한국정보보호학회가 주최하고 고려대학교 사이버 레질리언스 리서치 센터가 후원한 ‘금융권 망분리 정책 개선 끝장 토론회’가 9월 12일 은행회관 국제회의실에서 금융권 및 학계, 산업계 담당자 등 온오프라인 300여 명 이상이 참석한 가운데 개최됐다.
이날 참석자는 이경호 고려대 교수를 비롯해 김수호 금융위 전자금융과장, 서호진 금융보안원 팀장, 김앤장 강형우 전문위원, 지정호 토스 CISO, 이창복 롯데카드 CISO, 신용녀 마이크로소프트 상무, 임정욱 네이버클라우드 금융리더, 김성래 멘로시큐리티 지사장 등이 참석했다.
패널토론 참석자들의 발언 내용을 정리하면 다음과 같다.
◆김앤장 강형우 전문위원 “리스크 중심의 규제로 변화해야”
그는 망분리를 도입한 이후에 금융기관의 PC와 단말기가 더 안전해진 것을 강조하며, 정보보호 측면에서의 이점이 있고 대신 물리적 망분리 만을 고집하기 보다는 논리적 망분리도 보안관리자의 능력에 따라 더 강력한 보안을 제공할 수 있기 때문에 두가지 접근방식을 조화롭게 사용할 필요가 있다고 주장했다.
또 금융 분야에서의 다양한 기술과 서비스들을 고려할 때, 과도하게 구체적인 규제와 예외 사항을 만드는 것이 금융산업 발전을 저해하고 있어 규제 접근 방식을 조정해야 하고, 특히 리스크 기반으로 규제를 해야 한다고 주장했다. 즉 상세한 규제보다는 목표를 정하고 필요한 부분에 대해서만 리스크를 기반으로 규제해야 한다는 것이다.
◆토스 지정호 CISO “망분리, 대체 기술 활용할 수 있도록 규제 개선해야”
그는 망분리가 금융권의 보안사고 예방에 효과가 있다고 평가하면서도 보안성과 업무 생산성의 균형면에서 볼 때, 망분리 정책은 금융회사의 보안을 높이지만, 업무 생산성을 제한하고 IT 기술의 활용을 제한하는 부작용도 크다고 주장했다.
규제 폐지는 어렵겠지만 규제 개선의 필요성을 강조하며, 망분리 구현 방식의 완화, 망분리 적용 대상의 구체적 정의, 망분리 예외 허용 조건 완화 등 세 가지 측면에서 망분리 정책을 개선했으면 한다고 전했다.
특히 그는 논리적 망분리와 물리적 망분리 간에 보안 효과 차이가 크지 않기 때문에 망분리 규제 내용을 기술 중립적으로 완화해야 한다고 주장했다.
이어 모든 내부 업무용 시스템을 망분리 대상으로 규정하기보다는 중요도에 따라 위험 기반 통제로 적용될 수 있도록 대상을 구체적으로 정의해 줄 것을 요구했다.
그리고 업무상 불가피한 경우에 대한 망분리 예외 조건을 구체적으로 정의하고 유연성을 부여해 보안성을 유지하는 동시에 업무 효율성을 향상시킬 수 있도록 규제 변화를 요구했다.
즉 망분리를 일괄적으로 강요하는 것보다는 업무상 불가피한 경우에 대체 기술을 고려하고 기술 중립적인 규제로 개선되길 희망한다고 전했다.
◆이창복 롯데카드 CISO “망분리, 새로운 보안기술 적용 막고 있어”
그는 금융 환경이 디지털 트랜스포메이션으로 빠르게 변화하고 있고 금융 기업들은 디지털 변화에 적극적으로 대응해야 한다. 이에 금융 기업은 클라우드 전환을 고려하고 있으며, 클라우드로의 전환은 비용 효율성을 높일 수 있다. 하지만 망분리 정책은 클라우드 전환을 어렵게 만들 수 있다고 전했다.
또 망분리가 금융권 보안을 책임지는 것이 아니라 보안 정책 운영과 관리가 실질적인 보안에 미치는 영향이 더 크다고 강조했다.
