2011년 4월 농협에서 전산 장애 사태가 발생했다.
4월12일 카드시스템에서 장애가 처음 발생했고 마침내 주전산기도 다운되었다. 14일 오전에 인터넷뱅킹과 자동화기기 서비스 등이 복구되었지만 체크카드와 직불카드 서비스는 정상화되지 못했다. 완전 정상화까지 거의 한달이 걸렸다. 계정계 시스템과 카드 및 채널을 연결하는 게이트웨이의 OS가 삭제된 것이 원인이었다. 농협은 전산담당 외주업체 직원의 노트북에서 잘못된 명령이 실행된 것으로 발표했다.
2012년 3월 주요 언론과 기업의 전산망이 마비되었다.
KBS, MBC, YTN 등 주요 언론사 PC가 피해를 입었고, KBS는 전산망 복구를 위해 홈페이지를 전면 차단했다. 신한은행, 제주은행, 농협은행 등에서도 전산망 장애가 발생했다. 보안업체 서버를 통해 악성코드에 공격당한 것이 원인으로 추정되었다. 2년 전 농협 사태가 재조명되고, 금융권에 망분리 규제가 뜨거운 감자로 떠올랐다. 내부망과 외부망이 분리되지 않아, 외부에서 악성코드를 내부 시스템에 심어 놓을 수 있는 환경이 문제의 원인으로 지적되었다.
그로부터 몇 달이 지난 2013년 12월, 전자금융감독규정에 망분리 규제가 제정되었다. 이에 따라 모든 금융회사, 전자금융업자는 망분리 규제를 적용받게 되었다. 개인정보 유출이 대형 사고로 이어지는 금융 분야의 특수성에 의한 피해를 막기 위함이었다.
그렇다면, 망분리란 무엇인가? 망분리는 외부의 침입으로부터 내부 전산 자원을 보호하기 위해 네트워크망을 이중화시켜 업무용(내부망PC)과 개인용(인터넷PC)으로 분리하는 것을 말한다. 망분리는 물리적 망분리와 논리적 망분리로 나뉜다.
물리적 망분리는 개인당 두 개의 PC를 사용하거나 전환 스위치로 망을 분리하는 방식, 네트워크 카드를 두 개 탑재한 PC를 사용하는 방안 등이 있다. 일반적으로는 인터넷PC와 내부망PC를 별도로 두 대 설치하는 방식을 사용한다. 물리적 망분리의 장점은 완벽한 망분리가 지원돼 내부망의 안전성이 높다는 점이다. 하지만 개인당 두 대의 PC를 사용하는 것은 비용이 많이 들고, PC의 수가 물리적으로 많아지면서 발열로 인해 업무환경도 악화된다는 단점이 있다.
2013년에 들어서는 물리적 망분리보다 논리적 망분리를 선호하는 추세다. 논리적 망분리는 일종의 가상화 영역의 망분리로, 개인당 한 대의 PC에서 내부망과 외부망을 분리하는 방식이다. 논리적 망분리는 기반 환경 구축에 대한 관리 및 운영비용이 물리적 망분리보다 저렴하다는 장점이 있다. 하지만 웜이나 바이러스 유입이 가능하고 내부망에서 인터넷망으로 바로 연결될 수 있다는 보안의 위험이 있다는 단점이 있다.
전자금융감독규정에 의해 금융권은 물리적 망분리를 하도록 명시하고 있다. 장비 구축과 보안 업무의 증가로 비용 부담은 커졌지만, 물리적으로 차단된 상황이기 때문에 악성코드나 바이러스 유입 가능성은 적어졌다. 규제가 적용되기 시작한 그때는 망분리가 최선의 방법으로 여겨졌다.
금융권에 망분리 규제가 도입된 지 8년이 지났다. 8년의 시간 동안 많은 것들이 달라졌다. 핀테크 업체들이 시장에 뛰어들고 있다. 핀테크 개발자들은 모바일 중심으로 금융서비스를 제공한다. 따라서 외부 소프트웨어 자원인 오픈소스 활용도가 높다. 이때 인터넷 연결은 필수다. 망분리 규제 하에서는 연결된 환경에서 개발할 수 없다. 핀테크 업체들은 망분리 규제를 진입장벽으로 꼽는다. 망분리를 구축할 수 있는 대형 금융회사만 사업을 독점하게 된다는 것이다. 부담을 줄이기 위해 논리적 망분리를 구축한 핀테크 기업들은 벌금을 부과받았다. 2021년 카카오페이는 망분리 이행 위반 등을 포함해 과태료 6960만원을, 토스를 운영하는 비바리퍼블리카는 망분리 이행 위반 등이 적발돼 과태료 3720만원을 부과받았다.
