[특별기고] 금융보안용 망분리, 부작용 손질 기대

우리가 코로나19 백신을 선택할 때 예방의 효과성도 중요하지만 더 중요하게 고려할 것은 부작용이 없거나 또는 이를 최소화할 수 있어야 한다는 점이다. 적어도 예상할 수 있는 부작용으로 인한 피해보다 백신을 접종함으로써 기대할 수 있는 효용이 월등히 클 때 우리는 그 백신을 합리적으로 사용할 수 있다고 믿는다.

2013년 3월 20일 악성코드 감염으로 인해 일부 금융기관의 전산망이 마비되는 전산사고가 발생했다. 금융당국은 이 사고의 원인으로 인터넷을 통해 내부 시스템에 접근 가능한 운영 단말기 등이 악성코드에 감염돼 정보유출 및 자료 파괴를 초래하는 해킹 공격의 경로로 이용됐다고 발표하고, 이에 대한 금융전산 보안강화 종합대책으로 내부업무망을 외부 인터넷과 원천적으로 차단하는 망분리를 모든 금융회사에 의무화했다. 이 조치는 악성코드가 유입될 수 있는 경로를 원천적으로 차단하는 방법으로, 실질적으로 보안성 강화에 효과가 있었다는 사실을 부정하기는 어렵다.

다만 그 강력한 보안효과의 반작용으로 망분리 도입 초기부터 불편함과 업무효율성 저하라는 문제점이 지속적으로 제기돼 온 것이 사실이다.

최근에는 기술 및 개발 환경의 급격한 변화, 클라우드 서비스 도입, 코로나19로 인한 원격근무 확대 등으로 인해 망분리 적용의 기술적 어려움, 과도한 개발 효율성 저하, 신기술 활용의 제약, 예외 허용범위에 대한 논란 등 새로운 이슈들이 더해지면서 망분리 규제를 개선해야 한다는 요구가 더욱 거세지고 있다. 망분리 규제가 이제는 너무 강해서 부작용이 더 큰 백신이 돼버린 셈이다.

그래서 업권에서 제시하고 있는 것이 망분리 적용기준 합리화, 다시 말하면 핀포인트 규제다. 현재 전자금융감독규정 제15조 1항은 해킹 등 전자적 침해행위로부터 방지하기 위해 운영·개발·보안의 접속 '목적'과 직접 접속이라는 접속 '방식'을 기준으로 물리적 망분리 대상을 정의하고 있는데, 실제로 접속 목적은 침해사고 위험 수준을 결정하는 직접적 요인으로 보기 어렵다. 동일한 방법으로 접속을 하는데 내부 감사의 목적으로 접속을 했다고 해서 그 위험이 개발·보안·운영 목적으로 접속한 것과 다르지 않기 때문이다.

따라서 '관리자의 권한으로 중요 시스템을 직접 접속하는 단말'과 같이 접속 권한, 대상 그리고 방식을 기준으로 '실질적인 위험의 수준'에 따라 적용대상을 합리화하는 방향으로 개선이 필요하다. 망분리 적용기준이 합리화된다면 현재 논란이 되고 있는 개발환경의 물리적 망분리에 대해서도 여러가지 다른 보완 통제를 활용해 침해사고 위험을 제한하면서 개발 효율성을 개선할 수 있는 다양한 방안을 만들어 볼 수 있을 것으로 기대한다.

이런 상황에서 얼마 전 금융당국이 "단계적인 망분리 규제 완화정책을 준비하고 있다"고 말한 것은 고무적이다. 그렇지만 전자금융거래법 개정안이 통과되지 못하고 표류하면서 망분리 규제 합리화도 속도를 내지 못하고 있다.

금융당국은 전금법이 개정되면 하위 법규를 통해 합리화 방안을 찾을 계획이지만, 통과가 늦어지면서 올 상반기 예정됐던 규제 합리화도 덩달아 뒤로 밀리는 모양새다. 효율적인 개발문화 정착과 보안기술 발전 모두를 위해서 정치권과 금융당국의 유연한 대처를 기대해본다.

김남진 카카오페이 정보보호최고책임자(CISO)

※ 저작권자 ⓒ 파이낸셜뉴스. 무단 전재-재배포 금지