특히 망분리 예외 규정은 현업 업무와 보안 업무 간의 조화를 통해 적용되어야 하고 새로운 보안기술이 계속해서 나오고 있는데 이를 활용하면 망분리 보다 더 효과적인 보안 체계를 구축할 수 있다. 하지만 현재 망분리 상태로는 그런 새로운 보안기술을 적용하기가 어려운 상황이라고 말했다.
금융 기업들이 변화하는 디지털 환경과 고객 요구에 적극적으로 대응할 수 있도록 망분리 규제에 대한 변화가 필요하다고 강조했다.
◆마이크로소프트 신용녀 상무 “새로운 보안기술 도입 적극 검토해야”
그는 최근 10년 동안 AI, 빅데이터 분석, 그리고 보안 측면에서 기술적 진보가 지속적으로 이루어지고 있다. 클라우드는 더 이상 보안 위협의 요소로만 보지 않아야 하며, 보안을 강화하기 위한 도구로 활용되어야 한다고 강조했다.
이어 망분리 규제와 관련, 해외에서는 금융 기관의 데이터 중요도에 따라 망분리 이외에 다양한 보안 설계를 허용하고, 데이터 기반의 보안 설계에 중점을 두고 있다고 전했다.
특히 금융 혁신을 위해서는 망분리에 고집할 것이 아니라 새로운 기술과 보안 방법을 적극적으로 검토하고 도입해야 한다고 주장했다.
◆멘로시큐리티 김성래 지사장 “10년 전 망분리 규제를 아직까지…자유롭게 선택하고 결과로 책임 물어야”
김성래 지사장은 사이버 보안과 망분리에 대한 개념을 소개하며, 외부에서 내부로의 해킹과 내부 정보의 외부 유출을 중요한 보안 이슈로 언급했다.
망분리는 해킹을 방어하고 주요 정보의 외부 유출을 방지하기 위한 목적으로 도입된 보안 조치 중 하나이며 2013년 3.20 사태 이후 해킹 방어를 위해 도입되었고 이를 통해 외부와 내부 네트워크를 분리해 보안을 강화하고자 한 것이라고 설명했다.
하지만 10년 전 망분리 규제는 지금의 디지털 환경에 맞지 않는다. 해외에서는 이미 제로 트러스트 기반의 네트워크 격리 기술을 도입하고 있고 공공, 금융기관 모두 기존 VDI 대신 새로운 보안 기술을 각자의 환경에 맞게 구축해 해킹을 방어하고 있으며 경쟁력을 확보하고 있다고 강조했다.
즉 금융기업들이 새로운 기술과 비용 및 운영 측면에서 효율적인 방식을 자유롭게 선택하고 이후 결과를 가지고 기업에 책임을 묻는 방식의 변화가 필요하다는 것이다.
◆김수호 금융위원회 전자금융과장 "자율규제로 가야 하지만 변화에 시간 필요"
이에 김수호 금융위원회 전자금융과장은 현재의 망분리 규제가 지나치게 세부적이며 열거주의적이라고 지적하고 이러한 규제 구조가 금융 분야에 변화와 혁신을 어렵게 만들고 있다고 언급했다.
이어 현행 법률과 규제 구조를 적극적으로 개선하고, 금융 기업에 더 많은 자율성을 부여하면서도 안전성을 유지하는 방향으로 정책을 조율해 나갈 것이다. 하지만 그러기 위해서는 시간이 필요하고 또 금융권에서 대형 보안사고가 발생하면 정치적 이슈 때문에 다시 후퇴하는 등 어려움이 있다고 토로했다.
10년 전 사이버 환경에서 만들어진 망분리 규제를 여전히 금융 기업들에 일괄적으로 적용하고 있다는 것은 금융 기업의 선도적인 발전과 직원들의 업무효율성 그리고 선진 금융 서비스를 원하는 국민들의 바람에도 전혀 맞지 않다는 것이 패널들의 공통된 의견이었다.
금융위는 정치권 눈치만 볼 것이 아니라 금융 산업과 관련 IT기업들의 발전 그리고 안전하고 새로운 금융 서비스를 기대하고 있는 국민들의 바람에 맞게 보다 전향적으로 대폭적인 망분리 제도 개선 혹은 규제 폐지로 나가야 할 것으로 보인다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
