국가정보원이 망분리 규제 개선에 나서면서 망분리를 둘러싼 해묵은 논쟁이 재조명되고 있다. 핀테크 업계를 중심으로 망분리 규제가 시대착오적 제도라는 지적이 나오는 한편 망분리에 대한 뾰족한 대안을 찾지 못하는 상황에서 규제 완화만이 해답은 아니라는 주장이 맞선다.
망분리는 보안을 위해 내부 업무망과 일반 인터넷망을 분리하는 망차단 조치를 말한다. 크게 컴퓨터 두 대를 쓰는 물리적 망분리와 컴퓨터 한 대에 인터넷용 가상 컴퓨터를 구현하는 논리적 망분리로 나뉜다.
국내 망분리 정책은 2006년 국가사이버안전전략회의에서 최초 보고된 이후 주요 정부 부처를 중심으로 본격적으로 확산했으며 민간기업에도 확대 적용됐다. 공공부문은 국가정보보안기본지침에, 민간은 개인정보보호법 시행령에, 금융은 전자금융감독규정에 관련 법적 근거가 마련돼 있다.
◇“망분리, 지식 정보화 시대와 맞지 않아”
망분리는 외부 침입을 차단하는 가장 확실한 방법으로 보안성 강화에 기여했으나 지식 정보화 시대에 부합하지 않는다는 지적이 나온다. '그때는 맞고 지금은 틀린' 전형적 제도라는 평가다.
특히 금융권을 혁신하고 있는 핀테크 업계가 목소리를 크게 내고 있다. 외부 클라우드와 연계하는 서비스형 소프트웨어(SaaS)를 사용할 수 없는 등 업무 생산성을 제한하고 정보기술(IT) 활용을 저해해 혁신을 가로막는 장애물이라는 지적이다.
핀테크 업계 관계자는 “현행 망분리 규제는 각 금융회사의 보안 리스크 상황과 상관없이 지나치게 세세하고 일률적”이라면서 “그동안 금융보안 안정성에 기여한 바가 적지 않지만, 기술 발전과 금융 혁신, 이를 통한 고객 만족 제고를 가로막고 있다”고 토로했다.
◇제로 트러스트·SW 공급망 보안, 망분리 개선책 떠올라
문제는 망분리 완화 시 기술적 대안이 명확하지 않다는 점이다. 망분리 정책에서 보안성과 편의성은 트레이드 오프(trade-off) 관계다. 어느 하나를 강화하면 다른 하나는 약화할 수밖에 없다. 민간부문의 요구에 따라 망분리 규제를 완화하면 편의성이 높아지는 동시에 보안성은 떨어진다는 얘기다.
망분리 개선 분과에 참여하고 있는 정보보호 기업 대표는 “해외에선 국가기반시설의 랜섬웨어 사고가 종종 일어나지만, 적어도 한국은 망분리 정책으로 인해 대형 사고는 막아왔다”면서 “다른 국가에 비해 사이버 공격도 현저히 낮다”고 강조했다.
업계는 망분리를 대체하는 보안 전급 전략 중 하나로 제로 트러스트·소프트웨어 자재명재서(S-BOM) 보안이 부상하고 있다. 망간 실시간 통신 구간에 제로 트러스트를 적용하고 행망용 SW를 통한 침투를 막기 위해 S-BOM을 활용한다는 게 핵심이다. 정보보호산업계는 이를 통해 보안성과 업무편의성 두 마리 토끼를 잡을 수 있을 것으로 내다보고 있다. 망분리 개선 분과에서도 제로 트러스트와 S-BOM이 중점 논의될 것으로 보인다.
앞서 국정원은 지난 7월 기자간담회에서 오는 2026년부터 전 국가·공공기관을 대상으로 한국형(K) 제로 트러스트를 적용하겠다고 발표한 바 있다. K-제로 트러스트 구현 속도에 맞춰 망분리 완화 보폭도 정해질 거란 전망이 우세하다.
◇“리스크 관리 프레임워크 가져가야…대국민 합의 필요”
데이터 중요도별로 망분리 규제를 적용해야 한다는 주장도 제기된다. 해외에선 일괄적으로 망분리 규제를 적용하지 않고 기밀자료와 일반 업무자료 등 데이터 중요도에 따라 망분리 이외에 다양한 보안 설계를 허용하고 있다.
익명을 요구한 정보보호 기업 대표는 “망은 부수적인 것으로 기업·기관이 보유한 데이터가 보호해야 하는 대상”이라면서 “최우선적으로 데이터 분류 표준화 작업을 추진해야 한다”고 말했다. 그러면서 “이번에 일부 편의성 개선 등 소극적인 규제 완화에 그친다면, 향후 지식 정보화 시대에 경쟁력을 잃게 될 것”이라고 우려했다.
리스크 관리 프레임워크(RMF·Risk Management Framework)로 보안 정책을 가져가야 한다는 의견도 나온다. 망분리 정책과 같이 100% 완벽한 보안 상태를 목표로 하는 게 아니라 어느 정도의 리스크는 감수하면서 문제 발생 시 책임을 지는 게 골자다. 망분리 규제가 과도하다고 주장만 할 게 아니라 규제 완화에 따른 보안성 약화 책임도 동시에 져야 한다는 것이다.
권헌영 고려대 정보보호대학원 교수는 “보안 관점에서 망분리 정책이 가장 효과적이지만 디지털 혁신 서비스 등을 포기해야 하므로 망분리에 대한 찬반 논의가 끊임없이 제기되고 있다”면서 “관련 업계와 규제당국뿐만 아니라 보안과 디지털 혁신에 관한 대국민 합의가 필요하다”고 말했다.
조재학 기자 2jh@etnews.com