- 망분리 덕 10년간 사고 없어… 안전 고집하면 잃는게 多
- 선진국은 가이드 마련해 관리… 韓도 표준모델 마련돼야
- 법제화 통해 자율 보안 방안 구축… 인센티브 등 정비도
- 산업 생태계도 변화 필요… 개선통해 해외진출도 노려야
- 클라우드·AI 커질수록 보안 중요… 인재 개발에도 힘써야
"망분리라는 성을 쌓아서 사고가 덜 났지만, 10년간 글로벌에서 일어난 엄청난 변화가 한국에서만 비껴갔다. 이 제도 개선은 정부·공공기관과 금융기관이 글로벌 흐름에 맞는 사이버보안 체계를 도입하고, 급변한 보안기술을 활용할 기회가 열렸다는 점에서 중요한 모멘텀이다."
금융위원회와 국가정보원이 망분리 제도 개선대책을 잇따라 공개하면서 10년 넘은 망분리 제도의 변화가 시작됐다. 이에 따라 정부·공공기관과 금융기관에서도 인공지능(AI), 클라우드 등 급변하는 기술을 단계적으로 활용할 수 있게 된다.
디지털타임스와 한국정보산업연합회가 최근 서울 중구 달개비에서 진행한 좌담회에서 전문가들은 "이번 개선 로드맵은 매우 긍정적이고 시의적절하다"면서도 "금융사와 공공기관이 망 분리에서 벗어나 자율보안 체계를 정립하려면 보안과 인력에 대해 제대로 투자해야 한다"고 입을 모았다.
대담자
김홍선 김앤장 법률사무소 고문
황보 현 우중앙대 겸임교수·전 하나금융지주 그룹데이터총괄
전은숙 LG CNS 담당
최병삼 과학기술정책연구원 선임연구위원
김도형 투이컨설팅 이사
안경애 ICT과학부 부장 (사회)
◇사회=금융위와 국정원이 각각 금융부문과 공공부문 망분리 개선 로드맵을 내놨다. 관련 평가를 하자면.
◇김홍선=금융위 발표의 3가지 키워드는 글로벌 표준, 자율보안, 결과책임이다. 지난 10년간 망분리 덕분에 사고가 나지 않은 것은 맞지만 엄청나게 발전한 클라우드와 AI를 도입할 수 없었다. 그동안 IT분야에서 많은 것이 코드화되고 소프트웨어(SW)화됐는데, 우리나라는 이런 흐름과 멀어졌다. 망분리가 국내 전자금융의 중요한 빌딩블록이자 루트였다. 이번 발표는 단순히 조항 하나가 없어진다기보다는 각 금융회사가 경영의 책임을 지고 자율보안체계를 도입하는 모멘텀이라는 점에서 의미가 크다. 지난 10년 간 선진국에서는 사이버보안이 이사회 수준의 리스크가 됐다. 우리가 아직 IT만의 이슈로 보는 것과 큰 차이다. 이번을 계기로 전체 사이버보안 프레임워크를 정비해야 한다.
◇전은숙=개도국에서는 보안 사고가 상상할 수 없을 정도로 많은데, 한국의 관리 비법을 많이 궁금해한다. 망분리가 매우 엄격하고 불편한 규제이지만 안전 면에서 순기능도 있었다. 하지만 최근 코로나 팬데믹과 챗GPT 등장으로 기술 발전에 가속도가 붙으면서 안전만 고집하다가는 잃는 게 너무 많다. 이번 로드맵은 매우 긍정적이고 시의적절하다고 생각한다. 다만 금융부문에선 규제 샌드박스로 해야 하는 게 아쉽다. 혁신서비스에 대해 신청을 거쳐 적용되는데, 이보다는 보다 자유롭게 시도할 기회를 줬으면 한다.
◇황보현우=금융산업의 디지털과 AI 경쟁력 강화를 막아온 갈라파고스 규제를 철폐했다는 점에서 의미가 크다. 생성형 AI와 더불어 2단계 샌드박스로 예정된 개인 신용정보의 서비스형 SW(SaaS) 이용이 가능해지면 고객 맞춤형 상품과 서비스 개발이 가능해져 금융 소비자들의 효용이 커질 것이다. 다만 SaaS 이용절차 개선, 연구개발망 분리 개선을 위한 전자금융감독 규정과 시행수칙 개정이 하반기로 예정돼 있고, 이를 포괄하는 금융보안법 시행과 제정이 훨씬 이후로 돼 있어 법령 정비가 정책 발표보다 늦다는 느낌은 지울 수 없다. 규제 개선 효과를 극대화하려면 이를 뒷받침하는 법제도 등이 조속히 마련돼야 한다.
