딜라이트닷넷

[딜라이트닷넷] 엇갈린 망분리 정책··· 금융권은 완화, 공공은 확산?

이종현
[IT전문 미디어블로그=딜라이트닷넷]

지난 4월, 금융위원회가 금융 분야 클라우드 및 망분리 규제 개선방안을 발표했다. 지난 9년여간 금융 분야 보안의 핵심 골자였던 물리적 망분리를 단계적으로 완화한다는 내용으로, 금융업계와 사이버보안업계에 적지 않은 파문을 일으켰다.

망분리란 일반적으로 사용하는 인터넷망과 조직 내부에서 사용할 내부망을 분리해 관리하는 체계를 뜻한다. 군에서 인트라넷(Intranet)이라고 부르는 국방망이나 검찰의 이프로스 등이 내부망의 대표 사례다. 국내에서는 금융권과 공공기관에게 망분리 조치를 의무적으로 요구하고 있다.

망 분리는 외부와의 연결을 차단함으로써 내부에서의 유출이나 외부 위협을 막는 데 쓰인다. 2013년 국내 주요 방송사와 금융회사 전산망이 마비되는 ‘3.20 사이버 테러’가 계기로 불린다.

보안적인 측면에서 망분리는 결코 나쁜 선택이라고 보기 어렵다. 만약 철저하게 망이 분리돼 있는 시스템이라면 외부 침입이 이뤄질 수 없다. 하지만 오늘날과 같이 모든 것이 인터넷으로 통합되는 환경이라면 100% 완벽한 망 분리는 불가능하다. 현재도 분리된 망을 다시 연결하는 ‘망연계’ 사업은 성장 중이다. 오픈소스 활용을 바탕으로 하는 소프트웨어(SW) 개발이나 원격근무 등 최근 트렌드에도 맞지 않다. 지난 4월 금융위의 망분리 완화 조치의 배경이다.

망분리 완화 수순을 밟는 금융권과 달리 공공기관은 오히려 망분리 도입이 확산될 전망이다. 2020년 행정안전부가 발표한 망분리 정보화전략계획(ISP)의 일환이다.

행정안전부 지자체 망분리 계획은 2021년부터 본격 시행될 예정이었으나 예산 확보 실패로 연기됐다. 올해도 관련 국비 예산을 확보하지 못한 것으로 알려진 가운데, 금융권에서 망분리 완화로 정책 기조를 바꿈에 따라 산업계 현장에서는 시행 동력이 상실됐다는 목소리도 나오는 중이다.

업계 관계자는 “국비 지원 없이 지자체 자체 예산으로 망분리를 하는 것은 불가능에 가깝다. 예산을 확보하는 2023년으로 사업 본격 시행이 연기됐었는데, 금융권 망분리 완화로 이마저도 어찌될지 모르는 상태”라고 말했다.

일각에서는 정책 통일의 차원에서 지자체 망분리 기조 자체가 변경될 가능성도 있는 것으로 전망하고 있다. 그러나 망분리 외의 보안 수단을 다수 갖추고 있는 금융기관과 달리 보안 담당자가 적은 데다 직접적인 SW 개발 등 수요가 적은 만큼 공공기관에는 여전히 망분리가 유효하다는 반대 의견도 있다.

큰 틀에서 전방위적인 망분리 도입 의무는 완화될 것으로 예상된다. 하지만 이를 위해서는 망분리를 대체할 수 있는 수단이 필요하다. 때문에 금융권과 공공기관의 망분리 정책 관련 엇박자는 불가피할 것으로 보인다.

[이종현 기자 블로그=데이터 가드]
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널