[디지털데일리 김보민기자] "그 때는 맞고, 지금은 틀리다."

정부가 국내 보안 정책의 근간이던 망분리 제도를 손질한다. 지난 10년간 가장 확실한 보안 방법으로 물리적 망분리를 내세웠지만, "시대착오적"이라는 비판이 제기되면서 정책 개선에 나선 것이다. 국가정보원(이하 국정원) 주도의 범부처 태스크포스(TF)도 새해 벽두부터 망 보안 정책을 뜯어고치기 위해 머리를 맞대고 있다.

국내 망분리 정책은 예민한 데이터를 다루는 정부 기관과 기업 내부망을 외부 일반 망과 단절시키는 것이 핵심이다. 여러 망이 교차할 때 발생할 수 있는 보안 문제를 사전에 차단하자는 취지다. 해킹이나 정보 유출 사태가 늘어나고 있는 만큼, 물리적 망분리로 위협의 싹을 잘라내는 것이 만능으로 여겨진 셈이다.

정부 기조와 달리 업계 안팎에서는 여전히 갑론을박이 이어지고 있다. 망분리를 대체할 만한 뾰족한 수가 나오지 않으면 자칫 민관 보안 울타리를 약화시키는 악재만 남길 수 있는 탓이다. 규제 완화만이 해답이 아니라는 주장에 힘이 실리면서 "실효성 있는 TF 정책이 나올 때까지 지켜보겠다"라는 날선 반응도 피어오르고 있다.

우려스러운 대목은 이러한 강대강 논리가 맞선 것이 이번이 처음이 아니라는 점이다.

그동안 정보보호 업계는 제도 완화에 보수적인 입장을, 핀테크(fintech)를 비롯한 금융 업계는 찬성 입장을 내비쳐왔다. 찬성 측에서는 클라우드와 인공지능(AI) 시대에 망을 물리적으로 분리해 운용한다는 것 자체가 말이 안 된다는 주장을 제기해 왔다. 특히 외부 클라우드와 연계한 서비스형소프트웨어(SaaS)가 늘고 있는 만큼 편의성을 고려한 정책이 필요하다는 지적이 제기돼 왔다.

올해에도 양측이 접점을 찾지 못한다면, 새로운 망 보안 정책이 나오더라도 실제 드라이브가 걸릴 때까지 수년이 걸릴 수 있다는 의미다.

현시점에서 중요한 건 타협이다. 소모적인 논쟁은 자칫 효과적인 보안 방법에 대한 국내 시장의 논리를 정체시킬 가능성이 있다. 정부가 디지털플랫폼정부를 앞세워 클라우드 및 첨단 기술 활용을 늘리고 국민 편의를 개선하겠다고 밝힌 만큼, 실제 전자정부를 구현하기 위해 한 단계 도약해야 할 시점이라는 점을 잊지 말아야 한다.

이제 남은 건 '어떻게(HOW)'에 대한 해답을 내놓는 것이다.

일각에서는 TF가 다층 보안 체계로 전환하거나, 등급별 보안정책을 마련할 것으로 보는 분위기다. 각 망에 대한 등급을 매겨, 필요한 보안 수준에 따라 분리 혹은 연계가 가능하도록 일종의 틀을 마련한다는 구상이다. 국정원이 "구체적인 개선 방향이 마련되는 대로 디지털플랫폼정부 및 개인정보보호위원회 등 유관 기관과 협동해 발표할 예정(24일 간담회)"이라고 밝힌 만큼, 상반기 내 구체적인 안이 나올 가능성도 점쳐지고 있다.

일단 TF 안팎에서는 망분리 완화 시 시행할 보호 장치를 마련하는 데 집중하고 있는 것으로 전해진다.

현행 제도를 완화할 때 생길 수 있는 '보안 틈새'를 막을 만한 장치를 구상하고 있는 것이다. 제로 트러스트(Zero Trust)가 대표적인 예다. 제로 트러스트는 외부뿐만 아니라 내부에도 적이 있다는 가정 아래 모든 구간마다 보안 보초병을 세우는 방식을 뜻한다. 리스크 관리에 특화된 전문 프레임워크를 구성하는 방안도 구상하고 있는 것으로 알려졌다.

최근 <디지털데일리>를 만난 국내 보안업계 관계자는 "결국 그때는 맞고, 지금은 틀린 시대가 온 것"이라고 말했다. 올해는 해묵은 망분리 논의가 마침표를 찍을 수 있기를 기대해 본다.