◇김도형=이번 로드맵으로 외부 생성형 AI모델과 SaaS를 금융회사에서 활용할 수 있는 초석이 마련됐다. 망분리와 같은 경계 기반 보안모델은 구시대 모델이다. 미국 등 선진국은 제로트러스트 모델을 적극 도입하고 있다. 우리도 그 방향으로 가야 한다. 다만 망분리 규제 개선에 따른 대책도 생각 안 할 수 없다. 금융당국은 자율보안과 결과책임을 강조하는데, 금융사들이 알아서 보호대책을 마련해야 하고 사고 발생 시에는 큰 책임을 져야 하는 상황이다. 미국 등 선진국에서는 관련해 구체적인 가이드 문서를 제시하는데, 우리도 국가표준모델이나 참고 가이드 모델이 있었으면 한다.
◇최병삼=로드맵의 방향은 잘 설정됐다고 생각한다. 다만 규제를 준수하는 입장에서는 너무 복잡하고 어렵다. 언제 망분리를 해야 하고, 연구개발이나 규제샌드박스는 어떻게 적용되는지 해석 차이의 여지가 있다. 더 단순화돼야 힘을 가질 수 있다. 또 보안에 대해 투자하고 체계를 갖춘 기업들과 그렇지 않은 기업을 차등화하지 않고, 모두 준비가 안돼 있다는 가정을 둔 점도 아쉽다. 보안에 대해 많은 준비가 된 기업은 별도 인증을 해서 망분리 예외를 하거나 최소화하는 접근이 필요하다. 또, 챗GPT가 나온 지 20개월만에야 정부가 허가해준 것인데, 앞으로도 혁신 기술이 나올 때 정부 허가를 받아야 하니 어려움이 많을 것이 예상된다. 망분리가 반드시 필요한 영역은 정부가 명확하게 제시하고 나머지는 기업 자율에 맡기는 네거티브 규제가 효과적이라고 본다.
◇사회=망분리에 익숙한 현장에서 바뀐 환경에 제대로 적응하려면 어떻게 해야 하나.
◇김홍선=사고가 나면 정부에 책임지라고 하는 것은 한국만의 독특한 분위기다. 보안사고가 나면 그 회사가 책임을 져야 한다. 또 금융시스템이 다 엮여 있으니 전체적인 수준을 높여야 한다. 타율적인 규제에 익숙해진 상황에서 자율 규제로 가는 큰 실험이라고 생각한다. 각 기관이 할 수 있는 것부터 하고 내부 역량을 강화하고, 사이버보안을 이사회의 중요한 책무로 인식하고 관리해야 한다.
◇전은숙=빨리 규제를 풀면 좋겠지만 아직 이후 보안 대책을 제대로 연구한 곳은 없다고 본다. 제로트러스트가 대안이라고 하지만 이를 잘 구현해서 쓰고 있는 곳은 없고 고민하는 단계다. 지금 상황에서 규제를 모두 다 풀면 사고 위험이 있을 수밖에 없다. 최근 보안사고 패턴을 예전과 매우 다르다. 모든 솔루션을 갖추고도 SaaS를 쓴다고 외부 서비스에 인증키를 올리는 등 어이없는 사고가 많이 발생한다. 갑자기 보안이 발목을 잡을 수도 있는 만큼 한 걸음씩 차근차근 가는 게 맞다고 본다.
◇황보현우= 이번 조치로 금융권의 실질적 혜택은 여신 심사보고서 작성 등에 생성형 AI를 이용할 수 있게 된 것이다. 보험사는 보험금 지급 심사, 은행·증권사는 펀드상품 불완전 판매 검증 등 서류 검토 과정에 생성형 AI를 활용할 수 있게 돼 효율성 향상이 기대된다. 가명정보와 2단계 신용정보 활용에 따른 혜택도 기대된다. SaaS 활용 범위를 확대하고 이용 절차를 간소화하면서 외주업체 선정이나 개발자 확보 시 긍정적인 효과를 얻는 것은 오히려 부가적인 부분이라고 본다.
