신종 코로나 바이러스(코로나19)감염증 확산으로 금융사와 핀테크서도 재택근무가 이뤄지면서, 전자금융감독규정에 있는 '망 분리 규제'가 화두로 떠올랐다. 전 금융업권과 전자금융업자로 등록한 핀테크사들은 4차 산업혁명 시대 개발 환경과 동떨어졌다며 망 분리 규제의 일부 완화를 주장하고 있다. 데이터 경제 활성화를 위해선 망 분리 규제가 걸림돌이 된다는 의견이다. 2020년, 망 분리 규제를 둘러싼 쟁점들에 대해 두 편에 걸쳐 진단해본다. [편집자주]
<글 싣는 순서>
(상) 코로나19 이후 재점화된 망 분리 규제, 쟁점은?
(하) 초연결시대와 안 맞는 '망 분리', 규제 완화 공감대 형성
■ 망 분리 규제가 뭐길래
망 분리란 금융사의 통신 회선을 업무용인 내부망과 인터넷용인 외부망으로 분리하는 규제를 뜻한다. 전자금융법 제21조와 전자금융감독규정 제15조에 금융사와 전자금융업자는 망 분리를 의무적으로 해야 한다고 명시돼 있다. 이 같은 망 분리 규제는 2013년 시중은행 5곳 전산시스템이 마비되는 '3.20 전산 사태'를 겪은 후 만들어졌다. 사이버 위협과 정보 유출을 방지한다는 목적으로 은행은 2015년에, 타 금융업권은 2016년 망 분리 환경을 구축했다.
이 때문에 은행에서는 내부용 PC에선 어떤 파일도 다운로드 할 수 없다. 만약 업무에 꼭 필요한 파일이라면 별도 저장장치에 저장한 후 정보보호본부의 승인을 받아야 한다. 정보보호본부는 업무와 어떤 연관이 있는지, 보안상 문제는 없는지를 확인한 후 내부용 PC에서 파일이나 프로그램을 쓸 수 있게 해준다. 회사 전체서 필요한 프로그램일 경우에는 보안 위협과 정보 유출이 없는 가상 공간에서 보안과 안정성을 검토한 뒤 이용이 가능하다.
고려대학교 정보보호대학원 김승주 교수는 "망 분리는 내부 업무망과 인터넷 외부망을 분리해 정보 유출을 방지하겠다는 목적으로 만들어진 것"이라며 "인터넷이 연결되지 않았으니 당연히 해킹 빈도가 떨어지는데 4차 산업혁명의 '초연결 시대'와는 철학이 잘 맞지 않는다"고 진단했다.
■ 핀테크 업계, 개발에도 적용돼 비효율성 커
개인 정보 유출과 보안 위협을 낮추기 위한 망 분리였지만 현재는 '천덕꾸러기' 취급을 받고 있다. 오픈소스를 활용해 빠르게 대응해야 하는 핀테크 업체가 가장 어려움을 토로하고 있다. 이에 한국핀테크산업협회 류영준 회장도 "해외선 망 분리 의무화를 발전소 등 국가 주요 기반 시설에만 한정하지, 일반 기업이나 중소 스타트업까지 강제하지 않는다"며 "협회차원서 망 분리 규제 완화 방안을 적극 개진할 계획"이라고 밝혔다.
핀테크 업계는 망 분리 규제 조항 중 전자금융감독규정 제15조 1항 5호가 가장 현실과 떨어진다고 지적한다. 이 조항에는 '전산실 내에 위치한 정보처리시스템과 해당 정보처리시스템의 운영·개발·보안 목적으로 직접 접속하는 단말기에 대해서는 인터넷 등 외부통신망으로부터 물리적으로 분리해야 한다'고 적시됐다. '개발'이라는 부분이 포함됐는데 이는 매 분 매 초 변하는 개발 환경과 동떨어지며 지나치게 엄격하다는 것이다.
