최근 국내 금융기관과 정부기관들이 해킹에 노출되는 사고가 이어지고 있어 특단의 대책이 절실히 요구되고 있다. 지난해 7월 금융감독원은 금융전산 보안을 강화하기 위한 종합대책을 발표했다. 이전까지는 기업에서 일정 수준의 보안 시스템을 갖췄다면 기업에 법적 책임을 묻지 않았으나, 현재 발표되는 대책에는 기업 CEO의 법적 책임을 명확히 하고 있어 보안인력의 사기진작 대책을 마련하는 등 많은 고민을 한 흔적이 보인다.
금융위 핵심대책 중 하나는 금융사가 전산망을 분리하도록 의무화한 것이다. 망분리란 쉽게 말해 기업의 임직원들이 사용하는 PC에 서로 완전히 분리되는 두 개의 네트워크를 부여해 하나는 업무용으로만, 다른 하나는 외부 인터넷 접속용으로 사용하는 것이다. 해커가 외부로부터 인터넷망을 통해 침입하더라도 업무망으로 접근할 수 있는 길이 없어, 제아무리 똑똑한 해커라도 업무망으로 침투할 수가 없다.
망분리에는 물리적 망분리와 논리적 망분리가 있는데, 1인당 PC를 두 대씩 지급하는 방식의 물리적 망분리에 비하여, 한 대의 PC내에서 망분리 소프트웨어를 사용하여 망분리를 실현하는 논리적 망분리가 보다 효율적이고 환경 친화적이다. 단, 논리적 망분리를 실현하기 위해서는 별도의 소프트웨어가 필요한데, 이 망분리용 소프트웨어 역시 보안성이 철저히 검증돼야 한다. 이를 담보하는 것이 CC(Common Criteria) 인증제도이다. CC인증이란 IT 제품 보안성에 대한 국제적 기준으로, 국내에서는 국가보안기술연구소가 인증기관의 역할을 맡고 있다. 국내에서는 논리적 망분리에 대한 CC인증을 받은 회사는 브이엠크래프트, 안랩, 미라지웍스, 소프트캠프 등이 있다.
그러나 불행히도 최근의 CC인증제도의 운용상황을 보면 불합리한 점들이 발견된다. 예를 들어, 정부나 금융기관의 보안 사업을 보면 보안에 대해 동일한 기술적 수준을 요구하는 것들임에도, CC인증에 대한 원칙이 없어서, 국정원이 인정한 CC인증을 요구하는 사업과 요구하지 않는 사업이 혼재한다. 따라서 CC인증도 받지 못한 소프트웨어가 버젓이 보안 사업에 채택되는 일이 발생하고 있다.
특히 한미 FTA 체결로 외국제품은 국산제품과 차별돼서는 안되는 문제 때문에, 오히려 국산제품이 역차별을 당하는 상황이 벌어지기도 한다. 즉, 국내 제품은 기준이 까다로운 망분리 전용 국내CC인증을 받아야 하는데, 외국제품은 범용 국제CC인증을 받기만 하면 CC인증요건을 만족하는 것으로 취급되고 있다.
망분리가 비교적 최근에 나온 제품유형이라 국가정보화기본법 및 전자금융관리감독규정의 CC 인증필수 보안제품유형에 망분리가 아직 포함되어 있지 않다. 이러한 국내 법규의 허점을 틈타 망분리 기능이 없어 제대로 된 CC인증도 받지 못한 제품이 최종적으로 망분리 솔루션으로 선정된 사례가 늘어나고 있다.
이번에 발표된 금융감독원의 종합대책에도 CC인증에 대한 구체적인 언급이 없어 아쉽다. 차제에 논리적 망분리에 대한 명확한 CC인증 기준을 마련해야 한다. 전산보안은 그 중요성만 강조한다고 이루어지는 것이 아니다. 현장에서의 전산전문가의 목소리에 더욱 귀 기울이고, 제도적 미비점을 하루빨리 개선하지 않고서는 수치스러운 해킹 사고는 계속해서 이어질지도 모른다.
김명신 지식재산포럼 회장 mskim@mspat.co.kr
