[IT사이트] 금융 혁신 걸림돌…'망분리' 규제


핀테크 중심의 모바일금융 환경에 부적합…개발자 피로도 높여

[아이뉴스24 박진영 기자] 핀테크 스타트업을 중심으로 망분리 규제가 금융혁신의 걸림돌로 작용하고 있다는 비판이 높아지고 있다. 금융업에 적용되는 물리적 망분리 방식이 현재 모바일 중심의 금융 환경에는 적합하지 않을 뿐더러, 망분리가 철통보안을 보장해주진 않는다는 지적이다.

네트워크 관련 이미지

망분리는 사이버위협, 정보유출 등을 방지하기 위한 목적으로 금융회사 통신회선을 업무용(내부망), 인터넷용(외부망)으로 분리하는 것을 말한다. 여기서 2대의 PC를 사용하는 '물리적 망분리'와 1대의 PC에서 각각의 망을 사용하는 '논리적 망분리'로 구분되는데, 전자금융감독규정에 따르면 금융업의 경우 '물리적 망분리'를 하도록 명시하고 있다.

국내에선 2013년부터 모든 금융권에 망분리 규제가 적용되기 시작했다. 그해 3월, 국내 주요 방송사와 금융사 등의 전산망이 마비되고, 많은 컴퓨터가 악성코드에 감염되는 등 대규모 사이버 공격이 있었는데, 당시 망이 분리되지 않아 피해가 커졌다는 분석이 잇따랐기 때문.

전문가들은 물리적으로 차단된 상황이기에 악성코드나 바이러스 유입 가능성이 적어지는 효과는 있다고 말한다. 하지만 장비 구축과 보안관리 업무의 증가로 인한 비용부담이 커지고, 개발단계부터 데이터가 분리돼 있어 업무 비효율을 높인다는 단점이 있다. 더욱이 해킹기술이 고도로 발달한 현재 상황에서는 망분리의 보안효과도 장담할 수 없다는 지적도 제기됐다.

특히, 핀테크 스타트업계는 망분리가 높은 규제 장벽으로 작용한다고 지속적으로 비판해왔다. 업계에 따르면, 약 25명 규모의 핀테크 스타트업이 망분리를 위해 5억원의 비용을 사용하고 있으며, 개발자 인건비는 30% 가량 더 지출하고 있다. 특히, 개발자들은 데이터와 분석·개발도구가 물리적으로 분리돼 있어 소스코드 하나하나 반입·반출허가를 받아야 하는 등 업무 생산성이 떨어진다고 지적했다.

업계 한 관계자는 "핀테크 산업 가면 망분리 적응기간이 길기 때문에 개발자들 사이에서 핀테크 입사를 기피하려는 경향도 있다"면서, "또한 망분리 구축비용 뿐 아니라 망연계 솔루션 예산도 포함해야 하기에 스타트업으로선 비용 부담도 크다"고 밝혔다.

이와 함께 전문가들은 망분리 규제가 9년전 환경에는 맞을 수 있으나 급속한 디지털 전환으로 초연결시대를 맞이한 지금은 맞지 않는 보안 체계라고 주장한다. 기술발전으로 인해 망분리의 보안효과가 떨어졌는데, 혁신과 발전을 막는 걸림돌로만 작용할 수 있다는 지적이다.

김남진 카카오페이 최고정보보호책임자(CISO)는 지난 28일 열린 '망분리 규제가 핀테크산업 개발환경에 미친 영향' 토론회에서 "현재 기술 개발, 금융서비스 환경 등이 8년전과는 비교할 수 없을 정도로 달라졌는데, 8~9년전에 등장한 망분리가 당시에는 합리적일 수는 있었으나 현재도 충분히 효과적인지는 다시 점검해봐야 한다"고 밝혔다.

이에 일괄적인 망분리 방식을 데이터 중요도에 따라 구분하는 등의 대안책이 거론된다. 현재 국내는 도메인 중심의 보안 정책으로 데이터와 분석도구가 분리돼 데이터 활용이 비효율적이고, 클라우드·스마트워크·오픈소스 등 신기술 활용이 불가능하다.

송명진 과학기술정책연구원 부연구위원은 "해외에서는 이미 데이터 중심의 보안정책을 통해 기밀정보와 데이터를 분리 보관하고 있다. 이를 통해 효율적 데이터 활용이 가능하고, 다양한 신기술 활용도가 높은 편"이라면서, "이를 위해서는 데이터 중요도를 나누는 분류체계 마련이 필수적"이라고 전했다.

아울러 정부·금융당국의 직접적인 규제에 의존하기 보다는 기업의 자율성을 보장하고, 보안사고 발생 시 기업의 책임을 높이는 방향으로 가야한다는 지적이 나왔다.

송 연구위원은 "애플은 보안 취약점 신고포상제를 실시하는 등 자체적으로 보안 강화를 위한 조치를 취하고 있다"면서, "(국가가 기업의 보안체계를 규제하기 보다는) 보안사고에 대한 과징금 기준을 높이는 등 기업에 큰 책임을 지도록 하는 '자율 규제' 환경을 조성할 필요가 있다"고 밝혔다.

김남진 CISO도 "보안 문제를 해결할 수 있는 만병통치약 같은 방안은 없다. 보안 자체는 목적이 될 수 없고 수단으로 활용되야 한다"면서, "망분리 예외 등 규제완화를 검토할 때, 법규관점에서 보다는 해당 보안체계가 업무적으로 어느 정도의 가치를 창출할 수 있는지 리스크 평가 관점에서 검토돼야 한다"고 말했다.

/박진영 기자(sunlight@inews24.com)







포토뉴스