"금융 망분리 규제, 시대에 안맞아…기업 자율성·책임 높여야"

19일 서울 삼성동 스타트업얼라이언스에서 ‘핀테크 산업 경쟁력 강화를 위한 망분리 감독규정 개정 방안’ 토론회가 열렸다. (사진=이데일리)

[이데일리 한광범 기자] 금융산업에 대한 망분리 의무화 규제가 ‘초연결사회’를 지향하는 4차 산업혁명시대에 적합하지 않다는 지적이 나왔다. 망분리 규제를 완화하되 기업 책임을 대폭 높이는 방향의 정책 전환 필요성이 제기됐다.

19일 스타트업얼라이언스가 주최한 ‘핀테크 산업 경쟁력 강화를 위한 망분리 감독규정 개정 방안’에서 김승규 고려대 정보보호대학원 교수는 “인터넷을 (도메인) 영역으로 나눠서 데이터를 안에서만 돌게 하면 초연결사회가 만들어질 수 없다”고 강조했다. 그는 이어 “4차 산업혁명의 기본 철학에 상충될 뿐 아니라 빅데이터 활용도 안돼 산업 육성에 심각한 걸림돌이 될 수 있다”고 지적했다.

해외 주요국, 자료 중요도 따른 망 분리 정책

김 교수는 “외국에서도 망분리를 하지만 (업무망 전체를 분리하는) 우리와는 다르다”며 “자료의 중요도에 따라 기밀자료 유통망과 일반 업무자료 유통망으로 나눠져 있다. 기밀자료 유통망은 분리돼 있지만, 일반 업무자료가 스마트기기나 클라우드와 연결돼 있다”고 전했다.

그러면서 “우리나라처럼 망분리를 하면 기업 보안담당자 입장에선 업무망의 모든 자료에 대해 동일한 수준의 보안을 해야 한다. 보안 예산이 한정돼 있다는 점을 감안하면 하향 평준화가 발생하게 되는 것”이라며 “기밀자료 보안에만 집중하면 예산을 훨씬 효율적으로 사용할 수 있다”고 강조했다.

그는 “기존 도메인 중심을 데이터 기준으로 바꾸려면 일단 데이터 분류 기준이 있어야 되는데 우리나라엔 아직 없다”며 “전산시스템 데이터가 기하급수적으로 증가하는 상황이라 이를 나중에 고치려면 비용이 더 증가할 수밖에 없다”고 말했다.

이석윤 서울대 수리과학부 객원교수도 “초연결사회에선 인터넷을 매개로 모든 정보를 주고받아야 하는데, 현재의 물리적 망분리 정책은 데이터를 원활히 공유하지 못하게 한다”며 “특히 금융 분야에선 새로운 핀테크의 부가가치를 일으킬 수 있어야 하는데 망분리로 장애가 발생한다”고 주장했다.

이 교수는 “보안을 담당하는 사람들로선 가장 보수적인 정책을 펼 수밖에 없는 것이 맞지만 4차 산업혁명시대에 다들 앞으로 가는데 우리만 홀로 갈라파고스에서 살 수 없다”며 “금융데이터를 보호하며 활용할 수 있는 정책방향의 전환이 필요하다”고 밝혔다.

참석자들은 정책 방향에 대해선 보안 정책에 대한 기업의 자율성을 보장하되 보안 사고에 대한 책임을 강화하는 방식의 접근이 필요하다고 입을 모았다.

신용석 비바리퍼블리카 CISO(최고정보보호책임자)는 “보안 통제 방법에서 인터넷의 어느 수준까지 차단할지, 망분리 대상을 어떻게 할지에 대해선 기업들이 각각 처한 환경에 맞게 자율성을 보장해주는 대신 책임을 높이는 방향이었으면 좋겠다”는 입장을 피력했다.

그는 “가령 25명 규모의 핀테크 기업이 망분리를 했을 때 추가되는 비용이 5억원 정도로 파악되고 있다. 망 연계 솔루션조차도 1억원 정도의 예산을 잡아야 한다. 스타트업으로선 부담스러울 수밖에 없다”며 “경쟁력이 약화되면 핀테크 기업의 존망이 위태로워질 수 있다”고 우려했다.

페북 벌금 6조원인데, 우리 최대 과징금 45억 불과

신 CISO는 대신 “기업 책임으로 개인정보 유출이 일어났다면 법률 개정을 통해 기업 책임을 명확히 물을 수 있도록 해야 한다”며 “정부부처를 질타한다면 결국 기업에 대한 정책적 규제 강화로 이어질 수밖에 없다”고 지적했다.

그는 “국내의 개인정보 유출에 대한 최대 과징금이 45억원이었던 데 반해, 페이스북은 6조원가량을 냈고, 영국 항공사는 전 세계 매출의 1.5%를 벌금 처분을 받았다”며 “과징금 기준을 대폭 상향해 미국이나 유럽 수준으로 높여야 기업들의 책임지는 노력이 뒤따르게 될 것”이라고 강조했다.

김 교수는 우리나라 업계의 안일한 책임의식을 꼬집기도 했다. 그는 “문재인정부는 네거티브 규제를 하려고 한다. 다만 알아서 하라고 하는 건 자유를 주는 대신 책임도 지라는 것”이라며 “기업들이 규제를 풀어달라는 얘기를 많이 하면서도 배상에 대한 인식은 별로 없다. 업체 스스로 배상 문제를 더 신경써야 한다”고 일침했다.

그는 핀테크 업계 일각에서 미국의 ‘페이팔’ 사례를 들며 규제완화를 요구하는 것과 관련해서도 “페이팔도 처음 만들어졌을 땐 지금처럼 안전하지 않았고 초창기 사고도 많았다. 사고를 내고 손해를 배상하고 보안시스템에 투자하며 지금의 페이팔이 생긴 것”이라며 “우리 기업 중 일부는 배상 문제는 생각하지 않고 가입자 늘려서 투자받을 생각만 한다”고 꼬집었다.