◇사회=이번 발표에 이어 구체적인 법제화를 통해 어떤 프레임을 짜느냐가 중요하겠다는 생각이 든다.
◇김도형=이번 조치로 인해 올해 금융기관에서 생성형 AI와 가명정보를 쓸 수 있게 됐고, 전산실에 생성형 AI를 연결할 수 있게 됐다. 또 규제샌드박스 적용에 이어 내년 하반기 정도 디지털금융보안법(가칭)이 입법될 것으로 예상된다. 이를 통해 규제샌드박스가 아닌 자율보안 방안이 마련될 것이다.
◇최병삼=가장 큰 효과는 규제 개선의 시그널을 준 것이라고 본다. 다만 금융부문에 비해 공공부문은 상대적으로 관련 논의가 많지 않아 보인다.
◇김홍선=요즘은 대부분의 서비스가 SaaS 기반이다. 보안서비스도 다 SaaS다. 세계에서 24시간 벌어지는 위협에 실시간 대응하려면 로컬에 시스템을 놓고서는 한계가 있기 때문이다. 그런데 우리나라는 대부분 구축형이다.
지난 10년간 해외 클라우드와 보안 시장은 급격하게 성장했는데 국내에서는 망분리 규제로 인해 이런 기술들을 못 썼다. 오픈소스와 AI를 활용해 생산성을 높일 수 있는 환경으로 빨리 이전하는 것이 경쟁력을 키우기 위해 매우 중요하다. SW의 안전한 공급망도 매우 중요하다. 특히 금융회사는 기술이 가장 중요한 투자이고, 전부라고 해도 과언이 아니다. 가장 좋은 기술을 써서 더 좋은 서비스를 만드는 것이 중요하다.
◇김도형=망분리 개선안을 보면 SaaS 활용을 확대해 사용할 수 있도록 범위를 넓혔다. 보안 솔루션도 포함되어 있는데, 해외 마이크로소프트(MS)나 아마존웹서비스(AWS)를 보면 보안 솔루션이 잘 갖춰져 있다. MS의 M365를 예시로 들면 애저 AD, 디펜더와 같은 제로트러스트 기반의 다양한 보안 솔루션을 제공한다. 이번 망분리 규제 완화로 SaaS 서비스와 더불어 이런 것들을 활용할 수 있는 길을 열어줬다고 생각한다.
◇사회=우리나라가 망분리로 인해 10년간 뒤처진 보안 분야를 따라잡기 위한 해법은 무엇이 있는가.
◇김홍선=금융사뿐 아니라 전체적으로 내부 보안이 상당히 취약하다. 망분리라는 큰 틀의 벽을 쌓는데 집중하다보니 내부보안에 할애할 여력도 없고 관심도 적었다. 바이러스가 창궐하는 상황에서 다른 나라는 인터넷에 열어두고 면역력을 키웠다면 우리는 아예 못 나가게 한 것이다. 예를 들어, 개인 권한관리가 세밀하게 통제되어야 하고, 업무 중요도에 따라 네트워크가 세분화되어야 한다.
이제는 내부 보안에 큰 투자가 이뤄져야 한다. 또 자율보안 체제로 가려면 리스크 기반의 접근이 매우 중요하다. 우리는 리스크 기반 관리보다 기술 기반 체크리스트에 의존하고 있어 빠른 변화가 필요하다.
보안이 이사회 의제로 올라가는 순간 투자규모는 상상을 초월한다. 미 증권거래위원회(SEC)는 상장사들에게 사이버보안을 이사회 레벨에서 관리하도록 규정했다. 한국만 랜섬웨어 사고가 나도 경영진도, 이사회도 모른다. 대부분의 사업이 IT로 돌아가니 사이버 리스크는 경영 리스크다. CEO와 이사회가 책임져야 한다.
우리 산업 생태계도 달라져야 한다. 이스라엘은 가장 많은 보안 스타트업이 나오는 곳이다. 대부분 클라우드 기반 보안 솔루션을 개발하고, 빅테크들이 인수해 기업들이 성장했다. 처음부터 글로벌하게 시작한 것이다. 하지만 우리나라는 우리만의 환경이다 보니 해외 진출이 어려웠다. 망분리 개선을 통해 해외 진출 기반을 만들어야 한다.
