"망분리 규제, 외국처럼 세분화 필요"…금융위도 "고민 중"

김승주 고려대학교 정보보호대학원 교수가 15일 열린 `디지털 뉴딜과 보안 패러다임` 컨퍼런스에서 코로나로 인한 보안 패러다임의 변화에 대해 설명하고 있다.(사진=스타트업얼라이언스 제공)

[이데일리 이후섭 기자] 포스트 코로나 시대 재택근무가 확산되면서 망 분리 규제를 완화해야 된다는 목소리가 높아지고 있다. 획일적으로 업무용 내부망과 인터넷용 외부망을 분리하는 구조에서 벗어나 망 분리 대상을 세분화할 필요가 있다는 요구가 계속된다. 금융위원회도 근무 환경이 변하면서 망 분리 규제에 대한 근본적인 고민을 하고 있다는 입장이다.

“외국은 PC 7대까지 분리…망분리 빨리 해결해야 `초연결 시대` 진입”

김승주 고려대학교 정보보호대학원 교수는 15일 열린 `디지털 뉴딜과 보안 패러다임` 컨퍼런스에서 “국내에서는 업무망과 인터넷망을 분리시켜 놓고나서 업무를 위해 인터넷이 필요할 경우에는 다시 망 연계 솔루션을 사용하는 등 말도 안되는 정책이 충돌하고 있다”며 “망 분리 문제를 빨리 해결해야만 4차 산업혁명시대, 소위 `초연결 시대`에 진입할 수 있을 것”이라고 강조했다.

핀테크 업계에서는 업무용 시스템이라는 모호한 범위를 명확히 규정하고 세분화해 망분리 대상을 다시 설정할 필요가 있다는 입장이다. 외국에서는 획일적인 망 분리가 이뤄지지 않고, 데이터를 중요도에 따라 분류하고 전산망이 등급별로 나눠있다는 설명이다. 김 교수는 “외국의 경우 한 사람의 책상에 PC를 전산망에 맞춰 7대까지 구분해 놓은 곳도 있다”며 “일반 업무자료와 기밀자료 유통망이 구분돼 클라우드를 적용해도 아무 문제가 없을뿐더러 기밀자료 시스템에 접근하는 횟수는 연간으로 따져도 그다지 많지 않아 큰 불편함 없이 보안성도 유지할 수 있다”고 설명했다.

금융위 “국내 금융특성 고려해 엄격히 규제…근무환경 변화 감안할 것”

이에 금융위는 국내 금융 특성을 고려해 망 분리를 엄격하게 규제하고 있다면서도 코로나 사태로 인한 근무환경의 변화를 감안해 규제 개선을 위해 노력하겠다는 입장을 밝혔다.

이한진 금융위 전자금융과장은 “금융 분야에서 전산센터 서버와 연결된 단말은 PC 2대를 가지고 물리적으로 망을 분리하고, 영업점은 논리적 망 분리를 적용하고 있어 공공 부문의 수준에 가깝게 망 분리 규제가 맞춰져 있다”며 “일반 ICT 수준의 규제를 받던 핀테크 업체 입장에서는 공공부문 수준의 규제를 적용하면 불편함을 느낄 수 있다”고 공감했다.

하지만 국내 금융 특성을 고려한 규제로, 2017년 당시 전 세계적으로 랜섬웨어 사태가 발생했음에도 국내 금융권은 한 군데도 뚫리지 않는 성과를 거두기도 했다는 설명이다.

이 과장은 “우리나라만큼 실시간 송금 체계를 잘 갖춘 나라가 없다”며 “이는 은행 공동망에 수십년간 투자를 이어온 결과로, 핀테크 업체도 공동망을 이용하고 있는데 한 곳에서 뚫리면 전체의 큰 사고로 이어질 수 있다”고 우려했다.

다만 코로나 사태로 재택근무가 확산되면서 금융권에도 일부 망 분리 규제 예외를 허용했던 것이 새로운 변화의 계기가 될 것으로 기대된다. 이 과장은 “이번에 재택근무로 인한 환경 변화에도 금융사들이 별 문제없이 견뎌내는 것을 보고 망 분리 규제에 대한 근본적인 고민을 하고 있다”며 “이날 나온 의견들을 잘 반영해서 규제를 개선하도록 노력할 것”이라고 말했다.

편의성·보안성 모두 높이려면 `보안 내재화` 필요해

김 교수는 이날 `코로나로 인한 보안 패러다임의 변화`를 주제로 발표하며 보안 내재화와 블록체인 기반 분산ID(DID) 등에 대해서도 언급했다. 비대면 문화 확산으로 사물인터넷(IoT) 보안 중요성이 커지고 있는데, `줌(Zoom)`이 보안 논란에도 화상회의 1인자 자리를 지키고 있는 것처럼 사용자 편의성이 우선돼야 한다는 것이다. 쓰기 편리하면서도 보안성을 높이기 위해서는 보안 내재화가 필요하다는 진단이다.

그는 “보안 사고가 나서 업데이트를 계속 하다보면 누더기처럼 덧대져 오히려 쓰기 불편해진다. 처음 설계 단계에서부터 보안을 고려해 만드는 보안 내재화는 덧댈 필요가 없다”며 “2022년부터 신차에 대해 보안 내재화가 제대로 이뤄지지 않은 자동차는 유럽에 수출이 불가능해진다”고 강조했다.

DID 기술에 대해서는 기존 공인인증서를 대체할 인증 수단으로 논의되고 있지만, 글로벌 호환성이 중요하다는 지적이다.

김 교수는 “국내에서 거론되고 있는 DID 기술은 프라이빗 블록체인이 적용돼 외국의 대체 인증수단과 거리가 다소 있다”며 “외국처럼 퍼블릭 블록체인을 기반으로 하는 기술이 개발되지 않으면 기존 공인인증서만도 못한 기술이 나올 수 있다”고 우려했다.