디지털금융을 구현하다 보면 양립하기 어려운 상황에 마주치는 경우가 있다. 사용자 경험과 보안의 관계가 대표적이다. 반응 속도를 높이고 다양한 기능을 붙여 사용자 편의를 강화하려고 하면 보안이 중요한 이슈로 부각되곤 한다.
상충 요소는 기술 발달로 인해 상당부분 해소되고 있다. 예전에는 보안이 사용자 경험 걸림돌로 작용했지만, 최근에는 중요한 일부로 인식된다. 몇 년 전만 하더라도 사용자 인증의 경우 보안 때문에 복잡한 단계를 거쳐야 했다. 그러나 생체인증 및 단일로그인(Single Sign-On·SSO) 등 솔루션이 등장하면서 강력한 보안과 함께 단순한 절차로 서비스 이용이 가능하다.
보안을 언급할 때 대두되는 이슈는 망분리 정책이다. 이는 고차원의 전략적 접근이 필요하다. 과거 악몽을 소환하기 싫지만, 2008년과 2011년에 유명 온라인 쇼핑몰과 커뮤니티 업체가 해킹으로 개인정보가 대량 유출됐다. 당시 금융권도 안전하지 못했다. 아웃소싱 업체의 과실 및 외부 서버를 통한 악성코드의 침투로 인해 일부 금융사가 전산 장애와 전산망이 마비되는 상황에 직면했다. 2013년에는 USB메모리와 외장하드를 통해 카드사가 보유한 개인정보가 유출되기도 했다.
망분리는 이런 일련의 사태에 대한 필연적 선택이었다. 내부망과 외부망이 분리되지 않은 상황에서 외부의 악성코드가 내부로 옮겨지는 환경이 원인으로 지적된 것이다. 이에 정부는 2012년 8월, 정보통신망법을 개정해 100만명 이상의 개인정보를 보유했거나 정보통신 매출이 100억원 이상인 사업자를 대상으로 망분리를 의무화했다. 금융권도 2013년 12월 전자금융감독규정에 의해 물리적 망분리를 명시했다.
망분리란 문자 그대로 외부 인터넷망과 내부 업무망의 분리다. 외부 해킹이나 침해로부터 내부 자원을 보호하기 위해 네트워크를 이중화 한다. 망분리는 물리적 망분리와 논리적 망분리로 구분되나, 금융권은 내외부 PC를 별도로 두는 물리적 망분리를 채택하고 있다. 과도한 비용과 업무의 비효율, 열악한 환경 등의 단점이 있지만, 내외부망을 철저히 분리해 내부 정보의 안전성을 높였다.
그러나 망분리 도입 이후, 최선의 정책이라는 과거의 시각과 달리 현재에 맞게 바꿔야 한다는 논란이 이어졌다. 망분리는 인공지능 및 클라우드 등 신기술에 대응하기 어렵고, 재택근무 등 업무 방식의 변화에도 유연하지 못하다는 것이다. 또한 일선 핀테크 회사는 개발 인력의 망분리에 대한 기피 현상으로 구인난을 겪고 있고, 정보 활용을 통한 혁신 사업 발굴도 어렵다고 한다. 자칫 산업발전을 저해하는 요인으로 작용할 수 있다. 이런 요인들 때문에 망분리에 대한 유연한 정책 변화와 대안적 접근이 필요하다.
국내도 해외국가가 채택하는 데이터 분류 중심의 보안체계를 적극적으로 적용할 시점이다. 중요한 데이터는 폐쇄망에 저장하고, 그렇지 않은 데이터는 인터넷망에 저장해 활용 가능성을 높이는 것이다. 또한 기술을 통한 대안도 적극 고려돼야 한다. 암호화 및 접근제어, 행위분석과 실시간 모니터링, 가상공격 테스트 등 최신 기술의 접목이 꾸준하게 병행돼야 한다. 특히, 최근 보안 시장은 망분리와 VPN등 기존 체계의 대안으로 제로 트러스트를 눈여겨 보고 있다. 이는 네트워크 내외부를 막론하고 모든 사용자, 장치, 애플리케이션에 대해 신뢰하지 않고 검증하는 접근 방식이다.
올해 1월, 정부는 대통령의 지시로 망분리 규제 합리화를 추진하기 위해 범부처 합동 TF를 구성했다. 금융당국도 업권의 의견을 수렴해 망분리 규제를 완화하고 디지털 혁신을 가속화한다는 방침이다. 열거주의에 치중한 포지티브 규제의 개선과 부처간 중복 규제의 해소가 큰 방향이 될 것으로 본다. 모쪼록 이번 기회를 통해 혁신과 보안이 적절하게 양립할 수 있기를 기대한다.
송민택 공학박사 pascal@apthefin.com