망분리 도입 13년···"제재 수위 높이고 자율성 키워야" [망분리, 규제 vs 자율ⓘ]

[한국금융신문 김성훈 기자] 금융권에 망분리 규제가 도입된지 13년이 흘렀다.

해킹 범죄에 대응하기 위한 조치였으나 대규모 개인정보 유출 사고는 최근까지도 이어졌고, 오히려 AI의 활용과 발전을 저해한다는 목소리가 커지고 있다.

금융당국이 업계와 함께 개선방안을 논의, 꾸준히 추진하고 있지만 보안과 혁신 사이에서 합리적인 해답을 찾기 위해서는 시간이 더 필요할 것으로 보인다.

업무망-외부 인터넷망 분리, 정보 유출 최소화 목적

'망분리'란 말 그대로 '업무망'과 '외부 인터넷망'을 분리하는 조치를 말한다. 외부 인터넷을 통한 해킹 시도와 바이러스 침투, 내부정보 유출 등을 차단하기 위해 도입됐다.

당시 망 분리가 도입된 것은 잇따른 해킹과 개인정보 유출 사고 때문이었다.

2008년에는 인터넷 쇼핑몰 '옥션'이 해킹 당해 1,800만명의 고객 정보가 유출됐고, 2011년에는 검색포털 네이트(Nate)와 싸이월드(Cyworld) 해킹으로 약 3,500만명의 개인정보가 빠져나갔다.

해킹 사고가 있었던 것은 정보통신업계뿐만이 아니었다.

금융권에서도 2010년 현대캐피탈이 해킹 공격을 당했고, 삼성카드의 경우 내부직원의 소행으로 고객정보 수십만 건이 유출됐다.

2011년에는 해킹으로 농협의 계정계와 카드사·ATM·창구를 연결하는 게이트웨이 시스템 운영체제가 고의적으로 삭제, 전산망이 거의 3일간 마비되는 사고도 있었다.

KB국민은행·농협은행·롯데카드의 경우 2013년 신용카드 부정사용예방시스템(FDS) 개발과정에서 용역업체 직원이 1억건 이상의 고객정보를 뺴가는 사건이 발생하기도 했다.

이처럼 연쇄적으로 이어진 내외부 해킹사고에 정부는 2012년 8월 정보통신망법을 개정, '망분리' 도입을 법으로 의무화 했다.

대상은 100만명 이상 이용자 개인정보를 보유했거나 정보통신서비스 매출이 100억원 이상인 정보통신서비스 사업자다.
금융위원회도 이듬해 9월 '금융전산 망분리 가이드라인' 을 배포, 11월에는 전자금융감독규정을 개정해 이후 3년에 걸쳐 망분리를 의무화하도록 했다.

물리·논리적 분리로 구분···내외부 PC·서버 나눠야

망분리 방식은 크게 '물리적 망분리'와 '논리적 망분리'로 구분된다.

먼저 물리적 망분리는 통신망 자체를 물리적으로 업무망과 인터넷망으로 나누고, 각 망에 접속하는 컴퓨터도 따로 사용하므로 망간 접근경로를 차단하는 방식이다.

아예 다른 PC를 사용하므로 동일한 시점에 1개의 컴퓨터에서 업무망과 인터넷망을 동시에 접속할 수 없고, 업무망 PC에서 인터넷에 접속할 수 없도록 해 악성코드 감염, 해킹, 개인정보 유출 등의 경로를 원천 차단한다.

1개의 컴퓨터를 사용하는 망분리도 가능하지만, 이 경우에도 업무용과 인터넷용 하드웨어는 별도로 설치해야 한다.

논리적 망분리는 서버 혹은 컴퓨터를 '가상화'해 업무망과 인터넷망을 분리하는 형태다. 하나의 PC에서 업무망과 인터넷망을 모두 쓸 수 있지만, 가상화를 통해 접속·설치 경로를 달리하므로 업무망을 쓰면서 동시에 인터넷망에 접속하는 것은 불가능하다.

실제로 적용되는 금융사의 망분리 의무는 전산센터 망분리와 본점·영업점 망분리로 나뉜다.

전산센터 망분리의 경우 센터 내 정보시스템의 운영·개발·보안목적으로 정보처리시스템(서버)에 직접 접속하는 단말기는 인터넷 등 외부통신망과 '물리적'으로 분리돼야 한다.

본점·영업점 역시 내부통신망과 연결된 본점 영업점 PC는 물론 프린터 등 주변기기까지 망분리를 해야 한다.

일부 예외가 있지만, 해당 경우에도 망분리에 준하는 대응 체계를 마련해 정보보호위원회의 승인을 받아야 한다.

