망분리 ‘규제 완화’ 띄웠지만, 핀테크 업계 “망분리 규제 자체가 시대착오적”
"망분리 개선으로 정부 시스템 접속장애 개선할 것, 편의성 제고도 기대" 핀테크 업계 "규제 완화, 업무 생산성 제한 가능성 있어" '8년 전' 망분리 제도, 이대로 괜찮을까
국가정보원이 공공 망분리 제도 개선을 위한 작업에 착수했다. 그동안 반복적으로 발생했던 대형 정부 시스템의 접속장애를 대폭 개선하겠단 취지다. 다만 망분리를 둘러싼 논쟁은 여전하다. 핀테크 업계를 중심으로 망분리 규제가 시대착오적 제도라는 지적이 나오는 한편 망분리에 대한 뾰족한 대안을 찾지 못하는 상황에서 규제 완화만이 해답은 아니라는 주장이 맞선다.
망분리 개선 분과 가동, “효율성 제고한다”
24일 정보보호산업계 등에 따르면 국가보안기술연구소(NSR)는 올해 들어 망분리 개선 분과와 제로 트러스트 분과, 공급망 보안 분과를 가동하고 있다. 앞서 과학기술정보통신부는 제로 트러스트 구현과 소프트웨어(SW) 공급망 보안 강화를 차세대 사이버보안 양대 축으로 보고 지난해 10월 제로 트러스트·공급망 보안 포럼을 발족한 바 있다. 이후 국정원은 과기정통부가 주목한 제로 트러스트·공급망 보안에서 나아가 망분리까지 논의의 폭을 넓혔다. 망분리 관련 제도가 변화할 가능성이 커진 것이다.
망분리란 공공기관이나 기업에서 인터넷망과 완전히 분리된 환경에서 업무를 볼 수 있도록 인터넷망과 업무망을 분리하는 것을 뜻하는데, 우리나라엔 지난 2006년 획기적 보안 강화를 목적으로 도입됐다. 현재는 하나의 대형 시스템을 구축하는 방식으로 망분리가 이뤄지고 있으나, 정부는 앞으로 작은 서비스의 묶음으로 시스템을 구축하는 클라우드 네이티브 방식을 적용할 방침이다. 이와 관련해 행정안전부는 “전 세계는 서비스의 신속성, 안정성, 비용효율성 등을 높이기 위해 자체 구축에서 클라우드로 패러다임을 전환 중”이라며 “국내외 유수의 기업들은 클라우드의 효과를 극대화할 수 있도록 클라우드 네이티브 방식을 기반으로 디지털 혁신을 추진 중”이라고 목소리를 높였다.
정부는 이 같은 추세에 빠르게 대응하기 위해 지난 4월 디지털플랫폼정부 실현계획을 통해 클라우드 네이티브 적용을 디지털플랫폼정부의 핵심 과제로 발표한 바 있다. 전환계획에 따르면 내년부터 신규 시스템을 구축하거나 기존 시스템을 고도화할 때 기관은 불가피한 사유가 없는 한 민간 클라우드와 클라우드 네이티브 우선 적용을 검토해야 한다. 행안부는 “정보 시스템의 노후 서버 교체 시기를 고려해 2026년부터는 신규 클라우드 전환물량의 70% 이상(기존 시스템은 50% 이상)을 클라우드 네이티브 방식으로 전환하고 2030년까지 대다수의 시스템이 클라우드로 전환할 예정”이라고 설명했다. 정부는 이를 통해 망분리 규제에 따른 업무 편의성 및 효율성 저하가 일부 개선될 수 있을 것으로 기대하고 있다.
망분리 규제 완화 ‘반발’도, “기술적 대안 부실해”
다만 이에 대한 반발이 적지 않다. 특히 금융권을 혁신하고 있는 핀테크 업계의 목소리가 크다. 이들은 “정부의 방침이 적용될 경우 외부 클라우드와 연계하는 서비스형 소프트웨어(SaaS)를 사용할 수 없는 등 업무 생산성을 제한하고 정보기술(IT) 활용을 저해해 혁신을 가로막을 수 있다”고 지적했다. 이어 “현행 망분리 규제는 각 금융회사의 보안 리스크 상황과 상관없이 지나치게 세세하고 일률적”이라며 “그동안 망분리 제도가 금융보안 안정성에 기여한 바가 적지 않은 건 사실이나, 동시에 이것이 기술 발전과 금융 혁신, 이를 통한 고객 만족 제고를 가로막고 있는 것 또한 사실”이라고 역설했다.
