해외에도 망분리 규제는 있지만 국내처럼 망분리가 민간에 일괄 의무화된 사례는 없다. 민감 정보를 포함하는 시스템이라 하더라도 망분리가 보안 선택지 가운데 하나로 고려되는 정도다.
미국은 기업이 다양한 민간 표준을 참고해 데이터를 중요도에 따라 분류한다. 망분리가 아닌 '망 세분화'가 일반적인 형태다. 금융당국은 강제성 없는 가이드라인을 제시할 뿐이다.
법적 분쟁이 발생하면 책임을 엄격하게 따진다. 자율규제가 기본이며 사후규제로 책임을 강화하는 구조다. 기업이 보안에 노력하지 않았다는 점이 입증되면 징벌적 손해배상 제도 등으로 영업이익에 타격이 있을 정도의 대가를 치르게 한다.
지난해 7월 캐피털원은 해킹 사고가 발생한 대가로 약 1억5000만달러(1773억원)에 달하는 처리 비용을 치렀다. 자율규제지만 보안 투자와 수준이 국내보다 높은 이유다.
은행 규제기관 5개로 구성된 미국 연방금융기관 검사협의회(FFIEC)도 망분리를 강제하지 않는다. 협의회가 기업에 제공하는 '정보보안 소책자'를 살펴보면 데이터 중요도에 따라 망을 나누고 접근을 통제하는 망 세분화에 대해 설명할 뿐 망분리는 언급조차 되지 않는다.
호주 역시 망분리를 의무화하지 않았다. 중요한 데이터에 한해 기업이 망분리 도입을 고려할 수 있다고 제안한 수준이다. 호주 사이버보안센터(ACSC)가 지난해 4월 기업에 배포한 '망 세분화와 망분리 도입' 문서는 망분리를 특별히 민감한 상황에서 기업이 선택할 수 있는 수단으로 소개했다.
오다인기자 ohdain@etnews.com