2024-02-28 15:55 (수)
[신년 인터뷰] 김인석 법무법인 율촌 고문 “형식적 망분리·자율보안 제도 개선되면 안돼”
상태바
[신년 인터뷰] 김인석 법무법인 율촌 고문 “형식적 망분리·자율보안 제도 개선되면 안돼”
  • 길민권 기자
  • 승인 2024.01.31 01:12
이 기사를 공유합니다

가이드라인 강요 말고 금융사별 자체 보안성 평가 인정해 줘야 금융 보안 발전
김인석 법무법인 율촌 고문
김인석 법무법인 율촌 고문

1980년 한국은행 전산본부에서 근무를 시작으로 1996년 은행감독원에서 IT검사 업무, 1998년 금융감독원 설립 준비 선발대로 은행, 증권, 보험, 신용관리기금 등 4개 기관 전산시스템 통합화 작업과 금융위 설립시 전산시스템 구축 총괄업무 담당, 1999년 금융감독원 출범 이후 금감원 전산실 초대 기획과장, 금감원 IT검사연구실 실장으로 11년간 금융기관 IT사고 분석과 대책을 마련하는 업무 담당. 고려대학교 정보보호대학원 교수. 바로 김인석 법무법인 율촌 고문의 이력이다.

김인석 고문은 40여 년 이상을 국내 전자금융 분야에 있어 산증인이다. 데일리시큐는 최근 종로 모처에서 김인석 고문을 만나 최근 이슈가 되고 있는 망분리 제도 개선 및 클라우드 도입, 자율규제 등을 주제로 인터뷰를 진행했다.

◆ 지속적으로 발생한 금융권 정보유출 사고들

전자금융 감독 규정과 망분리 규제가 도입된 것은 지속적으로 발생한 금융사 해킹사고들이 원인이다.

2003년 1월 25일 인터넷 대란을 필두로 2011년 4월 현대캐피탈이 총 175만 명에 달하는 고객 정보를 해킹 당했다.

2013년 3월 20일 KBSㆍMBCㆍYTN과 농협 및 신한은행 등 6개사 전산망 마비 사태가 발생했다. 북한 정찰총국 소속 해커가 웹서버 해킹 및 악성코드 삽입을 통해 국내 방송, 금융사 서버를 장악하고 방송, 금융사 내부 서버 및 PC에 악성코드를 유포했다. 그 결과 방송, 금융 6개사 서버 및 PC 3만 2천여 대가 마비되는 사태가 발생했다.

이후 2014년 1월 8일, 카드 3사 개인정보 유출사건이 발생했다. 유출된 고객 정보는 KB카드 5300만 건, 롯데카드 2600만 건, NH카드 2500만 건으로 모두 합해 1억 건이 넘는 규모였다.

사이버 침해사고로 인한 정보유출 사고가 각 분야에서 지속적으로 발생하면서 네트워크를 업무망과 인터넷망으로 분리해 개인정보가 저장돼 있는 DB서버를 인터넷 환경에서 분리시키자는 망분리 제도가 주목을 받기 시작했다.

◆ 망분리 제도, 왜 만들어졌나

우리나라 국가 공공기관 망분리 제도는 2006년 5월 국가사이버안전전략회의에서 최초로 논의됐고 2007년 4월 국가 공공기관 망분리 지침이 마련됐다. 이어 2008년 5월에는 국가기관 인터넷과 업무전산망분리 구축 가이드라인이 만들어졌다.

일반기업 망분리 의무는 2012년 8월 시행된 개정 정통망법에 의해 일반기업, 단체, 대학, 병원 등에 대해 망분리 의무가 부과됐다. 특히 ISMS 대상 기업은 의무적으로 망분리를 해야 했다.

이러한 망분리 제도는 2013년 3월 20일 농협, 신한은행 등 금융전산망 마비사태를 계기로 금융기관에 필요성이 제기됐고, 금융위가 금융 전산 보안 전반의 실태 점검을 실시해 2013년 7월에 전자금융거래 안전을 위한 ‘전자금융 안전성 제고를 위한 금융전산 보안 강화 종합대책’을 발표하기에 이르렀다. 이후 2013년 하반기에 금융전산센터의 망분리가 의무화되었고 2014년부터는 금융권 본점 및 영업점 등 단계적으로 망분리가 의무화됐다.

이어 2015년 7월까지 금융전산 망분리 추진 과정에서 외부통신망 연결의 필요성, 망분리에 따른 과도한 비용, 업무상 비효율성 등의 문제점이 드러났다. 이에 규제완화 차원에서 망분리 예외 기준을 마련하고 예외 적용을 받을 때는 스스로 위험평가를 실시해 대체 통제수단을 점검하고 자체 정보보호위원회 심의를 통해 보안리스크를 스스로 통제하도록 했다.

하지만 여전히 경직된 망분리 제도에 대한 문제점들은 존재했다. 한편 2020년 2월 코로나 팬데믹으로 근무 환경이 변화하면서 망분리 제도 개선에 대한 심도있는 논의가 활발히 진행돼 왔고 사후 책임 강화를 전제로 망분리와 보안방식의 변화에 대한 목소리가 커졌다.

이에 지난해 출범한 대통령직속 국방혁신위원회에서 망분리 제도 개선 논의가 진행됐고 대통령의 의지에 따라, 지난 1월 24일 국가정보원이 망분리 정책을 17년만에 대수술하겠다고 공식 발표하기에 이르렀다.

