9년여 동안 우리나라 금융보안 정책의 근간이었던 ‘망분리’ 정책이 변화의 시기를 맞았다. 금융당국은 금융분야의 디지털 전환을 안정적으로 뒷받침하기 위해 클라우드 활용에 관한 규제와 망분리 규제 개선을 추진한다고 14일 발표했다. 중장기로는 망분리 대상업무를 축소하고 '논리적 망분리'에 대한 선택권을 부여하는 방안도 검토한다. 9년여 간 금융보안의 근간을 차지하던 망분리 정책의 변화는 금융사는 물론 보안업계에도 일정부분 영향을 줄 수 밖에 없다. <디지털데일리>는 5회에 걸쳐 금융 망분리 정책 변화에 따른 시장 영향을 조망한다.<편집자>
[디지털데일리 이상일기자] 2021년 12월 9일, ‘Log4j’의 보안 취약점이 공개되며 국내외 기관, 보안기업 등에서는 보안패치 설치를 유도하는 등 대응책 마련에 나섰다. 하지만 Log4j로 인한 금융권 피해는 없었던 것으로 밝혀졌다. 이는 금융 서비스에 망분리가 돼 있었기 때문이라는 게 관련 전문가들의 견해다.
보안업계의 한 관계자는 “금융권의 경우 망분리가 기본으로 돼 있기 때문에 위협에 노출될 확률은 낮다. 오히려 Log4j를 계기로 기존 시스템을 전수 조사하는 등 보안을 강화할 명분이 생겨 취약점 등을 세밀하게 분석할 수 있었다”고 전했다.
금융당국도 망분리 규제의 성과를 분명히 얘기하고 있다. 2017년 전 세계가 랜섬웨어 감염 사고로 피해를 입었음에도 국내 금융권은 피해가 전무했다는 점을 강조하며 망분리 규제는 도입 이후 금융전산사고가 크게 감소하는 등 해킹 등으로부터 금융시스템을 안전하게 보호한 것으로 평가된다는 입장이다.
하지만 금융권 내부에선 망분리 효용론에 대해 이견이 있는 상황이다. 금융사 보안 부서입장에선 망분리를 옹호하고 있는 상황이다.
한 생보사 보안 관계자는 “망분리 이후 보안 입장에선 편해진 것이 사실”이라고 밝혔다. 침해 위협을 원천적으로 차단하는 효과가 있어 보안부서에선 관리나 집중할 영역을 다른 분야로 확대할 수 있는 계기를 마련했다는 평가다. 다만 보안부서의 일은 편해(?) 졌지만 금융 망분리는 현업에서의 업무 프로세스 개선에 있어 장애물로 작용한 것도 현실이다.
대표적인 것이 금융권에 보급이 확산된 로봇프로세스자동화(RPA)다. RPA가 현재 금융사 대부분에 보급, 활용되고 있지만 엄밀하게 말해 완전한 자동화가 이뤄지진 않고 있다. 대표적인 것이 인터넷 망에서 정보를 가져와야 하는 경우다. 업무가 이뤄지는 내부망에 외부망에서 가져오는 정보가 필요한 경우가 있는데 이 때 금융사들은 업무 담당자의 승인을 프로세스 과정에 포함시켰다.
로봇으로 자동화됐다고 하지만 일일이 담당자가 승인을 해줘야 하는 불편함이 생긴 것이다. 때문에 금융권의 후선업무 관련, BPR 부서에서는 지속적으로 망분리에 대한 불만을 드러내왔다.
또 다른 시중은행 CISO는 “망분리 덕에 보안전략을 혁신적으로 짤 수 있었다”고 전했다. 망분리가 되어 있는 만큼 복잡한 보안 솔루션을 정리하고 간결함을 추구할 수 있다는 설명이다.
이 CISO는 “문제가 있다면 원천적으로 막고 계속 보안솔루션을 설치해 문제를 막는 것은 전체 시스템 호환성에도 문제가 있다. 보안 기업들은 동의하지 않겠지만 90년대 2000년도 초반에 설계된 보안 제품이 지금 클라우드와 모바일 시대에 맞지 않는 부분이 있다”고 지적하기도 했다.
다만 이 관계자는 “은행에서는 망분리 완화에 대해 유보적이다. 이미 몇 년간 투자해서 시스템을 만들어놓고 현재 운영 면에선 나무랄 데가 없다. 일종의 휴전선을 만들어놓은 셈인데 이걸 또 다시 바꾸려고 하면 문제가 발생할 수 있다. 무엇보다 망분리가 불편하지만 효과가 좋은 것은 사실”이라고 밝혔다.
보안 편의성은 확보됐지만 RPA 사례와 같이 현업에서의 저항감이 있는 것은 사실이다. 또, 개발부서에 있어서도 최근 오픈소스 기반 개발이 늘어나고 있는데 망분리는 원활한 개발을 저해하는 부분이 있는 것도 사실이다.
금융당국도 최근 금융사의 개발업무가 폐쇄된 형태가 아닌 인터넷에 공개된 소스코드 등을 적극 활용하고 있고 AI, 빅데이터 등이 오픈소스 형태로 제공되고 있어 인터넷과 연계가 불가피하다는 점을 인지하고 있다. 때문에 이번 규제 완화를 통해 개발‧테스트 분야 망분리 예외를 추진 중이다.
여기에 디지털 금융 등 금융사들이 플랫폼 비즈니스를 지향하고 있는 상황에서 핀테크, 빅테크가 겪었던 망분리로 야기되는 불편함을 금융사들도 경험하고 있다. 따라서 금융감독당국의 망분리완화 관련 가이드라인의 세부적인 상황에 주목하고 있는 상황이다.