[이슈분석]망분리 규제, 데이터 중요도 중심 개편 필요

[이슈분석]망분리 규제, 데이터 중요도 중심 개편 필요

코로나19 사태로 비대면 근무가 확산하면서 금융권을 중심으로 망분리 규제 개혁 요구가 거세다. 엄격한 입장을 고수하던 금융당국도 규제 개선 필요성을 검토하기 시작했다.

특히 핀테크 업계는 신기술 개발과 업무 효율성, 비용 등 여러 이유로 망분리 규제 개선을 요구한다. 망분리 규제 개혁에 속도가 붙을지 이목이 쏠린다.

◇구시대 규제, 환경 변화와 맞지 않아

망분리는 보안을 위해 내부 업무망과 일반 인터넷망을 분리하는 조치다. 컴퓨터 두 대를 쓰는 물리적 망분리와 컴퓨터 한 대에 인터넷용 가상 컴퓨터를 구현하는 논리적 망분리로 구분된다. 국내 망분리 정책은 2006년 중앙정부에서 물리적 망분리를 도입한 이래 지자체와 공공기관, 민간 부문으로 확산했다.

시간이 흐르면서 망분리 규제는 신기술 활용을 가로막는다는 비판을 받았다. 2006년 당시 상황이나 원자력 발전소 등 민감 시설에는 적합한 정책일지 모르지만 초연결 시대를 표방하는 4차 산업혁명에 부합하지 않는다는 지적이다.

망분리가 오픈소스나 클라우드 등 신기술을 활용하는 데 걸림돌로 작용한다는 불만이 높아진다. 망분리를 위한 '내부 업무용 시스템'을 구분하는 것조차도 어려워졌다는 지적도 적지 않다.

특히 국내는 내부망과 외부망이라는 업무 영역별 규제가 획일적으로 적용돼 오히려 보안을 저해한다는 비판도 제기된다. 업무 효율성이 떨어지다 보니 이용자가 불편함을 우회할 방법을 찾게 되고, 이 과정에서 보안 사고가 발생한다는 것이다.

미국 등 해외에서는 업무 영역별 규제가 아닌 데이터 중요도별 망분리 규제를 적용한다. 망분리 규제 개혁을 촉구하는 국내 핀테크 업계도 이 같은 방식을 채택해야 한다는 주장이 거세다.

◇핀테크 업계 “신기술 활용 불가능”

망분리 규제는 금융뿐 아니라 공공 부문에도 적용되지만 신기술 도입이 활발한 핀테크 업계에서 개혁 요구가 거세다.

보안 업계 관계자는 “국가 주요 기반시설, 정보통신시설 등 공공기관도 망분리를 적용해야 하지만, 금융은 산업 자체가 돈과 직접적으로 관계된 부문이다 보니 데이터 활용과 보안에 대해 민감한 것”이라고 말했다.

핀테크 업계는 망분리 규제가 개발 현장을 고려하지 않아 업무 생산성을 떨어뜨린다며 손질을 촉구한다. 분석할 데이터는 인터넷과 연결되지 않는 내부망에 있지만 분석 도구는 인터넷망, 외부망에 있기 때문이다. 이 상황에서 개발자가 데이터를 분석·개발하려면 반출입하는 소스코드를 일일이 허가 받거나 보안 이동식저장장치(USB) 등으로 매번 옮겨야 하는 비효율이 발생한다.

핀테크 업계 관계자는 “실제 데이터가 아닌 가상 데이터를 개발하는 경우 보안 위험성이 없지만 현행 규제에 따라 일괄적 망분리가 적용되는 실정”이라고 토로했다. 개발자에게 물리적 망분리를 의무 적용하는 현행 규제 아래에선 최근 개발 환경 필수 요소로 부상한 오픈소스 라이브러리 활용도 실질적으로 불가능한 상황이다.

망분리 환경 구축을 위해 네트워크 장비, 개인용 컴퓨터(PC), 보안 시스템, 소프트웨어(SW) 라이선스 등에 비용이 2배 드는 점도 문제다. 영세 업체일수록 망분리 규제로 인해 데이터 활용과 신기술 개발이 어려운 이유다.

