금융업계 디지털 전환이 급속히 추진되면서 낡은 금융권 망 분리 제도를 전면 개선해야 한다는 주장이 제기됐다. 인공지능(AI), 클라우드 등 혁신기술을 금융권에서 적극 활용하려면 유연한 정책의 변화가 필요하다는 지적이다.
한국정보보호학회는 12일 서울 명동 은행회관에서 금융권 망분리 정책 개선 끝장 토론회를 열었다.
발제를 맡은 강형우 김앤장 전문위원은 “기존 망 분리 규제처럼 구체적으로 상세하게 규제하는 것이 현 상황과 적합하지 못하다”고 강조했다. 강 위원은 “과거에는 금융회사 내부 전산망 등이 단순해 망분리를 상세하게 규정하는 것이 가능했지만 현재는 금융플랫폼, 음식점, 알뜰배달 등 새로운 서비스가 등장하면서 복잡해졌다”고 설명했다.
금융권 망 분리는 정보처리시스템과 해당 정보처리시스템에 접속하는 단말기가 인터넷 등 외부망과 물리적으로 분리되도록 한 것이다. 2013년 대규모 금융전산 사고를 계기로 도입 후 금융권 PC에 대한 랜섬웨어 등 해킹 사고를 효과적으로 방어해왔다. 하지만 제도를 처음 도입할 때와 현재의 컴퓨터 환경 및 정보통신기술(ICT)이 달라진만큼 이를 반영해야 한다는 목소리가 커지고 있다.
강 위원은 “망 분리에 대해 업무상 예외에 해당하는 것들은 열거주의를 적용해 해당 상황만 제외된다”면서 “하지만 금융업권이 원하는 클라우드, 스마트오피스, 소프트웨어개발, AI 등은 열거해놓은 내용에 들어가지 못해 사용하기 어렵다”고 주장했다.
이창복 롯데카드 CISO는 “망 분리 가이드라인에서 제시하지 않은 새로운 기술도 망분리 기본 원칙에서 벗어나지 않으면 적용이 가능하다고 명시하고 있음에도 예외 기준을 만들어 통제 항목을 명시하고 있다”고 아쉬움을 드러냈다.
이에 업계에서는 망분리 정책의 취지를 유지하면서도 국내 금융회사가 글로벌 시장과 기준을 맞추고 서비스 편의성을 높이기 위해 변화를 모색해야 한다는 주장이다.
임정욱 네이버 클라우드 금융리더는 “금융권은 은행과 핀테크 등의 디지털 경쟁에 따라 신속하고 민첩한 시장 대응 능력과 혁신기술 및 외부 시스템과 원활한 연동이 가능한 아키텍처를 확보해야 한다”며 “클라우드 등 혁신기술을 적극 활용할 수 있는 환경을 마련해야 한다”고 말했다.
디지털 금융 기반 보안 강화를 위해 망 분리 제도를 개선해야 한다는 의견도 제기됐다. 지정호 토스증권 CISO는 “현재 모든 내부 업무용 시스템을 망분리 대상으로 규제해 보호 자산의 중요도가 낮은 업무에까지 적용하면서 관리 복잡성이 커지고 보안 통제에도 비효율이 발생하고 있다”고 지적했다. 그는 “중요도에 따른 위험 기반 통제를 적용할 수 있도록 이용자의 개인신용정보를 처리하는 내부 업무용 시스템 또는 전자금융 업무를 처리하는 내부업무용 시스템과 같이 대상을 구체적으로 정의해야 한다”고 말했다.
금융당국은 업계의 의견을 청취해 금융업계의 혁신을 촉진하겠다고 답했다. 김수호 금융위 전자금융과장은 “최근 망 분리와 관련 SaaS 혁신서비스 정책 등에도 기대가 있는 반면 당국에서 변화가 느린 것은 아닌지 하는 우려가 있다는 것은 알고 있다”며 “금융회사와 보안업체 등의 현장 이야기를 듣고 잘 반영할 수 있도록 하겠다”고 말했다.
정예린 기자 yeslin@etnews.com