◇전은숙=가장 중요한 것은 경영진 마인드다. 경영진들이 중요하게 생각하면 밑에서도 투자하고 관심을 가질 수밖에 없다. 기업 현장에서는 외부 경계가 무너지고 데이터를 잘 분류해서 데이터 기반 보안으로 많이 바뀌었다. 데이터 중 개인정보와 중요 데이터를 분류해서 보안을 적용하는 방안을 고민한다. 또, 국내는 구축형이라면 해외는 관리형 서비스가 자리잡았다. 국내는 솔루션 구축 후 사람이 모니터링하고 운영한다면 해외는 솔루션 도입부터 운영까지 서비스 방식으로 이뤄진다.
최근 보안사고가 급증했는데 과거에는 웹서버 해킹 수준이었다면 지금은 개인의 랜섬웨어 감염으로 산업장비가 중단되기도 한다. 큰 규모의 경제적인 피해로 이어질 수 있다. 보안은 자동차 보험과 비슷하다. 규제가 있고 뭔가 해야 한다는 의무가 없으면 바로 성과가 나오는 것이 아니기 때문에 경영진 입장에서는 사실 비용일 뿐이다. 경영진이 관심을 가지려면 법이 바뀌어야 한다.
◇김도형=금융당국의 발표내용을 보면 내부보안에 대한 거버넌스를 강화하도록 했다. 관련 정책에 대해 최고경영자 및 이사회에 보고하고 관리하도록 한 것은 긍정적이다. 보안 산업 측면에선 망분리 규제 완화가 국내 보안기업들의 큰 발전을 불러올 수 있을 것이다. 기존과는 다른 Saas형 솔루션 개발이 많이 이뤄지고 생성형 AI 허용에 따른 새로운 보안체계도 갖춰질 것으로 예상된다.
◇황보현우=이번 개선책을 보면 2단계까지는 규제샌드박스 방식인 만큼 정말 하고자 하는 의지가 있는 기업만 하게 된다. 금융기관은 사고 안 내고 최소한의 비용을 쓰는 게 가장 중요한 덕목이다. 과거 금융 규제샌드박스를 신청했던 14개 기업을 살펴보면 규모의 문제가 아니라 관심의 문제였다. CEO나 보안·AI 담당 임원이 드라이브를 걸어야 한다. 투자여력이 있어도 안하는 곳이 있을텐데 이에 대해 고민할 필요가 있다. 정부가 구체적인 가이드라인을 제시하고 일부 강제력을 가지고 드라이브 걸 필요가 있다. 또 국정원과 마찬가지로 금융부문에서도 다중보안체계를 도입할 경우, 정부가 구체적인 가이드라인을 안 내면 금융사 임원이나 실무자는 이후를 걱정해서 데이터 구분 시 다 기밀, 민감정보 같은 상위등급으로 구분할 가능성이 있다. 이 경우 규제완화 효과가 제대로 나오기 힘들다. 또 저축은행, 여신금융전문사 등 자본이나 인력이 충분하지 못한 곳은 금융당국이 최소한의 구체적 기준점과 가이드라인을 줘야 할 것이다.
◇김홍선=현장에선 데이터 등급을 내릴 인센티브가 없다. 상등급으로 가면 그만큼 보안통제와 투자가 늘어나도록 책임감을 부여해야한다. 비즈니스 임팩트에 따라 리스크를 보고 끊임없이 분석하고 식별해야 한다. 이를 IT부서가 아니라 C레벨, 이사회 레벨이 봐야 한다.
2015년 전후 영국의 사이버보안 규제가 강해졌을 때 스탠다드차타드은행의 보안 조직의 규모와 위상이 엄청나게 커졌다. 보안전문가들이 임원으로 속속 합류하고 리스크 기반체계를 구축했다. 글로벌 금융사들도 다 이런 과정을 거쳤다. 보안의 가시성을 갖추고 거버넌스를 정비했다. 최고정보보호책임자(CISO)가 이사회 회의에 참석해 위험지표와 투자 프로그램을 구체적으로 보고하는 구조를 갖췄다.
◇최병삼=망분리 규제의 대안으로 제로트러스트가 제시되고 있지만 어떻게 구현될지 불확실하다. 정부가 가이드라인을 제시하는 것은 기업이 이를 새로운 규제로 인식할 우려가 있다. 공공 부문에서 제로트러스트를 선행적으로 도입하여 성공사례를 제시하는 것이 바람직하다.