핀테크 업체 보안 관련 일을 하는 A씨는 "개발도 망 분리 규제 안에 포함된 것은 현실적으로 맞지 않다고 다들 얘기한다"며 "핀테크 업체들은 오픈소스 활용도가 굉장히 높은데 인터넷이 안되는 환경에서 개발을 하라고 하니 사실상 개발을 하지 말라는 규제"라고 설명했다. 그는 또 "인터넷이 연결된 환경에서 리소스를 활용해 개발을 빠르게 할 수 있는데 망 분리 규제 때문에 인터넷이 되는 PC에서 리소스를 다운로드 한 후, USB를 거쳐 인터넷이 안되는 곳에서 개발을 하는 비효율적인 일들이 일어나고 있다"고 지적했다.
또 다른 핀테크 업체 관계자 B씨는 "가상의 데이터를 개발하는 경우 정보 유출 위험이 없는데도 일괄적 망 분리가 적용되고 있다"면서 "개발 시 오픈소스 라이브리러리 활용이 실질적으로 불가능한데다 실제 개발자 생산성이 많게는 50% 이하까지 떨어진다는 분석도 나왔다"고 진단했다. B씨는 "데이터와 분석·개발 도구가 물리적으로 분리돼 하루에도 수십 번 소스코드로 개발 업무를 수행하며 매번 보안 USB, 전용 솔루션으로 소스코드를 개발 PC로 옮기는 시간 낭비가 있다"고 지적했다.
A씨는 "망 분리 규제때문에 좋은 개발자를 영입하더라도 개발자들이 업무 환경에 놀라 다른 산업으로 간다"며 "핀테크 기업의 본성은 IT 기업인데, IT기업의 혁신적 요소를 대부분 활용하지 못하게 하는 건 국내 산업 측면선 손실이고 더 나아가 해외 핀테크와의 경쟁에서도 밀리는 것"이라고 목소리를 높였다.
■ 데이터 3법 시행 앞뒀는데 망 분리 규제 완화돼야...
빅데이터 분석을 통해 '초맞춤형 금융 상품'을 내놓겠다는 시중은행도 망 분리 규제의 어려움을 호소한다. 대용량 외부 데이터를 USB에 담는 것은 역부족인데다가 데이터가 있더라도 데이터 분석 도구는 외부에 있으니 시간과 비용이 가중된다는 것이다. 클라우드와 스마트워크, 오픈소스 등 4차 산업혁명 시대에 걸맞는 기술도 우회 통로를 찾거나 망 분리 규제에 맞는 새로운 워크 스페이스 구축을 전제로 해야한다고 지적했다.
시중은행 데이터 관련 업무를 하는 C씨는 "오픈소스로 데이터 분석을 하는 경우가 많은데 하루에도 몇 번이나 업데이트가 된다"며 "업데이트가 되면 그에 맞게 다른 것도 업데이트를 해야 상호호환이 가능한데 USB에 넣고 정보보호 측의 승인을 기다리는 작업을 수 십 번 하니 매우 불편하다"고 설명했다.
관련기사
- 스얼, 망분리 규제 다룬 스타트업 보고서 발표2020.04.03
- 인기협 "금융위 '망분리 예외허용 조치' 환영한다"2020.04.03
- 망분리된 네트워크도 무력화하는 해킹 위협 고조2020.04.03
- 핀테크 분야 망분리 규제…"그때는 맞고 지금은 틀리다"2020.04.03
또다른 은행 관계자 D씨도 "내부 데이터를 분석한다고 해도 파이썬 등 오픈소스 프로그램을 자유자재로 쓰는 해외 금융사에 비해 속도나 경쟁력 면이 떨어진다"면서 "외부 데이터를 처리하는 문제도 있어서 사실상 은행에서 빅데이터로 크게 앞서나간다는 것은 망 분리 규제로 어불성설"이라고 꼬집었다.
이미 4차산업혁명위원회는 데이터를 중요도에 따라 분류한 후 걸맞는 망 분리와 보안 정책을 재정립할 것을 권고했다. 공공과 금융 분야 데이터 유통과 활용을 장려하고, 글로벌 데이터 산업 육성을 위한 목적이었다. 김승주 교수는 "권고안이 빠르게 시행되지 않을 경우, 빅데이터 시대에 국내 경쟁도는 크게 뒷걸음질칠 수 있다"며 "아무런 준비가 없는 상태서 아이폰이 들어왔던 것 같은 충격이 올 것"이라고 관측했다.
