핀테크 분야 망분리 규제…"그때는 맞고 지금은 틀리다"

업무생산성 저하·분리망 구축에 막대한 비용 초래

금융입력 :2019/08/19 17:53

핀테크 분야에서 지금 같은 고강도 망분리 정책이 지속될 경우 발전의 걸림돌이 될 것이란 우려 목소리가 나왔다.

현재에는 맞지 않는 구시대의 여러 보안대책들이 시행되고 있다는 지적이다. 데이터 중요도에 따라 정보 시스템을 분류하고, 적정 등급에 따른 다중 보안대책을 마련해야 한다는 게 전문가들의 공통된 의견이다.

보안·핀테크 전문가들은 19일 서울 삼성동 스타트업얼라이언스에서 열린 ‘핀테크 산업 경쟁력 강화를 위한 망분리 감독규정 개정 방안’ 토론회에서 현행 핀테크 분야의 망분리 규정에 대해 제언했다.

지난 2009년 경 발생한 디도스 공격은 대한민국을 발칵 뒤집어 놓은 사건이다. 정부기관, 은행, 언론사 등이 피해를 입었다. 이에 정부는 ‘범정부 사이버위기종합대책’을 수립했으며, 이후 업무망과 인터넷망 분리도 의무화 됐다. 정보통신망법 개정으로 100만명 이상 이용자의 개인정보를 보유했거나, 정보통신서비스 매출이 100억원 이상인 정보통신서비스 사업자의 경우 망분리 정책을 시행해야 했다.

망분리 정책은 정보통신서비스 사업자 뿐 아니라 전자금융업자, 즉 핀테크 기업에도 적용됐다. 지난 2011년 금융당국은 금융회사 IT 보안강화 종합대책을 발표, 전자금융감독규정을 개정해 금융회사와 전자금융업자를 대상으로 내부 업무망과 인터넷을 분리 차단하도록 했다.(전자금융감독규정 제15조 제1항 제3호) 또 전산실 내 정보시스템을 물리적으로 분리하는 보안 대책을 의무화(제5호) 했다.

■핀테크 기업 88%, 망분리 규제 완화에 찬성

19일 서울 삼성동 스타트업얼라이언스에서 ‘핀테크 산업 경쟁력 강화를 위한 망분리 감독규정 개정 방안’ 토론회가 개최됐다.

핀테크 기업 등 전자금융업자에 적용된 망분리 정책으로 업무생산성이 저하되고 인프라 구축을 위해 막대한 비용이 소요되는 것으로 나타났다.

간편결제 '네이버페이' 등 핀테크 사업을 영위하는 네이버는 최근 금융감독원으로부터 망분리 의무 미준수로 과태료 3천만원 등 처분을 받은 바 있다. 네이버는 11월부터 네이버페이 부분을 떼어내 신설 자회사 '네이버파이낸셜'을 통해 운영할 예정이다.

이근주 한국핀테크산업협회 사무국장은 “협회가 지난 6월 조사한 바에 따르면 44개 회원사 중 88.6%가 망분리 규제 완화 의견에 찬성했고, 11.4%가 유지하자는 의견을 보였다”며 “망분리 규제로 인한 애로사항은 비용 부담보다는 업무생산성 저하를 우려하는 쪽이 조금 더 많았다”고 설명했다.

핀테크 스타트업 대표로 참석한 비바리퍼블리카(토스)의 신용석 정보보호최고책임자(CISO)는 “핀테크 기업이 일하는 방식 특성상 지속적인 업데이트가 필요한 오픈소스 라이브러리 관리를 위해 인터넷 연결이 필수적인데, 차단됨으로써 불필요한 작업에 많은 시간을 낭비한다”며 “재택근무나 원격근무는 비상시에만 허용될 뿐 원칙적으로 금지됐다”고 말했다.

이어 “전통적인 방식으로 승인을 받아 정보를 전달해야 해 업무생산성이 50% 이하로 떨어진 사례도 있다”면서 “개발 속도가 저하되는 것을 막기 위해 개발 부문 인건비를 30% 더 많이 지출해야 했다”고 덧붙였다.

망분리를 위한 인프라 투자도 핀테크 스타트업에게는 큰 부담으로 작용한다. ISMS 인증 등 기본적인 정보보안관리체계 수립에 필수적인 보안 투자는 상대적으로 적은 비용이지만 의무적이지 않다는 이유로 후순위로 밀리는 경향도 있는 것으로 나타났다.

신 CISO에 따르면 망을 2개로 분리할 경우 기본적으로 네트워크 장비, PC, 보안시스템, 소프트웨어 라이선스 등에 비용이 2배로 들어간다. 분리된 망 사이의 정보교환을 위한 망연계시스템을 도입하는 데에도 약 1억원이 든다. 25명 규모의 스타트업이 망분리를 위해 약 5억원을 추가로 사용한 사례도 있다.

■"망분리 규제, 그때는 맞고 지금은 틀릴 수 있어"

김승주 고려대 사이버국방학과·정보보호대학원 교수

토론회 좌장을 맡은 권헌영 고려대 사이버국방학과·정보보호대학원 교수는 "핀테크 분야에 적용된 망분리 규제는 그때는 맞고 지금은 틀리다고 표현할 수 있다"고 말했다.

같은 대학 김승주 교수는 핀테크 분야뿐 아니라 모든 사물이 연결되는 4차 산업혁명 시대에 걸림돌이 될 것이라고 지적했다. 내년이면 인구의 절반 이상이 인터넷으로 연결될 전망이다.

그는 “기존 3차 산업혁명 시대의 여러 보안대책들은 4차 산업혁명 시대에는 더 이상 통용되지 않을 것”이라며 “가장 큰 문제는 중요도가 아닌 영역 중심의 사이버보안 정책”이라고 강조했다.

관련기사

이어 “정부 전산시스템을 보더라도 데이터의 중요도와는 상관없이 영역에 따라 나누는 방식은 비효율을 초래해 정보 보안의 하향평준화를 불러오고, 예산도 부족할 것”이라면서 “기밀 자료가 유통되는 망과 일반 업무자료 유통망으로 분류해야 한다”고 주장했다.

이석윤 서울대 수리과학부 객원교수는 “현재 금융기관의 정보처리 시스템은 처음부터 옷장의 옷들이 그 가치별로 분류돼 보관된 것이 아니라 그때 그때 필요한 옷들을 구입해 옷장 속에 넣고 사용하고 있어 중요한 옷과 덜 중요한 옷들이 함께 섞여있는 상황”이라면서 “금융기관 물리적 망분리 정책을 전환할 때는 데이터 중요도에 따라 정보 시스템을 분류하고 적정 등급에 따른 다중 보안대책을 마련해야 한다”고 제언했다.