◇사회=AI시대에도 보안은 더할 나위 없이 중요한데, 국내 산업과 인력은 충분한가.
◇전은숙=보안은 3D 부서라는 인식이 강하다. 보안인력을 개발자에 비해 처우도 낮다. 잘못된 문화다. 돈이 안되고 관제의 경우 24시간 근무해야 하니 다른 분야로 가버린다. 악순환이다. 보안 인재는 밑 빠진 독에 물 붓기다. 국내에 AI 인재가 없다고 하지만 사실상 보안 인재는 더 없다. 갑자기 보안 조직이 커진다고 해도 그곳에 투입할 자원이 없다. 현업에서는 계속 인력이 부족하다고 얘기하는데 경영진들이 인식을 못 하는 것 같다. 아웃소싱하면 되는 거 아니냐고 생각한다. 처우가 개선돼야 좋은 인력이 들어오고 선순환이 이뤄질 수 있다.
◇김홍선=보안관제 인력을 파견받아 운영하는 곳은 한국밖에 없다. 해외 기업들은 보안 인력이 핵심이라고 생각한다. 내부 모니터링은 아웃소싱하지 않고 자체 인력으로 한다. 또 자동화와 AI가 가장 많이 쓰이는 곳이 관제다. AI를 관제에 적용한 논문이 나온 것이 10년 전이다. 그런데 우리는 사람 수로 대가를 받으니 자동화할 일이 없다. 어느 시대인데 그러고 있나. 24시간 사람이 작업하면 된다고 생각하는 게 잘못 됐다. 보안에 제대로 투자하지 않으면 영원히 문제가 될 것이다. 해외에선 70대를 훌쩍 넘은 보안전문가들도 현업에서 뛴다. 그만큼 경험이 중요하기 때문이다. 이 분야를 3D 직종으로 보는 것은 잘못된 것이다. 보안전문가는 늘 부족하고 영원히 필요한 직업이다. 보안전문 경영자인 CISO의 역할은 너무나도 중요해지고 있다. 최고경영진이 사이버보안에 대한 인식과 주인의식을 가져야 한다. 무엇보다 보안사고의 책임은 보안담당자가 아닌 경영자가 져야 한다.
우리 IT역량이 결코 부족하지 않다. 관심을 가지고 방향만 잡아주면 된다. 보안 리스크에 대해서는 투명해야 한다. 보안사고는 어떻게 대응하고 근원적인 재발방지대책을 구축하느냐가 중요하다. 어떻게 대응하느냐가 문제다. 우린 절대 나선 안 된다는 분위기다 보니 숨기려 한다. 미 SEC는 사고가 난 것보다 그 사실을 숨기는 것을 더 강하게 처벌한다.
◇전은숙=우리는 서버에 백신 등 보안 프로그램을 설치하라는 식으로 규제하는데 해외는 사고가 나면 24시간 내에 보고하라는 식으로 규제한다. 그런 방향을 주면 각 기관이 방안을 고민해서 찾도록 하는 것이다. 반면 우린 서버에 백신만 설치하고 나서는 고민을 안 하는 식이다. 또 우리가 개인정보에 주로 국한돼서 보는데 글로벌 규제는 훨씬 포괄적으로 간다. 우리도 프레임을 바꿔야 한다. 사고 시 24시간 내 대응하기 위한 방어체계를 안 해놓으면 큰 일 난다는 인식이 돼야 한다.
◇황보현우=사고가 발생하면 최고경영자가 책임져야 한다는 것에 공감한다. 산업현장에서 중대재해처벌법을 어기면 CEO가 처벌 받지만, 금융기관에서 보안문제가 발생하면 보안담당자가 책임지는 구조를 바꿔야 한다. 또 금융기관이 자산이나 매출의 일정 부분을 보안에 투자하면 출연금이나 부담금 감면, 더 나아가 법인세 감면과 같은 인센티브를 주는 정책을 검토하는 것이 필요하다.
정리=유진아기자 gnyu4@dt.co.kr
사진=박동욱기자 fufus@
출처: [망분리 개선, 혁신 돌파구로 삼으려면] "망분리 혁신 저절로 오지 않아… 투자·법정비 서둘러야" - 디지털타임스 (dt.co.kr)
