9년여 동안 우리나라 금융보안 정책의 근간이었던 ‘망분리’ 정책이 변화의 시기를 맞았다. 금융당국은 금융분야의 디지털 전환을 안정적으로 뒷받침하기 위해 클라우드 활용에 관한 규제와 망분리 규제 개선을 추진한다고 14일 발표했다. 중장기로는 망분리 대상업무를 축소하고 '논리적 망분리'에 대한 선택권을 부여하는 방안도 검토한다. 9년여 간 금융보안의 근간을 차지하던 망분리 정책의 변화는 금융사는 물론 보안업계에도 일정부분 영향을 줄 수 밖에 없다. <디지털데일리>는 5회에 걸쳐 금융 망분리 정책 변화에 따른 시장 영향을 조망한다.<편집자>
[디지털데일리 이상일기자] 2019년 당시 한 대형 시중은행 최고정보보안책임자(CISO)는 사견을 전제로 기자에게 “금융권 망 분리는 5년 내에 폐지될 것 같다. 아마 제2의 공인인증서처럼 되지 않을까 싶다”고 밝혔다.
그는 “(은행이)망 분리 하는데만 수년이 걸렸지만 앞으로도 망 분리가 만능이라고 할 수는 없다. 모바일 영업 요구사항이 많은데 망 분리 때문에 쉽지 않다. 그런데 이를 어떻게 해야 하냐고 하면 답을 주는 곳이 하나도 없다”고 덧붙이기도 했다.
결과적으로 이 CISO의 예측은 들어맞았다. 금융당국은 금융분야의 디지털 전환을 안정적으로 뒷받침하기 위해 클라우드 활용에 관한 규제와 망분리 규제 개선을 추진한다고 지난달 14일 발표했다.
망분리에 대한 가이드라인과 세칙 등 세부적인 사항이 확정되어야 망분리의 폭과 그로 인한 영향도 평가가 가능할 것으로 보인다. 다만 금융사로선 망분리를 기반으로 전략을 짜 왔던 보안 시스템에 대한 정책이 변화의 기로에 서 있는 것 많은 분명하다.
금융감독당국이 그동안 금융보안에 대한 규제를 자율에 맡기는 방향으로 전환해오면서 금융사 자체적인 책임과 의무를 강조해 왔는데 망분리 완화 역시 이러한 기조를 따라갈 전망이다.
VM웨어는 최근 기자간담회에서 “망 분리에 대한 기준을 완화한다는 의미는 앞으로 개별 기업이 알아서 대비하라는 것”이라며 “개별 기업들이 망분리를 어떤 식으로, 어떻게 효과적으로 할 것이냐를 고민해야 되는 단계로 올라간다. 망 분리 완화는 기업 고객들 입장에서 다양한 솔루션을 접해볼 기회가 마련되는 것”이라고 밝힌바 있다.
이 날 VM웨어코리아 유석근 전무는 “망분리 측면에서뿐만 아니라 책임이 회사로 귀속된다는 측면에서 (망분리)를 보완하는 방안이 주목받게 될 것이다. VDI로 보면 물리적인 방화벽 형태보다는 소프트웨어적인 체계들을 고민해야 할 것”이라고 밝혔다.
망분리 완화의 폭에 달려 있긴 하지만 금융사들은 이제 새로운 보안 전략을 수립해야 하는 시기가 도래한 것이 사실이다. 디지털 금융의 본격화로 인해 채널 접점이 넓어지고 있는 한편 재택 근무 등 근무 유연화 정책을 통해 막아야 할 공격 시발점도 확대되고 있다.
망분리가 주는 보안의 이점은 분명했지만 디지털 금융 시대에 망분리가 주는 폐해 역시 분명한 것이 사실이다.
핀테크 업체들 뿐만 아니라 금융사들도 오픈소스 기반 개발과제가 많아지고 있다. 하지만 오픈소스는 특성 상 망분리가 되어 있으면 해당 프로젝트에 접근하기 어렵다. 디지털 전환을 위한 클라우드 사업은 물론 빅데이터 분석을 위해서도 오픈소스 기반 과제가 많은데 망분리가 제약인 셈이다.
특히 금융시장에 새로 진입하고 있는 빅테크, 핀테크 업계는 망분리가 경쟁력에 직접 영향을 미치고 있다는 입장이다. 때문에 지속적으로 망분리 완화를 금융당국에 요구해 왔다.
다만 핀테크산업협회측은 망분리 완화 관련 가이드라인 등 세부 사항이 공개되어야 공식적인 입장 표명이 가능하다는 설명이다. 협회 관계자는 “협회 회원사 역시 이번 발표가 총론적인 성격인 만큼 지켜보자는 입장”이라며 “향후 의견 수렴 등의 과정이 진행될 것으로 보는데 여기서 협회회원사들의 의견을 적극 전달할 계획”이라고 밝혔다.
여기에 금융당국은 업계와의 의견수렴을 우선 온라인을 통한 유권해석반 가동을 3개월간 진행해 업계의 다양한 목소리를 듣는 한편 정책 방향을 결정할 계획으로 망분리에 대한 금융당국의 구체적인 정책과 가이드라인은 올 하반기 중 본격화될 것으로 전망된다.