코로나19로 규제 완화 필요성 제기

정부와 업계 모두가 필요성을 공감해 시행된 망분리 조치였지만, 시간이 흐르고 상황이 바뀌면서 문제가 생겼다.

망분리 규제 완화에 대한 목소리가 커진 것은 코로나19 사태 당시였다.

바이러스 확산과 추가 감염을 막기 위한 재택근무가 늘면서 임직원 개인의 PC, 즉 외부 PC를 통한 사내 업무망 접속이 필요해진 것이다.

금융감독원은 보안을 우려해 업무상 불가피한 경우에 한해, 필수인력에 대해서만 예외를 허용하기로 했지만 원활한 업무가 어렵다는 불만은 커져갔다.

코로나19 사태 진정 이후에도 근무 형태 자체가 바뀌면서 망분리 제도의 한계점이 드러났고, AI·클라우드 서비스의 확산은 규제 합리화 주장에 더욱 힘을 실었다.

생성형 AI의 경우 사용자들의 활용과 다양한 데이터 학습으로 고도화되는데, 내부 업무망에 생성형 AI를 도입해도 망분리로 외부 데이터를 학습할 수 없어 실시간 대응과 최신화가 불가능하기 때문이다.

업무와 클라우드 서비스, AI 고도화에 필요한 주요 소프트웨어들이 'SaaS(Software as a Service)' 방식으로 공급된다는 점도 어려움을 가중시켰다.

SaaS란 클라우드 기반의 소프트웨어 제공 모델로, 쉽게 말해 프로그램을 사용하려면 반드시 인터넷에 접속해야 하는 형태다.

이에 금융당국은 지난 2024년 TF를 구성하고 '금융분야 망분리 규제 개선 로드맵'을 발표, 단계적이 망분리 완화 방안을 발표했다. 이를 기점으로 금융권에서는 금융지주를 필두로 한 AI 경쟁이 본격화 됐다.

금융AI 확산에 추가 규제 합리화 진행

그러나 일각에서는 여전히 규제로 인해 AI 고도화가 늦어진다는 의견이 제기됐다. 예외 적용을 한다고 해도 AI를 활용해 개발한 서비스와 업무 관련 프로그램 등의 경우 매번 규제 샌드박스를 신청, 혁신금융서비스 인가를 받아야 했기 때문이다.

황세운 자본시장연구원 선임연구위원은 지난 2024년 발표한 보고서를 통해 "해외 금융사들은 보안효과가 상대적으로 선명한 물리적 망분리를 선택할 수 있음에도 불구하고 활발하게 활용하고 있지는 않았다"며 "해외의 망분리 규제체계와 망분리 접근방식을 참고해 우리도 망분리 규제를 합리적인 방향으로 수정할 필요가 있다"고 설명했다.

장기적으로는 망분리 방식에 대해 금융사의 선택권을 인정하되, 금융전산사고가 발생할 경우 그에 대한 책임을 무겁게 하는 방식을 고려해 볼 필요가 있다는 것이다.

학계와 업계의 요청이 이어지면서 금융당국은 2024년 발표한 로드맵의 후속 조치를 지난 1월 실시했다.

금융사가 내부 업무망에서 SaaS를 이용하는 경우 일정한 보안 규율을 준수한다면 망분리 규제의 예외로 명시하겠다는 것이다.
이 같은 당국의 노력에도 아직도 자율성을 더 높여주길 바란다는 것이 업계의 의견이다.

SaaS의 경우 국내 대부분 금융사가 샌드박스를 통해 내부망에서 이미 활용하고 있어 크게 달라질 것이 없다는 지적이다.

망분리 규제개선 로드맵에 따르면 이미 작년 하반기에 내부망에서 생성형 AI에 대한 규제 샌드박스를 제도화했어야 하는데, 너무 늦어지는 것 아니냐는 목소리도 나온다.

한 금융권 IT부문 임원은 "망분리 관련 자율성이 커질 경우 더욱 다양한 업무와 대고객 서비스에 AI를 적용할 수 있고, 이는 AI 고도화 속도를 높여 수년 내 거의 완벽한 수준의 AI 뱅커를 탄생시킬 것"이라고 설명했다.

망분리 규제보다 각 기업의 보안 의식과 시스템을 강화하는 것이 더 의미있다는 주장도 제기된다.

IT업계 관계자는 "망분리 규제가 있어도 롯데카드, 통신사, 빗썸, 서울보증 등 업권을 가리지 않고 개인정보유출 사고는 계속되고 있다"며 "사고 시 제재 수위를 대폭 높이는 대신 자율성을 부여하는 것이 보안과 혁신 측면에서 더 나은 방향일 것"이라고 강조했다.

김성훈 한국금융신문 기자 voicer@fntimes.com