금융 보안 강화하며 변하는 IT 환경 반영하는 망분리 개선안 시급
[데이터넷] 망분리 환경이 재택근무, 클라우드 환경으로 인한 딜레마에 빠졌다. 망분리는 외부 공격을 차단하는 강력한 보안 환경으로, 국내 공공·금융기관에 의무화 돼 있다. 미국 지방자치단체 등이 랜섬웨어로 홍역을 앓았던 것에 비해, 우리나라 기관의 랜섬웨어 피해가 상대적으로 적었던 요인 중 하나로 망분리를 꼽는 사람도 많다.
그러나 망분리는 공격을 까다롭게 하지, 공격을 불가능하게 하지는 않는다. 업무 관련 내용으로 위장한 악성메일과 문서, 백신·샌드박스 분석을 우회하는 비실행형 파일 악성코드 등은 인터넷 망에서 업무망으로 얼마든지 이동 가능하다.
망분리로 인해 재택근무, 클라우드 환경의 업무에 불편함이 늘어나는데 비해, 진화하는 공격에 대응하는 효과는 낮아진다. 공공·금융기관 임직원들도 특정 부서·업무를 제외하고 전면 재택근무가 가능하다. 그러나 외부에서 접속할 때 반드시 VPN을 사용해 업무망에 접속해야 하며, 재택근무용 PC는 VPN으로 업무망에 접속하지 않으면 인터넷 사용을 할 수 없다.
VPN은 대규모 원격 사용자를 지원하기에 너무 많은 비용과 복잡한 관리 이슈가 있으며, VPN 접속 후 행위가 모니터링되지 않고, 사용자 PC에 침투한 악성코드가 VPN을 타고 업무망으로 잠입했을 때 탐지되지 않는다는 문제가 있다. 이를 해결하기 위해 사용자 PC에 백신을 설치하고, 외부 파일은 샌드박스로 분석하지만, 백신과 샌드박스는 우회가 쉽다.
망분리의 불편함을 개선하고 보안을 강화하기 위해 다양한 대안이 제안되고 있는 가운데, ‘금융권 망분리 정책으로 인해 유능한 개발자가 떠난다’는 주장과 함께 현행 망분리 정책에 대한 전면적인 개편이 필요하다는 주장도 나왔다.
노웅래·유동수 더불어민주당 국회의원 주최로 28일 열린 토론회에서는 금융 망분리 정책이 개발 현실을 반영하지 못해 빅테크 기업의 유능한 개발자들이 다른 기업군으로 빠져나간다는 내용이 다뤄졌다.
"전금법, 보안 원칙 정립되지 않아"
이 행사의 주관단체인 한국핀테크산업협회는 이 날 토론회 주요 내용을 정리해 공개하고 토론회 참여 인사들의 주요 발언을 소개했다.
이 자리에서 이한진 금융위원회 전자금융과장은 “금융보안 등 망 분리에 대해 어떻게 접근해야 하는지 구체적 논의가 되지 못했다. 금융사에 대한 획일적 규제에서 원칙 중심의 규제로 전환하고, 차등 적용할 수 있는 근거가 시급히 마련돼야 한다”고 설명했다.
이수환 국회 입법조사처 입법조사관은 “전자금융거래법(전금법) 개정 전 감독 규정의 합리적 개선이 필요하다”며 “보안의 중요성이 날로 강조되고 있는데 전금법 상 보안 원칙이 정립되지 않은 것이 안타깝다”고 말했다.
그는 “전금법 개정안을 보면 보안성 강화, 책임성 강화 등 좋은 내용들이 많다. 현실적으로 시간이 오래 걸리더라도 물리적 망분리 규제완화 개선은 전금법을 개정해서 해결할 수 있는 문제”라며 “근본적으로 원칙이나 보안에 대한 기준이 바로 서야 전금법을 적극적으로 개정할 수 있다고 생각한다”면서 “보안전문 금융위원회를 신설한다면 전자금융 감독 등을 신속하게 개정할 수 있다”는 의견도 덧붙였다.
“금융시스템 보안 강화해야”
이한진 금융위원회 전자금융과장은 ‘우리 금융분야의 특수성’에 대해 설명하며 “지난 1980년대 국가 정보화사업의 일환으로 4대 분야 국가정보보호 강화가 이뤄졌다. 공공분야에만 적용된 전용망을 금융에도 적용했고, 90년대 중후반부터 ATM기기, 인터넷 뱅킹, 모바일 뱅킹에서 실시간 송금이 가능해졌다”고 평가했다.
그는 “그러나 다른 한편으로 보면 깨지기 쉬운 금융 시스템으로 보이스피싱, 해킹, 디도스 공격 등에 취약할 수밖에 없는 구조”라면서 “때문에 예외적으로 강력한 규제를 취하게 됐다”고 덧붙였다.
장성원 한국핀테크산업협회 사무처장은 “현재 망분리 규제가 현업에서 따라잡기 어려울 정도로 일괄 적용되고 있다. 망분리 규제가 일방적인 금융위의 책임이라고 생각하지도 않고 있고 규제가 반드시 나쁘다고 생각하지도 않는다”면서도 “강력한 규제일수록 부작용이 있을 수 있어 현재의 기술 수준에 맞게 규제를 재설계 해야된다. 우리 금융보안 규제가 갈라파고스 규제 라는 오명을 쓰지 않기를 바란다”고 지적했다.
장 사무처장은 “규제의 큰 틀을 바꾸기 어려운 것은 알고 있지만 개발 단계부터 망분리 규제 해제를 단계적으로 접근할 필요가 있다”며 “더미 데이터를 개방해서 오픈소스를 사용할 수 있게 해줬으면 한다. 한국핀테크산업협회와 금융위, 국회 등이 어우러져 실무연구반을 만들어서 운영해보자”고 제안했다.
장 사무처장은 “최근 개발은 개발과 디자인 등 상호 협력해야 이루어질 수 있는 일이 많은데 망분리 규제 때문에 비효율적으로 일하고 있다”며 “오픈소스 기반으로 하는 신기술을 사용할 수 없고, 이런 문제 때문에 개발자 수가 부족해지고 높은 보상으로 유인하기도 쉽지 않은 상황”이라고 설명했다.
