[뉴스토마토 배한님 기자] 원격 근무가 상용화된 포스트 코로나 시대에는 망분리에 대한 규제를 완화해야 한다는 주장이 꾸준히 제기되고 있다. 망분리와 같은 분절적 보안은 한계에 도달했다는 것이다. 업계는 보안의 중요도가 높아지는 상황에서 망중심의 물리적 보안보다 데이터 중요도 중심으로 보안 패러다임을 전환해 시대에 맞는 보안 정책을 짜야 한다고 요구하고 있다.
7일 스타트업계와 인터넷업계에 따르면 핀테크 등 다수의 스타트업 기업들은 망분리 규제가 산업 현장과 괴리된 규제로 오픈소스·클라우드·스마트워크(원격 근무 및 재택근무) 등을 어렵게 한다며 규제 완화가 필요하다고 주장한다.
업계는 보안성과 보안 효율성을 높이기 위해 '데이터 중심의 보안정책 도입'이 필요하다고 주장한다. 스타트업얼라이언스는 지난 3월 '이슈 미니 써머리'를 발간하고 "망분리 규제로 대표되는 도메인 중심의 보안 정책은 도입 당시에는 적합했지만, 4차 산업혁명 시대에 부적합하다"며 "실효성 있는 규제를 마련하기 위해 데이터 중요도를 중심으로 망분리 정책을 바꿔야 한다"고 했다.
토스를 운영하는 비바리퍼블리카의 신용석 정보보호최고책임자(CISO)도 "지난 2월부터 코로나19 상황에서 금융회사 직원들도 재택근무를 해야 하는 상황에 처하며 금융위원회가 망분리 규제를 예외적으로 완화했다"며 "지난 4개월 동안 문제가 없었던 경험을 통해 망분리를 일정하게 완화해도 위험성을 관리할 수 있다는 사실을 보여줬다고 생각한다"며 순차적 망분리 완화를 제안했다.
학계에서도 망분리로 대표되는 분야별 보안의 시대는 끝났다고 말한다. 고려대 정보보호대학원의 권헌영 교수와 김승주 교수는 '데이터 중요도 중심의 망분리'로 정책을 바꿔야 한다고 주장한다. 권 교수는 "모든 금융·의료·복지·통신 정보를 다 보호해야 할 필요는 없다"며 "그 안에 진짜 보호해야 할 데이터가 무엇인지 분류해 무엇을 왜 보호하고, 누구로부터 보호하고, 어떤 방식으로 보호하는지 결정해야한다"고 했다. 권 교수는 "지금까지 우리가 무조건 막는 방식의 보안을 한 이유는 그동안 데이터를 보거나 분석해 분류할 기술이 없었기 때문"이라며 "이제 직접 데이터를 다룰 수 있는 시대가 왔기 때문에 옛날의 정책을 유지하는 코로나19 이전의 삶을 살 필요는 없다"고 덧붙였다.
한국과 외국의 망분리 정책 차이. 자료/스타트업얼라이언스
김 교수도 "한국은 업무망과 일반 인터넷망을 분리하는데 외국은 기밀자료 유통망과 일반 업무자료 유통망 등으로 데이터 중요도를 단계별로 설정해 망분리를 하기 때문에 클라우드 서비스 사용이나 스마트워크에 문제가 없다"며 "한국도 언택트 환경에 맞고 안정성을 유지할 수 있도록 데이터 중요도 중심의 망분리로 가야 한다"고 강조했다.
하지만 망분리 규제의 중심에 있는 금융 보안을 관장하는 금융위는 규제 완화는 시기상조라고 말한다. 이한진 금융위 과장은 "한국 금융의 특성상 은행 공동망, 일종의 금융 전용망에 대한 엄청난 투자가 진행돼 금융의 상호연결성이 높아 한 곳이 뚫리면 크게 뚫릴 수 있다"며 "상호연결성이 높은 상황에서 함부로 망분리 규제를 완화하기는 쉽지 않다"고 설명했다. 이 과장은 이어 "최근 공인인증제도도 폐지됐고, 사이버 보안도 기업 관점에서 봐야 한다고 대통령께 보고하는 등 정부도 인식을 바꾸고 있다"며 "다만, 현재 기술 수준에서 달성할 수 있는 편리성과 보안성이 어떠해야 한다는 것을 법적·규범적으로 가이드로 (민간에) 드리는 것이 먼저지 않나"고 덧붙였다.
배한님 기자 bhn@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김기성 편집국장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지