망 분리는 말 그대로 네트워크를 분리해 쓴다는 뜻이다. 네트워크에 누군가 침입하지 않도록 업무를 보는 망과 일반 인터넷을 사용하는 망을 떼어 놓는다. 하드웨어와 소프트웨어 방식이 있으며 비용이 적게 드는 소프트웨어적 망 분리가 느는 추세다. 은행, 공공기관과 같이 보안이 필요한 곳은 망 분리 시스템을 도입할 때 국제공통평가기준(CC)인증을 받은 제품을 꼭 쓰도록 돼 있다. 금융사는 제품 선제 폭이 좁아진다. 관련 업체는 인증을 받는 불편이 줄고, 공급 기회는 더 많아진다.
금융당국이 이 의무화 규정을 폐지할 방침이다. 금융사와 공급업체 모두의 불편을 초래한다는 판단이다. 정부가 최근 적극 추진하는 핀테크 활성화와도 맞물렸다. 늦었지만 다행인 조치다. 진작 없앴어야 할 규제다.
CC 인증을 받은 제품이란 어느 정도 검증된 제품이다. 그런데 망 분리에 쓰인 장비는 물론이고 이 장비가 제공하는 기능이 천차만별이다. 인증 관련 규정은 모호하다. 쓰는 이도 파는 이도 헷갈릴 정도다. 관계 기관에 질의해도 명쾌한 답변을 얻지 못한다. 심지어 어떤 인증 제품을 도입하거나 공급해야 하는지 모르는 때도 있다.
무엇보다 인증 의무화는 사고발생시 책임을 가볍게 해줘 오히려 아직 인증 받지 않은 신기술을 적극 도입하지 못하는 결과를 초래한다. 인증 제품 도입만으로 책임을 면하는 일이 있다 보니 구색 맞추기에 골몰하는 탓이다. 또 공급자가 적으니 성능보다 가격만 따진다. 필요하면 적극 투자해야 할 일을 책임을 피하고 선까지 최소 투자만하도록 만든다. 금융사가 그간 액티브X에 매몰된 것도 이 때문이었다. 보안을 강화하자는 인증과 규정이 오히려 보안 위험성을 높이고 시장만 망가뜨린다.
인증 제품이든 아니든 도입사가 자율적으로 판단할 일이다. 다만 정보보호 사고가 발생하면 엄중한 책임, 특히 민사상 책임을 물어야 한다. 그래야 보안이 더 뛰어난 기술을 도입하도록 유도할 수 있다. CC인증 제품 의무화 폐지는 규제 완화 일부다. 다른 금융보안 규제도, 금융사 외 규제도 더 완화해야 한다. 핀테크 출발점이다.