을 맞추고 있다. 

관계법령을 살펴보면, 2012년 8월 17일 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률 (정보통신망법) 시행령’에 민간영역에 대한 망분리 조치 의무화 규정이 명시됐다.

이후 4차 산업혁명 시대를 맞아 개인정보의 보호 및 활용에 관한 법·제도를 체계적으로 정비하기 위해 지난해 8월 4일 개인정보보호 관련사항이 ‘개인정보보호법’으로 이관됐다.

이에 따라 정보통신망법시행령에 명시됐던 종전의 망분리 관련규정은 개인정보보호법 시행령 제48조의2로 자리를 옮기게 됐다.

금융부문의 망분리 규제는 ‘전자금융감독규정(금융위원회 고시)’ 제15조에 규정돼 있다. 아울러 망분리 적용의 예외 사유는 같은 고시 제2조의2에 규정에 명시돼 있다.

■기술·관리적 보호조치 기준
망분리에 관한 기술적 내용은 지난해 8월 제정된 ‘개인정보의 기술적·관리적 보호조치 기준(개인정보보호위원회 고시)’에 명시돼 있다.

해당 고시에 따르면 ‘망분리’란 업무망과 외부 인터넷망을 분리하는 망 차단조치를 말한다. 이는 외부 인터넷망을 통한 불법적인 접근과 내부정보의 유출을 차단하는 데 목적을 두고 있다.

이 고시는 개인정보의 ‘접근통제’에 대해서도 명확히 규정하고 있다. 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상인 경우 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로 망분리를 해야 한다.

아울러 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도) 매출액이 100억원 이상인 정보통신서비스 제공자등도 이 규정의 적용을 받게 된다.

이와 함께 금융위원회 고시에 따라 금융회사 또는 전자금융업자는 전산실 내의 정보처리시스템과 해당 정보처리시스템의 개발 목적으로 직접 접속하는 단말기에 대해 물리적으로 망분리를 실시해야 한다.

■외부 보안위협 충분히 검토해야
지난 2017년 방송통신위원회와 한국인터넷진흥원이 만든 ‘정보통신서비스 제공자등을 위한 망분리 해설’에 따르면 업무망과 인터넷망을 분리하는 방식은 물리적 망분리와 논리적 망분리 등으로 나뉜다.

물리적 망분리는 업무망과 인터넷망을 물리적으로 분리할 뿐만 아니라 각각의 망에 접속하는 컴퓨터도 물리적으로 분리해 망 사이의 접근경로를 차단하는 방식을 말한다.

즉, 어떠한 경우도 동일한 시점에 한 컴퓨터에서 업무망과 인터넷망을 동시에 접속할 수 없도록 하는 방식이다. 이는 업무망 컴퓨터에서 인터넷망과의 연결점을 제거해 인터넷으로부터의 악성코드 감염, 해킹, 개인정보 유출 등의 경로를 원천적으로 차단하는 방법이라 할 수 있다.

논리적 망 분리는 가상화 기술을 이용해 서버 또는 컴퓨터를 가상화함으로써 논리적으로 업무망과 인터넷망을 분리하는 방식을 말한다. 일반적으로 1대의 컴퓨터에서 일반 영역과 가상 영역에 각각 접속해 업무를 수행하는 방식으로 논리적 망분리가 이뤄진다.

논리적 망분리는 일반적으로 물리적 망분리에 비해 상대적으로 보안성이 떨어질 수 있다. 이에 논리적 망분리 방식을 적용할 때에는 가상화 기술에 관한 보안 위협 등에 대해 충분히 검토하고 대책을 수립해야 한다.

기술적 측면에서 망분리 적용 시 크게 다음의 2가지 사항을 고려해야 한다.
무엇보다 충분한 보안성 검토 등을 통해 안전하게 네트워크를 구성해야 한다. 망분리 구성이나 설정 상의 취약점을 이용해 업무망에 침투하거나 대량의 개인정보 유출 사고 등이 발생하고 있기 때문이다.

또한 망분리 적용자와 미적용자가 동일한 네트워크 구간에 존재하는 경우 망분리를 적용하지 않은 사람의 컴퓨터를 경유해 개인정보처리시스템에 침투하는 사례도 발생하고 있으므로 이에 필요한 대책을 수립할 필요가 있다.

■금융분야 이슈 및 개선방안
공공부문과 민간부문을 망라해 망분리에 대한 관심이 고조되고 있는 곳으로 금융분야를 들 수 있다.
인터넷뱅킹은 물론 스마트폰 기반의 모바일뱅킹 등 전자금융거래 이용수단의 발달로 금융소비자들의 편의성은 높아졌지만 그만큼 금융 전산망에 대한 외부의 위협이 커지고 있는 까닭이다.

더욱이 전자금융 이용자의 PC나 모바일기기 등에 악성코드를 감염시켜 개인정보를 취득하고 부정거래를 통해 자금을 편취하는 사고가 발생하면서 특단의 대책 마련이 요구되고 있다.

그렇지만 우리나라의 망분리 규제는 금융부문의 개발자들로부터 비판을 받아 왔다. 무엇보다 현재 안전한 디지털금융 생태계 확립을 위한 명확한 보안원칙과 기준이 전자금융거래법에 명확하게 존재하지 않는다는 지적이 일고 있다.

또한 기존 망분리 규제 하에서는 데이터와 분석도구가 분리돼 데이터 활용에 비효율적이라는 점, 개발 속도의 저하로 인건비가 증가하고 인재 유출이 발생한다는 점 등도 문제점으로 지적되고 있다.

이와 관련, 국회 입법조사처는 최근 발간한 정책보고서에서 망분리 규제 개선을 위해 전자금융거래법 개정을 통해 금융보안의 원칙 정립 및 책임성을 강화하고 보안정책을 데이터 중심으로 전환하는 방안을 생각해 볼 수 있다고 밝혔다. 또한 업무 비효율에 따른 규제 개선의 시급성을 고려해 혁신금융서비스 지정을 적극 활용하는 방안을 검토할 수 있다고 강조했다.

아울러 개발망에 대해 자격을 갖춘 기업에 대해 제한적으로 물리적 망분리 규제를 완화하되 보안성·위험성 심사와 보고를 강화하는 방안 등도 살펴볼 수 있다고 제안했다.

나아가 보고서는 금융당국의 보안관련 전문성 부족 등으로 인해 실질적인 규제개선이 어려울 수 있으므로 외부 보안전문가로 구성된 심의기구로서 금융위원회에 내에 ‘금융보안 전문위원회’를 설치하는 방안을 제시했다.

이를 통해 △금융보안 정책의 개선 △금융보안 관련 감독규정의 개정 △물리적 망분리의 예외 인정 여부 등을 신속하고 합리적으로 결정하게 할 수 있다는 분석이다.

이민규 기자 다른기사 보기