[시사오늘·시사ON·시사온=고수현 기자]
금융회사는 민감한 금융정보를 취급하기 때문에 보안이 최우선으로 요구되는 업종 중 하나다. 이 때문에 다른 업종에는 없는 ‘물리적 망 분리’라는 특별한 규제를 받고 있다.
망 분리는 해킹 등 외부 침입을 막기 위해 금융당국이 세운 기준 중 하나다. 보안과 직결되기 때문에 업무용 PC와 인터넷 망을 분리해야 하고, 운영·개발용 PC도 인터넷망과 내부망을 물리적으로 차단하는 망분리가 이뤄져야 한다.
쉽게 말해 우리가 흔히 알고 있는 인터넷(외부망)에 접속할 수 있는 PC가 따로 있고 업무를 처리하려면 내부망에만 연결된 별도의 PC를 사용해야한다는 말이다. 이같은 물리적 망분리 규제는 현재까지도 엄격하게 요구되고 있다.
그러나 빅테크·핀테크의 금융업 진출, 그리고 기존 금융권의 디지털 전환과 맞물려 망분리 규제도 변화를 예고하고 있다.
사실 망분리 규제 완화 요구는 오래된 이슈다. 이 같은 요구는 핀테크 업계를 중심으로 나왔다. 이미 물리적 망분리 규제를 이행해온 기존 금융사와 달리 핀테크 업계는 디지털 신기술 도입, 프로그램 개발 등에서 고충을 겪고 있다는 이유에서다.
"'핀테크 개발자 모시기가 하늘의 별따기입니다. 망 분리 규제 때문이에요. 개발자들 사이에서는 깃허브(github, 오픈소스 개발자 커뮤니티) 없이 어떻게 일을 하냐는 이야기도 나옵니다.'
해석하면 인터넷 시대에 글로벌 개발자와의 소통 없이 건물 사무실 안에서만 논의하고 개발하란 얘기다.
망 분리 규제 합리화는 협회를 통해 꾸준히 접수되는 단골 민원이다. 업계에서는 현행 망 분리 규제로 개발 환경이 악화하고, 이로 인해 유능한 개발자들이 핀테크 업계를 등지는 악순환이 발생한다며 아우성을 치고 있다. 현행 망 분리 체계가 국내 핀테크 산업 발전을 저해하는 요인이 된다는 것이다."
-2021년 10월17일 핀테크산업협회 류영준 전 회장 <전자신문> 기고 일부 발췌
이는 핀테크산업협회 류영준 전(前) 회장이 <전자신문> 기고를 통해 망분리 규제에 따른 핀테크 업계의 고충을 토로한 내용의 일부이다.
핀테크산업협회는 망분리 규제 완화를 위해 관련 세미나를 여는 등 적극적으로 업계 의견을 대변해왔다.
류 전 협회장에 이어 제4대 회장으로 취임한 이근주 회장 역시 지난 2월17일 취임사를 통해 “전금법 개정안 통과, 마이데이터 서비스 영역 확대, 그리고 망분리 규제의 합리적 완화 등이 매우 시급하다”고 밝히기도 했다.
최근 금융당국은 이같은 요구를 받아들여 과도한 규제라고 지적받는 망분리 규제를 단계적으로 완화하겠다고 밝혔다.
그렇다면 애당초 왜 금융당국은 금융사에 이토록 엄격한 물리적 망분리 규제를 그동안 적용해왔던 것일까?
이는 2011년과 2013년 발생한 대규모 전산대란 사태를 계기로 금융사 보안이 강력하게 요구됐기 때문이다.
2011년 발생한 농협 전산망 마비 사태는 금융사 전산망이 해커에게 장악당한 초유의 사건이다. 2011년 4월12일부터 발생한 전산망 마비는 한 외주업체 직원이 서버 관리 노트북으로 파일 공유 사이트에서 영화를 내려받는 등 개인적인 용도로 사용하다가 악성코드에 감염됐고 전산망 서버까지 영향을 미치면서 최장 18일간 이어졌다
외부망(인터넷망)에서 내부망으로의 접근 관리나 통제가 부실할 시 얼마나 위험한 금융사고가 발생할 수 있는가를 금융당국과 금융사, 그리고 국민들이 알게 된 계기였다.
물리적 망분리 규제가 등장하게 된 결정적인 계기는 2013년 발생한 ‘3·20 전산대란’이다. 이는 주요 언론사와 금융사 전산망이 마비된 사건이다.
금융당국은 금융권 등에서 동시 다발적으로 전산망 마비 사고와 관련해 검사를 진행, 금융사 5곳(농협은행, 농협생명보험, 농협손해보험, 신한은행, 제주은행)에서 전산 보안 대책을 제대로 운용하지 않은 점을 적발해 기관주의 조치와 함께 임직원 총 23명을 제재한 바 있다.
당시 전산보안 허점과 관리, 내부통제의 허술함이 드러나면서 금융사를 대상으로 한 고강도 보안 정책이 요구됐다.
이후 금융당국은 유사 사태 발생을 막기 위해 전 금융권을 상대로 기업별·업무별 차이를 감안하지 않고 일률적으로 물리적 망 분리 규제를 엄격하게 적용하기 시작했다.
이처럼 ‘보안’의 중요성을 계기로 생겨난 물리적 망분리 규제는 최근 ‘IT환경 변화’, ‘금융혁신’이라는 물결 앞에서 낡은 제도가 돼 개혁의 대상이 됐다.
지난 4월 금융위원회는 개발·테스트 분야의 경우 망분리 규제 예외를 우선적으로 반영하고 중·장기적으로 단계적 망분리 규제를 완화하겠다고 공식적으로 밝혔다.
동시에 일각에서는 금융정보 보안성이 취약해지는 게 아니냐는 우려도 나온다.
‘보안’을 이유로 생겨난 망분리 규제가 완화된다는 건 결국 일정 부분 보안을 포기하는 게 아니냐는 우려다. 이른바 망분리 규제 완화 여부를 ‘보안’과 ‘혁신’의 줄다리기 싸움으로 보는 시선이다.
그러나 사실 이는 줄다리기 게임이 될 수 없고 돼서도 안 된다. 금융정보를 다루는 부문에서 보안은 타협의 대상이 될 수 없다. '금융혁신' 활성화의 궁극적인 목적이 금융사나 빅테크를 위한 게 아니라 금융소비자 이익 증진이라는 점을 감안하면, 보안의 중요성을 간과해서는 안된다. 보안 문제로 발생하는 전산망 마비 사태나 개인정보, 금융정보 유출의 가장 큰 피해자는 국민이기 때문이다.
과거 전산망 마비 사태 당시 얻은 교훈을 잊어선 안 된다는 말이다.
‘보안’을 최우선 가치로 둔 상태로 불필요한 규제를 거둬내는 선에서 망분리 규제 완화가 이뤄져야하는 이유이기도 하다.
좌우명 : 기자가 똑똑해지면 사회는 더욱 풍요로워진다