◆ “리스크가 큰 최소한 정보만 망분리…나머지는 금융사 자율에 맡겨야”

김인석 고문은 “2006년 금융기관에 망분리가 처음 도입됐다. 초기에는 APT 공격을 막기 위해 외부 인터넷망을 통해 내부로 들어오는 위협을 차단하기 위해 시작됐다. 하지만 망분리 규정이 점점 강화되고 타이트해지면서 처음 의도와는 다르게 업무 효율성 보다는 사고 책임을 지지 않기 위한 방편으로 외부와 연결된 모든 라인을 차단하기에 이르렀다”며 “이제는 클라우드 센터에서 들어오는 전용회선까지 망분리를 하라고 하니 클라우드도 못쓰게 된 것이다. 클라우드를 사용한다 하더라도 망분리 상황에서는 클라우드의 다양한 패키지를 사용할 수 없다. 금융권 클라우드 전환이 더디게 진행되고 있는 이유도 그 때문이다”라고 지적했다.

이어 “금융기관에서 예전에는 예금 관련 정보만 보호하다가 개인정보보호법 시행후 모든 개인정보를 금융거래정보와 동일하게 보호해야 했다. 특히 금융사 개인정보 유출 사고가 지속적으로 발생하면서 망분리 규제가 더욱 강화됐다”며 “하지만 선진 금융서비스 제공을 위해 망분리는 업무 효율성이 너무 떨어지고 클라우드, 인공지능 등 최신 IT 기술 도입을 가로막는 걸림돌이 돼 버렸다. 이제는 데이터 등급에 따라 리스크가 큰 정보만 망분리하고 클라우드 등 신뢰할 수 있는 기관과 시스템에 연결되는 것은 예외로 둬야 한다. 키다리 아저씨처럼 담을 높게 쌓고 고립된다면 안전은 하겠지만 발전은 기대할 수 없다”고 전했다.

그는 일괄적인 망분리 적용 보다는 데이터 분류를 명확히 해서 정말 중요한 데이터는 망분리해서 보호하고 나머지 정보들은 금융권 스스로가 보호할 수 있도록 가이드라인만 주고 사고 발생시 책임을 지게 하면 된다고 강조했다.

◆ “자체 보안성 평가 결과 인정해 줘야 자율보안 활성화될 수 있어”

이어 금융권 자율보안 규정 지침에 대해서도 개혁을 촉구했다.

금융위는 자율 규제하라고 하면서 가이드라인을 제공하고 있지만, 사실 금융기관들은 가이드라인 대로 하지 않아 문제가 발생하면 그 책임을 져야 하기 때문에 가이드라인만 지키려고 노력한다. 즉 지금 상황은 겉으로만 자율 규제이지 실제로는 금융위 가이드라인만 준수하면 처벌은 면할 수 있다는 생각에 금융권 마다 다른 보안 시도들을 할 수 없는 구조다. 사고가 발생하면 제일 먼저 가이드라인으로 점검하고 그대로 안됐을 경우 사고 책임을 면할 수 없기 때문이다.

김인석 고문은 “가이드라인을 강제하지 말고 금융사 마다 각기 다르게 더 좋은 방향으로 대응할 수 있도록 만들어 줘야 한다. 가이드라인 때문에 더 좋은 방법이 있어도 변화를 주지 않으려고 한다. 가이드라인에는 기술적으로 디테일한 부분까지 규정을 만들 필요가 없다. 그래야 금융권도 더 좋은 방법을 찾기 위해 노력하고 투자도 더 많이 할 수 있게 된다”고 지적했다.

특히 “금융사에서 뭔가 다른 방법으로 보안을 해보려고 금융위에 문의하면 도입 가능 여부를 답변해 준다. 금융위가 감당이 안돼 이제 금융보안원도 이 업무를 하고 있다. 이 부분은 너무 비효율적이고 자율규제 취지에도 맞지 않는다. 이제 각 금융사에서 자체적으로 보안성 평가를 해서 가능하다고 판단한 사안에 대해서는 인정을 해 줘야 한다. 나중에 규정 위반이라고 하면 결국 가이드라인만 맞추려고 할 뿐이다”라며 “금융위에 심의를 올리면 최소 한 달에서 몇 달까지 걸린다. 시간도 소요되고 혹시라도 인정을 해 주지 않으면 그동안의 노력이 쓸데없는 노력이 돼 버린다. 금융사들이 자체적으로 리스크를 감수하고 자율적으로 보안 문제를 해결할 수 있도록 자체 보안성 평가 결과를 인정해 줘야 금융보안 자율규제가 뿌리내릴 수 있다”고 강조했다.

그는 감독 당국의 규제를 효율적이고 현 IT 발전 상황에 맞게 업무 특성에 따라서 예외를 인정할 부분은 인정하고 클라우드와 인공지능 등을 안전하게 활용할 수 있도록 해야 한다고 말했다.

특히 망분리는 운영이 더 문제라고 전했다. 망분리 장비를 누가 관리하느냐를 생각하면 망분리는 업무효율도 떨어지고 비용적인 문제에서도 도움이 되지 않는다고 덧붙였다.

김인석 고문은 “이번에 국정원에서 망분리 제도 개선에 앞장설 것으로 기대한다. 시대의 흐름에 맞게 금융산업이 도약할 수 있도록 제대로 개선할 부분을 개선할 수 있길 희망한다. 어설프게 개선해서 차라리 안하니만 못하게 개악되는 일이 없도록 철저한 논의를 거쳐 개선되길 바란다”고 밝혔다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★