망분리는 물리적으로 가장 높은 수준의 보안이다. 하지만 물리적 분리가 모든 보안을 해결하지는 않는다. 예를 들어 사람에 의한 보안 사고는 물리적 망분리로도 막을 수 없다. 망분리만이 최선의 수단은 아니라는 것이다. 해외의 경우, 보안 방법을 하나로 정해주기 보다는 보안 수준을 감독하는 경향이다.
‘그때는 맞고 지금은 틀리다 ’ 망분리 규제를 두고 핀테크 개발자들이 이렇게 말한다. 8년 전에는 최선이었지만, 시간이 흐른 지금에는 맞지 않는 보안책이라는 것이다. 개발자들이 핀테크 회사에 가면 망분리 적응 기간이 길기 때문에 핀테크 입사를 기피하려는 경향도 있다. 이는 산업 발전을 저해하는 큰 요인이 되고 있다.
그렇다면 망분리의 대안은 무엇일까? 대안 중 하나로 데이터를 중심으로 망을 분리하는 방법이 있다. 내부망을 아예 차단하는 것이 아니라 데이터를 중요도 순으로 나눠서 저장하는 방법이다. 데이터를 중요도에 따라 분류하고 이에 따라 중요한 데이터는 폐쇄망에, 그렇지 않은 데이터는 인터넷망에 저장해 활용할 수 있도록 하는 것이다. 현재 한국의 도메인 중심(망분리) 보안 정책에서 해외의 데이터 중심 보안 정책으로 가도록 해야 한다는 것이다.
또 다른 대안 중 하나는 최신 보안 기술을 도입하는 것이다. 예를 들어, 글로벌 보안 시장은 제로 트러스트 시대를 향하고 있다. 제로 트러스트는 모든 접근을 의심하고 점검·모니터링한다는 개념의 보안 운영 방법이다. 이는 망분리보다 훨씬 진화된 보안책으로 평가된다. 글로벌 보안 시장은 매우 빠른 속도로 변화하고 있는데 국내는 이러한 변화를 따라가지 못하고 있다. 우리도 과거를 살고 있는 규제를 완화하고 보다 적극적으로 최신 보안 기술을 도입해야 한다.
※ 참고 영상
1) Microsoft, Google의 제로 트러스트는 어떻게 작동될까?
https://youtu.be/HufH-WpEfYM
2) 제로 트러스트 7가지 원칙과 아키텍처의 핵심 구성요소
https://youtu.be/syTjiVBKTb0
코로나 19 여파로 재택근무와 비대면 업무가 확산되고 있다. 이에 변화를 요구하는 목소리는 더욱 커지고 있다. 망분리 규정을 준수하면서 원격지 근무를 가능하게 하는 것은 기술적으로 쉽지 않다. 비용도 많이 든다. 금융위원회는 망분리 규제의 단계별 완화를 추진할 계획을 갖고 있다. 전자금융거래법이 국회를 통과하면 하위 규정을 보완할 것으로 알려지고 있다. 전자금융거래법 개정안은 현재 국회에서 계류 중이다. 마이페이먼트와 종합지급결제업 등에 대한 이해관계 조정이 쉽지 않아서 쉽게 통과될 것 같지는 않다. 어떤 방식으로 망분리 규제가 해소될 수 있을 지 귀추가 주목된다.
‘그때는 맞지만 지금은 틀린’ 과거의 것을 놓지 못해서 혁신으로 가는 길을 막고 있지는 않은지 생각해보자.
언제나 혁신은 과감한 변화에서 이루어진다.
[참고자료]
1. "가상화를 이용한 논리적, 물리적 망분리 구축"(이용희 (신성대학교 정보지원센터, 교양학부, 제철산업과) ; 유승재 (중부대학교 정보보호학과), 2014
2. "KISIT 과학향기 칼럼"(2013)
3. "금융권 망분리 규제 완화 놓고 혼선 여전"(메트로신문,2021.06.08)
4. "망분리 규제, 그때는 맞고 지금은 틀리다"(바이라인네트워크, 2021.09.29)
5. "금융 혁신 걸림돌 '망분리'규제"(아이뉴스24, 2021.10.03)
6. "'망분리 이슈'로 핀테크·금융당국 정면 충돌 조짐"(it조선, 2021.05.21)
7. 제로 트러스트 시대, ‘망분리’ 변화 필요하다(데이터넷, 2020.04.01)
8. "디지털 금융 숙제 '망분리'…관련법은 국회서 '낮잠'"(아시아경제,2021.06.07)
9. "2년째 안 보이는 '망분리 규제 완화'"(전자신문, 2021.06.09)
10. 네이버지식백과, 망분리