이 기사는 2025년 01월 03일 15:58 thebell 에 표출된 기사입니다.

공공·금융기관의 혁신을 막아온 망분리 규제 개선은 일률적으로 물리적 망분리를 적용하는 것에서 이를 대체할 새로운 기술을 허용하겠다는 것이 골자다. '포스트 망분리' 시대가 도래하면서 기술 경쟁이 본격화될 것으로 전망된다.

공공기관의 변화를 주도하는 것은 국가정보원(이하 국정원)이다. 국정원은 지난해 망분리 규제 완화와 관련 연관부처와 기관, 산업계와 개선안을 논의한 끝에 9월 '다층보안체계(MLS) 전환 로드맵'을 발표했다. 올해부터 시범사업을 추진하는 등 새로운 보안 체계를 확산한다는 계획이다.

공공기관의 제도 변화에 발맞춰 금융기관의 변화도 감지되고 있다. 금융위원회(이하 금융위)는 지난해 8월 망분리 규제 개선 로드맵을 발표했다. 물리적 망분리로 인한 업무 비효율이 임계점을 넘었다고 진단하고 '자율보안-결과책임'을 골자로 하는 새로운 금융보안체계를 구축하겠다는 내용이 담겼다.

보안업계는 공공·금융기관의 망분리 완화 소식을 반기고 있다. 그동안 공공·금융기관이 물리적 망분리 도입을 이유로 신규 기술 도입에 소극적인 태도를 보이면서 산업계 발전이 정체됐는데, 이번 규제 완화로 더 이상 투자를 늦출 수 없게 됐기 때문이다.


◇변화 계기된 코로나19 유행·클라우드 확산

국내에서 물리적 망분리가 표준으로 자리 잡은 것은 10년도 전의 일이다. 큼직한 보안사고가 잇달아 발생함에 따라 대비책으로 물리적 망분리가 주목받았다. 하지만 도입 이후 장비 구입에 대한 부담과 업무 효율성 감소, 고의 또는 실수로 인한 사고 등 부작용이 터져 나오면서 개선 요구가 빗발쳤다.

변화의 계기를 마련한 것은 코로나19다. 코로나19 당시 사회적 거리두기의 일환으로 재택근무가 확산했는데, 물리적 망분리 환경에서는 외부에서 내부 시스템에 접근하는 것이 불가능해 혼란이 빚어졌다. 이에 급하게 규정을 손보면서 재택근무를 가능케 하면서 물꼬가 트였다.

망분리 개선을 강하게 요구한 곳은 핀테크 업계다. 금융 산업 발전을 저해하는 요인으로 물리적 망분리를 지목하며 완화를 요구했다. 대표적인 이유로 든 것이 클라우드 사용 불가다. 최신 IT 기술 대부분이 클라우드를 근간으로 하지만 공공·금융기관의 경우 민간 클라우드를 사용하지 못해 그 수혜를 누리지 못한다는 비판이 주를 이뤘다.

보안 측면에서의 회의론도 커졌다. 금융위는 망분리 규제 개선 로드맵을 통해 "기존 환경에서 망분리는 높은 보안성을 보장했으나 클라우드 환경에서는 오히려 보안성을 약화하는 요인으로 작용한다"면서 "금융회사가 망분리만을 준수할 뿐 해외 선진 보안체계 도입에 소홀했다. 일부 회사는 망분리 규제 그늘에 숨어 필요·최소한의 보안체계도 갖추지 않는 등 오히려 보안 수준이 낮아지는 부작용도 발생했다"고 꼬집었다.

◇공공 "데이터 중심 차등 보안", 금융 "자율보안-결과책임"

물리적 망분리 도입 의무를 완화한다는 점은 공공(국정원)·금융(금융위)이 일치한다. 다만 세부적인 내용에서는 차이를 보인다.

국정원은 데이터의 중요도에 따라 기밀(C, Classified), 민감(S, Sensitive), 공개(O, Open) 등으로 구분하고 각 등급마다 차등적으로 보안 의무를 부과하는 다층보안체계(MLS)를 새로운 공공보안의 기틀로 제시하고 있다. 국정원이 공공기관에서 흔히 다루는 데이터를 S 등급으로 제시한 만큼 상당한 변화가 예고된다.

클라우드 보안인증(CSAP)와의 충돌은 풀어야 할 숙제다. 과학기술정보통신부(이하 과기정통부)는 시스템 중요도에 따라 상·중·하 등급을 책정하고, 하등급에 한해서는 민간 클라우드 이용을 허가하고 있는데 국정원의 C·S·O등급 기반 보안체계가 실행될 경우 혼선을 빚게 된다.

다만 완벽하게 기틀이 잡힌 것은 아니다 보니 향후 진행 과정에서의 변화도 예상된다. 국정원은 지난해 연말 MLS라는 이름으로 추진하던 망분리 개선 정책의 이름을 '국가 네트워크 보안 프레임워크(N2SF, ational Network Security Framework)'로 변경했다. 업계 관계자는 "망분리 완화라는 대전제는 그대로고 '포스트 망분리'에 대한 구상을 고민 중인 것으로 알려졌다. 연초에 초안을 발표한 뒤 다듬어갈 것으로 보인다"고 말했다.


금융위의 경우 단계적으로 개선을 추진해 나가겠다고 밝혔다. 현행 금융 보안체계는 모두 물리적 망분리 환경을 전제로 구성돼 있는 만큼 급격한 규제 완화보다는 변화와 적응을 반복하는 점진적 전환이 필요하다는 판단에서다. 보안 책임성을 제고하는 법·제도 마련 전 규제를 완화했을시 발생할 금융사고를 우려하기도 했다.

우선 논리적 망분리의 허용 범위를 넓힌다. 기존에는 화상회의, 인사관리 등 비중요 업무만 인터넷망에서 수행할 수 있었다면 개선안에서는 고객관리, 보안관리, 업무자동화 등까지 확장한다. 가명처리된 개인신용정보를 생성형 인공지능(AI)에 활용하는 등의 규제 특례도 마련한다. 클라우드 기반 서비스형 소프트웨어(SaaS) 활용 범위도 대폭 늘어날 전망이다.

◇보안 신기술 주목 '기회'

망분리 제도 변화가 국내 IT 산업에 미치는 영향은 지대하다. 물리적 망분리 규정 탓에 공공·금융시장 진출에 제약이 있었던 클라우드 서비스 기업(CSP)과 SaaS 기업 등은 새로운 기회를 맞이할 전망이다. CSP, SaaS 기업과 협력하는 매니지드 서비스 기업(MSP)에게도 기회다.

하지만 이들 기업보다도 먼저 영향을 받는 것은 보안 기업들이다. 모든 변화는 물리적 망분리를 대체할 새로운 기술이 도입된 이후에나 가능하다. 제로 트러스트(Zero Trust)와 공급망 보안 등 제품화는 이뤄졌지만 마땅한 판매처를 찾지 못하던 제품들이 주목받을 것으로 보인다.

보안 기업 상당수가 망분리 완화를 반기지만 모두에게 긍정적인 소식은 아니다. 물리적 망분리를 전제로 사업을 키워온 기업의 경우 규제 완화의 직격탄을 맞을 수도 있다. 대표적인 것이 망연계 사업이다. 분리된 망을 안전하게 다시 연결하는 망연계는 망분리가 없다면 성립되지 않는다. 향후 변화 방향에 따라 더 많은 사업 기회를 얻을 수도, 잃을 수도 있다.