금융권 망분리 정책 개선에 대해 다수의 금융권 기업 전문가들이 망분리 규제가 '물리적' 망분리에만 제한돼 있는 것과 규제 예외 사항의 열거주의 현황에 대한 개선이 필요하다는 의견을 내놨다.

12일 한국정보보호학회는 서울시 명동 은행회관 국제회의실에서 '금융권 망분리 정책 개선 끝장토론회'를 개최했다. 이번 토론회는 '클라우드, 빅데이터 시대에 금융권 망분리가 가야 할 길'이라는 주제로 진행됐다. 

강형우 김앤장 전문위원은 토론 시작 전 발제를 통해 두 가지의 논제를 제시했다. 강 전문위원은 "우리나라는 금융권 망분리 규제로 물리적 망분리를 사용하고 있는데, 현행 망분리가 논리적 망분리로 대체될 수 없을 만큼 절대적으로 안전한가에 대한 의문이 나온다"며 "또 망분리 규제 예외 사항에 대해 현행 규제는 열거주의 형태로만 돼 있어 해당되지 않는 부분에 대해서는 적용 자체가 불가능하다"고 말했다. 

망분리는 중요 정보를 취급하는 업무망과 외부 인터넷으로 연결된 인터넷망을 분리한 환경으로 금융 정보의 안전성을 높이기 위한 조치다. 크게 물리적 망분리와 논리적 망분리로 나뉜다. 물리적 망분리는 PC 2대를 물리적으로 분리해 인터넷망, 업무망을 구분해 사용하는 방식이며, 논리적 망분리는 PC 한 대를 이용해 인터넷 접속망과 폐쇄망을 가상화함으로써 망을 분리한 환경이다.

분리된 망 환경 속에서는 데이터를 안전하게 전송할 수 있다. 기본적인 보안 상태를 유지하며 승인·반출하는 기능을 사용해 정보 유출을 막는다. 아울러 백신 등의 보안 솔루션과 연동해 외부 위협으로부터 주요 업무망을 보호할 수 있다. 

최근 디지털 시대를 맞으며 금융기관을 대상으로 한 정책들이 변화하고 있고 망분리 기술도 이에 따라 성장·적용되고 있다. 2011년 금융위원회는 '전자금융감독규정'을 발표해 금융기관의 시스템에 망분리 기술을 결합하도록 했다. 이후 2013년 북한 해커조직에 의한 대규모 금융전산사고(3.20)를 계기로 금융위는 같은 해 7월 금융 전산 보안강화 대책을 내놓은 데 이어 9월에 '금융 전산 가이드라인'을 발표해 제1금융권은 물론 제2금융권까지 망분리 의무화를 확대했다. 

이후 2023년 초 전자금융감독규정 개정안이 시행됐다. 개정안은 클라우드 이용 업무의 중요도 평가 기준을 마련하고 연구·개발 분야에서의 망분리 규제를 완화하는 내용을 골자로 한다. 

강 위원은 토론을 통해 첫 번째 논제에 대해 "논리적 망분리 기술은 현재 많이 안정화됐고 보안상으로 2013년과 차이가 크다"며 "물리적 망분리는 어떤 관리자든 안전하지만 논리적 망분리는 관리자의 책임에 많은 결과가 달려 있어 그 차이가 있을 뿐, 물리적 망분리만이 절대적으로 안전하다고 할 수는 없는 것"이라고 강조했다. 

이어 두 번째 논제에 대해서는 "지금 2013년 이후 10년이 지나 금융 분야 내 이뤄진 급속한 디지털 전환으로 혁신 서비스에 대한 수요가 늘어났다"며 "구체적 열거주의 형식 속에선 다양한 정보서비스 창출은 물론 혁신기술 개발 업무, SaaS의 이용도 어려워 개선이 필요하다"라고 전했다.

지정호 토스증권 정보보호최고책임자(CISO)는 "전자금융감독규정 제15조 제1항 제5호에는 망분리 구현 방식을 '물리적 망분리'에만 제한해 의무화하고 있다"며 "물리적 망분리 방식으로만 망분리를 구현하면 재택근무도 어렵고 클라우드 서비스나 오픈소스와 같이 온라인 업데이트를 전제로 하는 업무 도구의 활용이 제한돼 업무 생산성도 저하된다"고 문제를 제기했다. 

그는 이어 "기업이 보안요구사항과 업무환경을 고려해 망분리를 구현할 수 있도록 규제 내용이 기술중립적 표현으로 완화되길 바란다"고 주장했다. 지 책임자는 아울러 "모호한 부분에 대해 정책 활용의 어려움이 있기 때문에 구체적으로 예외 조건과 유형을 규정해 놓기보다 폭넓게 적용한다면 업무에 크게 도움이 될 것"이라고 설명했다. 

이창복 롯데카드 CISO 역시 같은 의견을 내놨다. 그는 "물리적 망분리와 논리적 망분리의 보안 능력은 차이가 없다고 생각한다"며 "사실 정책적 부분에 제한돼 있는 것이므로 이젠 물리적, 논리적 망분리 개념에서 탈피하고 '보안'이라는 게 우선이 돼 접근성을 높이는 데 포인트가 있어야 한다"고 설명했다. 

이에 더해 "예외 사항은 15년도에 정한 기준에 멈춰 있어 팬데믹 시대가 지난 현재 디지털 시대와는 맞지 않다"고 말하며 "이런 부분 때문에 금융사들이 다양한 시도를 하지 못하고 디지털 금융 환경에 맞춰 가지 못한 채 후발주자로만 나아가고 있다"고 토로했다. 

해결책으로 "핀테크를 넘어 테크핀이 확대하는 시점에 그 '혁신'에 맞는 유연한 규정이 필요하고 그런 방향으로의 개선이 이뤄져야 할 것"이라고 주장했다.

한편, 금융당국에서는 이번 토론회에서 업계 의견을 청취해 정책에 반영하겠다는 입장이다. 김수호 금융위원회 전자금융과장은 “최근 망분리에 관련된 혁신서비스 정책 등에도 기대가 있는 반면 당국의 변화가 느린 것은 아닌가에 대한 우려가 있는 것도 알고 있다”며 “금융회사, 보안업체 등의 현장 이야기를 잘 듣고 알맞게 반영할 수 있도록 하겠다”고 말했다.