망분리 규제 완화 시 기술적 대안이 명확하지 않다는 점도 문제다. 망분리 정책에서 보안성과 편의성은 트레이드 오프(trade-off) 관계로, 어느 하나를 강화하면 다른 하나는 약화할 수밖에 없다. 민간 부문의 요구에 따라 망분리 규제를 완화하면 편의성이 높아지는 동시에 보안성은 떨어진다는 얘기다. 상황이 이렇다 보니 망연계 업계 사이에서도 실질적인 변화는 어려울 것이란 회의론이 나온다. 한 업계 관계자는 “편의성 문제로 인해 망분리 완화론이 지속적으로 제기되지만 뚜렷한 대안은 없다”면서 “보안을 강화하기 위해선 망분리 정책을 유지해야 할 것”이라고 전했다. 정부 정책의 불확실성이 차후 사업 전개에 리스크로 작용할 수 있는 만큼 비판적 시선도 더 강하다.
빠르게 흐르는 변화의 시계, “상황 많이 바뀌었다”
최근 공공·금융기관의 인프라는 빠르게 변화하고 있다. 정책은 코로나19 영향과 디지털 대전환(DX), IT 시스템의 다양화에 따라 클라우드 환경으로 변화 중이다. 특히 가상화와 클라우드 기반으로의 변화가 눈에 띈다. 서비스도 클라우드 기반의 빅데이터, 인공지능, IoT(엣지) 등으로 혁신이 요구되는 상황이다. 이에 발맞춰 정부 차원에서 망분리·망연계 솔루션의 성장을 주도하고 이에 따른 보안 강화를 유도하는 건 잘못된 선택이 아니다. 오히려 시장 변화를 빠르게 캐치함으로써 디딤돌을 세웠다는 데 의의가 크다. 당초 국내 망분리·망연계 솔루션 시장의 물꼬는 정부가 먼저 틔웠다. 망분리 정책은 국정원, 기무사 등 기밀정보를 다루는 곳에서 먼저 적용됐고, 2008년 국정원이 국가기관 망분리 구축 가이드를 발표한 이후 망분리 적용은 국가·공공기관으로 점차 확대됐다. 이번에도 정부가 깃발을 들고 앞길을 닦을 수 있을 것이란 기대감이 곳곳에서 나오고 있다.
다만 업계 사이에선 망분리에 대한 부정적인 의견이 지속적으로 늘어나는 추세다. 특히 핀테크 업체의 경우 제공하던 서비스 자체가 제한될 가능성이 있어 비판론이 더욱 크다. 핀테크 개발자들은 보통 모바일을 중심으로 금융서비스를 제공하기 때문에 외부 소프트웨어 자원인 오픈소스를 주로 활용한다. 이때 인터넷 연결이 필수적으로 있어야 하는데, 문제는 망분리 규제 아래선 인터넷이 연결된 환경에서 개발을 이어갈 수 없다는 점이다. 이와 관련해 한 업계 관계자는 “핀테크 업체에 있어 망분리 규제는 사실상 진입장벽”이라며 “이 때문에 망분리를 구축할 수 있는 대형 금융회사만 사업을 독점하고 있다”고 지적했다.
망분리는 물리적으로 가장 높은 수준의 보안이다. 전자금융감독규정에 의해 금융권에 대한 망분리를 강제하자 악성코드나 바이러스 유입 가능성은 확연히 줄었다. 규제가 적용되기 시작한 시점에선 망분리가 최선의 방법으로 여겨졌다. 그러나 금융권에 망분리 규제가 도입된 지 어느새 8년이란 세월이 흘렀고, 8년의 시간 동안 주변 환경은 너무도 많이 달라졌다. 핀테크 개발자들은 망분리 규제에 대해 “그대는 맞고, 지금은 틀리다”라고 말한다. 8년 전엔 최선이었지만 시간이 흐른 지금에는 맞지 않는 보안책이라는 것이다. 과거의 영광을 놓지 못해 실질적인 변화를 거부하는 이들은 결코 미래에 살아남을 수 없다. 다소 과격하게 보일지라도 확실한 변화를 시도해야 할 시점이다.