[디지털데일리 이민형기자] 금융권과 보안업계가 망분리사업을 놓고 혼란을 겪고 있다. 망분리 사업의 근거인 ‘전자금융감독규정’과 국제공통평가기준(CC) 인증 제도 해석이 모호하기 때문이다.

1일 보안업계에 따르면 최근 금융권과 보안업계가 전자금융감독규정, CC인증의 모호함 인해 갈팡질팡하고 있지만, 정작 제도를 총괄하는 금융당국과 국가정보원에서는 마땅한 해석을 내리지 못하고 있다.

전자금융감독규정 제15조제1항에 따르면 금융회사는 업무용시스템을 인터넷 등 외부통신망과 분리해야 한다고 규정하고 있다. 이른바 망분리 시스템 구축 의무화 규정이다. 이에 따라 금융회사들은 올해 말까지 전산센터에 대한 물리적 망분리를 마치고 2016년 말까지 영업점까지 망분리 시스템 구축을 완료해야 한다.

또 동 규정 제15조제2항에 따르면 금융회사 또는 전자금융업자는 해킹사고를 방지하기 위해 국가기관의 평가·인증을 받은 정보보호시스템을 도입해야 한다.

국가기관의 평가·인증을 받은 정보보호시스템이란 국정원 CC인증을 획득한 제품을 뜻한다. CC인증이 없는 솔루션을 도입할 경우 규정 위반으로 문제가 될 수 있다.

여기서 혼란이 발생한다. 망분리에 대한 방법론이 모호할 뿐더러, 망분리와 관련된 CC인증 제품을 어디까지 인정해야 할 지에 대한 기준이 명확하지 않다. 보안업체간 망분리 솔루션의 형태나 인증이 상이하기 때문에 이해관계가 대립되는 것이 현실이다.

특히 망분리 사업에 적용할 수 있는 CC인증의 범위에 대해서는 국산업체와 외산업체들의 의견차가 크다.

미라지웍스나 브이엠크래프트, 안랩, 틸론 등 국산업체들은 망분리만을 위한 솔루션을 개발했고, 이에 대한 CC인증을 획득했다. 반면 시트릭스나 마이크로소프트 등 외산업체들은 서버나 운영체제에 대한 CC인증만 보유하고 있다.

국산업체들은 “외산업체들의 제품은 당초 망분리를 위한 것이 아니기 때문에 CC인증이 망분리 사업에 있어 보안성을 담보하지 못한다”고 주장하고 있다.

시트릭스나 MS는 “해당 제품에 취약점이나 보안약점이 없었기 때문에 CC인증을 받을 수 있었던 것이며, 이는 해당 제품을 활용한 다른 사업에도 적용할 수 있다”고 반론하고 있다.

상황이 이렇지만 정작 이를 금융당국과 국정원이 명쾌한 해석을 내리지 못하고 있다.

박근태 금융감독원 IT감독실 IT보안팀장은 “망분리 사업에 PC가상화와 가상사설망(VPN), 망연계 솔루션 등 각각 CC인증을 받은 제품만 사용하도록 할지, 외산업체들의 통합솔루션도 인정을 해줘야 할지 아직 내부적으로 결정이 나지 않은 상황”이라며 “이같은 일은 망분리 시스템을 어떻게 구축하라는 규정이 없기 때문이 발생한 것으로 보고, 조만간 이를 해소할 수 있는 방안을 내놓겠다”고 전했다.

국정원도 비슷한 입장을 보였다. 국정원 관계자는 “각 솔루션들이 받은 CC인증을 어디까지 인증해줘야할지가 아직까지 논의중이다”라며 “향후 이에 대한 결정이 날 수 있겠지만 현재 상황으론 망분리를 추진하는 사업자가 결정해야할 문제”라고 말했다.

상황이 이러하다보니 금융회사들도 솔루션 선택에 어려움을 겪고 있다. 기준이 명확히 설정되지 않았기 때문이다. 몇 년전 외산 솔루션을 도입한 신한은행과 부산은행이 지적을 받는 이유도 CC인증의 적용범위가 명확히 정해지지 않았기 때문이다.

한편 최근 망분리 사업을 발주한 한 금융회사 관계자는 “우리가 필요로 하는 기능과 성능을 잘 구현하는 것이 제일 우선 사항이며, 규정은 당국에 문의해서 결정할 것”이라고 말을 아꼈다.

<이민형 기자>kiku@ddaily.co.kr