올해 말까지 전산센터 망분리를 마쳐야 하는 금융권이 ‘국제공통평가기준(CC)인증’ 제품 의무 도입을 두고 혼란에 휩싸였다.
23일 관련업계에 따르면 최근 일부 은행이 CC인증을 받지 않은 논리적 망분리 제품을 도입했다가 전자금융감독규정 위반 논란에 빠졌다. CC인증은 주로 정부나 공공기관이 정보보호시스템에 구현된 보안기능 안전성과 신뢰성을 위해 요구하는 기준이다. 금융권은 그동안 CC인증을 받지 않은 제품도 네트워크에 설치했다.
망분리 제품 CC인증 논란은 전자금융감독규정 해석 자체가 모호한데다 제대로 홍보도 하지 않아 대부분 은행 보안담당자가 관련 규정이 있는지 조차 몰라서 일어난 것이다.
금융당국은 기본적으로 논리적 망분리에 사용되는 제품은 CC인증을 의무적으로 받아야 한다고 밝혔다. 금융위 관계자는 “전자금융감독규정에 따라 정보보호시스템에 사용하는 정보보호제품은 국가 기관에서 평가·인증 받은 장비를 사용해야 한다”며 “인증받지 않는 제품을 사용할 경우 감독규정 위반에 해당한다”고 말했다.
하지만, 금융위도 관련 규정의 모호함을 인정했다. 이 관계자는 “다만 논리적 망분리에 사용되는 장비가 천차만별이어서 어느 범위까지 CC인증을 받아야 하는지 명확한 가이드라인을 내도록 재검토에 착수할 것”이라며 “시장 혼란을 최소화할 수 있도록 업계 의견을 수렴해 구체적인 적용범위 등을 곧 산정하겠다”고 설명했다.
이미 시장은 혼란에 빠졌다. S은행은 CC인증을 받지 않은 외산 솔루션을 도입하고 안정화 작업에 들어간 이후에야 뒤 늦게 규정 위반을 알았다. P은행도 CC인증을 받지 않은 외산 솔루션을 선정했다가 규정위반 논란이 일자 계약을 차일피일 미루는 상황이다. 최근 사업을 발주한 은행권도 어떤 제품을 설치해야 하는지 결정하지 못했다. 논란이 증폭되자 CC인증을 받은 솔루션 기업은 금융당국에 명확한 규정 해석을 요구했다.
한 솔루션 업체 관계자는 “금융권 망분리 사업은 지난해 발생한 3·20 사태 등 연이은 금융권 보안 사고에 대한 대응책”이라며 “은행 보안 담당자는 전자금융감독규정 15조 2항에 규정한 정보보호시스템에는 CC인증 제품을 반드시 써야 한다는 규정을 모르고 사업을 진행 중”이라고 지적했다.
금융당국은 지난해 금융전산보안강화종합대책을 내고 ‘금융전산 망분리’를 의무화했다. 금융사 전산센터는 올해 말까지 의무적으로 물리적 망분리를 마쳐야 하며 본점과 영업점은 내년 말까지, 제 2금융권은 2016년 말까지 완료해야 한다.
김인순기자 insoon@etnews.com, 길재식기자 osolgil@etnews.com
