9년여 동안 우리나라 금융보안 정책의 근간이었던 ‘망분리’ 정책이 변화의 시기를 맞았다. 금융당국은 금융분야의 디지털 전환을 안정적으로 뒷받침하기 위해 클라우드 활용에 관한 규제와 망분리 규제 개선을 추진한다고 14일 발표했다. 중장기로는 망분리 대상 업무를 축소하고 '논리적 망분리'에 대한 선택권을 부여하는 방안도 검토한다. 9년여간 금융보안의 근간을 차지하던 망분리 정책의 변화는 금융사는 물론 보안업계에도 일정부분 영향을 줄 수 밖에 없다. <디지털데일리>는 5회에 걸쳐 금융 망분리 정책 변화에 따른 시장 영향을 조망한다.<편집자>

[디지털데일리 이종현기자] 금융권에서 망분리를 필수적으로 적용하게 된 것은 2013년부터다. 2011년 농협 전산망 마비 사태 이후 연이은 보안사고에 필용성이 대두됐다. 2013년 국내 주요 방송사와 금융회사 전산망이 마비되는 ‘3.20 사이버 테러’가 결정적인 계기가 됐다.

2013년 발표한 ‘금융전산 보안 강화 종합대책’에 따라 국내 금융권 기업에는 2014년까지 망분리가 의무화됐다. 도입 당시에도 내부망, 외부망용 PC를 각각 두는 ‘물리적 망분리’와 가상화(Virtualization)를 기반으로 한 ‘논리적 망분리’ 중 무엇을 선택하느냐는 논쟁거리였다.

당시에도 물리적 망분리보다는 논리적 망분리 도입이 선호됐다. 물리적 망분리의 경우 네트워크 장비가 필요한 만큼, 비교적 도입 비용이 높았기 때문이다. 하지만 기업은행이 전사의 물리적 망분리를 추진했고, 물리적 망분리가 표준으로 자리 잡게 됐다. 논리적 망분리 대비 물리적 망분리가 보안성 면에서 더 우수하다는 것이 선택의 주요 배경이다.

도입 이후 시행착오를 거치며 업계 표준이 된 물리적 망분리에 대한 회의론에 힘이 실린 것은 코로나19 이후부터다. 사회적 거리두기로 재택근무가 본격화되는 가운데, 물리적 망분리가 업무 중단을 초래했다는 비판이 제기됐다. 클라우드 활성화 등, 다른 정책 방향과 상충된다는 지적도 있다.

이에 금융위원회는 지난 4월 14일 망분리 규제 개선을 발표했다. 9년간 금융권 사이버보안의 기틀이 된 물리적 망분리가 완화될 전망이다.

발표 이후 일각에서는 정책 변경으로 인한 보안성 약화가 우려된다는 목소리도 나온다. 정권 교체기를 겨냥한 북한발 해킹 및 우크라이나를 침공한 러시아발 해킹의 증가가 예상되는 가운데 물리적 망분리를 대체할 만한 기술이 없다는 주장이다.

이와 관련 보안업계는 “걱정할 것 없다”는 입장이다. 물리적 망분리가 완화되더라도 특별히 높은 보안성이 요구되는 영역의 경우 물리적 망분리를 유지하고, 소프트웨어(SW) 개발이나 재택근무를 위한 영역에만 해제하는 등의 조치가 이뤄질 것이기 때문에 정책 변화로 갑작스레 보안성이 크게 약화되는 일은 없을 것이라는 의견이 주를 이룬다.

한 사이버보안 전문가는 “물리적 망분리가 외부침입 방지면에서 가장 탁월한 방법인 것은 분명하다. 하지만 망분리를 적용하면서 서비스의 경쟁력을 유지하는 것은 불가하다”고 말했다.

또 최근 기업 환경에서는 물리적 망분리를 하더라도 일정 영역에서는 연결이 될 수밖에 없다고도 강조했다. 폐쇄망만 사용하는 산업시설도 해킹되는 상황에서, 물리적 망분리로 금융시스템을 완벽히 보호하는 것은 불가능하다는 지적이다.

그는 물리적 망분리가 지나치게 맹신되고 있다고도 꼬집었다. “그간 국내 금융권의 경우 물리적 망분리 적용을 의무화함에 따라 다른 방면의 보안 솔루션 도입은 다소 소극적인 편이었다. 물리적 망분리가 모든 보안 이슈를 해결할 수 있는 만능열쇠처럼 여겼다”고 주장했다.

이어서 “보안을 위해서는 IT 시스템 전반에 대한 가시성을 확보하고, 재택근무로 넓어진 공격표면에 대한 보안도 갖춰야 한다. 급증하는 보안 이벤트를 자동 처리하도록 인공지능(AI) 기반의 솔루션 도입도 필수적”이라며 “개발 환경을 저해하지 않으면서 보안도 챙기는, ‘넥스트 망분리’를 고민해야 할 때”라고 피력했다.

줄곧 망분리 완화의 필요성을 주장해온 한국정보보호산업협회(KISIA) 이동범 회장도 환영 의사를 나타냈다.

이 회장은 “한국에서 물리적 망분리를 모두 없애야 한다는 것은 아니다. 다만 획일적인 물리적 망분리 적용은 문제가 있다고 생각한다”며 “이번 완화 조치가 매우 만족스러운 정도는 아니다. 다만 시범적으로 도입 후 확산한다는 측면에서 고무적”이라고 전했다.