분리된 망 간 정보 교환을 위한 망연계 시스템 도입에도 약 1억원 비용이 수반된다. 스타트업 얼라이언스 조사에 따르면 망분리 규제는 개발자 생산성을 50% 떨어뜨리고 개발자 인건비는 30% 더 들게 만들며 25인 기준 사업장에 망분리 비용을 약 5억원 발생시킨다.

◇기존 금융권도 망분리 '불편'…“제2의 공인인증서”

망분리에 투자해 온 기존 금융권에서도 규제가 불편한 건 마찬가지다.

국내 대형 은행 고위 임원은 “망분리는 '제2의 공인인증서'와 같다”면서 “공인인증서로 전자금융 사고가 외국에 비해 굉장히 적었던 것처럼 망분리로 금융사 네트워크가 많이 안전해진 것은 사실이지만 정보 접근권, 업무 유연성 측면에서 꼭 정답은 아니라고 생각한다”고 말했다.

망분리가 보안을 위한 근본적인 조치이긴 하지만 디지털 전환 부서나 인터넷 뱅킹 부서에서 새로운 시도를 해보는 데 장벽으로 작용한다는 것이다.

이 임원은 “금융사 입장에선 망분리에 미리 투자를 해놓아 선뜻 변화를 주기가 어려울 것”이라면서 “핀테크 업체 등 전자금융업자는 기초 자본이 부족해 망분리 때문에 기술 개발이 어려워지는 상황”이라고 덧붙였다.

게티이미지뱅크
게티이미지뱅크

◇데이터 중요도별 망분리 적용 시작해야

핀테크 업계가 망분리 규제를 완전히 풀어달라고 주장하는 것은 아니다. 모든 데이터를 업무망과 인터넷망이라는 두 개 영역으로 구분해 일괄 분리 규제하는 것이 불합리하다는 지적이다. 데이터를 중요도 중심으로 구분, 보안성과 업무 효율성 향상을 동시에 꾀해야 한다는 주장이다.

대통령 직속 4차산업혁명위원회는 지난해 10월 '대정부 권고안'을 통해 도메인 중심 현 사이버 보안 정책에서 탈피해 초연결 시대에 맞는 데이터 중심 정책으로 패러다임을 전환하자고 촉구했다.

4차 산업혁명 기본 철학과 상충하며 인공지능(AI), 빅데이터 등 4차 산업혁명 육성에 심각한 걸림돌이 된다고 지적하면서 데이터 중요도에 따라 망분리 등 보안 정책과 컨트롤타워 체계를 재정립하자고 제안했다. 기밀이 아닌 것으로 분류된 데이터는 유통과 활용을 최대한 장려해 데이터 산업 육성 기반을 마련해야 한다는 게 골자다.

김승주 고려대 정보보호대학원 교수는 “데이터 3법이 입장별로 평행선을 달리는 이유도 아직 데이터 중요도 구분이 안 됐기 때문으로 분석할 수 있다”면서 “금융 정보를 상·중·하로 나눠 '하'에 속하는 데이터부터 활용해보자는 것”이라고 말했다.

이어 “4차 산업혁명과 데이터 3법이 성공하려면 적어도 망분리 분야에서만큼은 데이터 중요도 구분 작업을 시작해봐야 한다”고 촉구했다.

기업 책임을 강화하는 자율규제·사후규제로 가자는 제안도 있다. 정부가 표준, 가이드라인 등을 통해 기업이 도입할 수 있는 기술과 기준을 알려주고 이에 대한 지원과 모니터링을 실시하는 방향으로 바뀌어야 한다는 것이다.

유럽 개인정보보호규정(GDRR)은 사후규제에 대한 예로 제시된다. 유럽은 개인·신용정보 유출과 보안 사고를 예방하기 위해 망분리가 아닌 사후규제를 운영한다. GDPR 위반 시 기업 전체 매출의 4%를 과징금으로 부과한다.

오다인기자 ohdain@etnews.com