신종 코로나 바이러스(코로나19)감염증 확산으로 금융사와 핀테크서도 재택근무가 이뤄지면서, 전자금융감독규정에 있는 '망 분리 규제'가 화두로 떠올랐다. 전 금융업권과 전자금융업자로 등록한 핀테크사들은 4차 산업혁명 시대 개발 환경과 동떨어졌다며 망 분리 규제의 일부 완화를 주장하고 있다. 데이터 경제 활성화를 위해선 망 분리 규제가 걸림돌이 된다는 의견이다. 2020년, 망 분리 규제를 둘러싼 쟁점들에 대해 두 편에 걸쳐 진단해본다. [편집자주]
<글 싣는 순서>
(상) 코로나19 이후 재점화된 망 분리 규제, 쟁점은?
(하) 초연결시대와 안 맞는 '망 분리', 규제 완화 공감대 형성
국내 금융사에 망 분리 규제가 도입된 지 7년여가 흘렀다. 대량의 개인 정보 유출을 막겠다는 취지로 금융사와 전자금융업자에게 적용된 망 분리 규제에 대해 업계 관계자들은 실효성이 없다고 지적한다. 현행과 같은 망 분리 규제는 외려 대량의 개인 정보 유출 사고가 터질 단초가 될 수 있다는 것이다. 금융감독당국도 코로나19 이후 달라진 업무 환경을 주시하고 있다.
■ "현행 망 분리 규제, 대량 개인 유출 사고 원인될 수도"
업무적 비효율성과 비용 부담 측면서 망 분리 규제 완화를 호소하는 핀테크 업체의 말은 일리가 있다. 인터넷없이 개발을 하라는 것은 오픈소스, 클라우드 시대에 맞지 않는 말임은 분명하다. 하지만 망 분리 규제를 하지 않아 개인 정보 유출 사고가 터질 수 있는 가능성에 대해선 어떻게 해야 할까.
그런데 현재와 같은 망 분리 규제가 대량의 개인 정보를 유출할 수 있는 단초가 될 수 있다는 견해가 나왔다. 고려대학교 정보보호대학원 김승주 교수는 "국내는 내부 업무망과 인터넷을 단절하는 방식으로 하는데, 정보의 중요도 구분없이 이분법적으로 분리를 한 것"이라며 "필요한 자료를 외부망에서 받아 내부망에서 쓰다가 자칫 잘못하면 내부망에 있는 모든 데이터가 유출될 가능성이 있다는 점을 시사한다"고 설명했다. 그는 USB 등 별도 저장장치에서 파일을 외부에서 내부로, 또 내부에서 외부로 이동시키는 것, 운영체계의 업데이트 등 불가피한 업무에서 사이버 공격이 이뤄지고 이 경우에 내부에 있는 모든 데이터가 바깥으로 나가는 대량 개인 정보 유출 사고가 벌어질 확률이 높다고 봤다.
김승주 교수는 해외서 적용하고 있는 망 분리 규제를 참고해 국내 망 분리 규제를 바꿔야 한다고 지적했다. 그는 "해외서는 기밀, 1급, 2급, 일반 업무용 등으로 데이터를 분류해 놓는다. 기밀과 높은 등급의 보안을 유지해야 하는 데이터는 엄격한 망 분리 규제를 적용하고 일반 업무는 망 분리 규제에서 배제된다"며 "데이터를 분류하고 그에 걸맞는 보안을 적용하면 중요한 데이터는 정보 유출이 될 확률이 적으며, 유출 사고가 터지더라도 인터넷이 연결된 내부 업무용 데이터만 유출되는 것"이라고 설명했다.
김 교수는 "망 분리 규제가 만들어질 시기에 무조건 이원화로 분리하는 망 분리와 데이터 범주를 나누고 그에 맞는 망 분리 안이 거론되긴 했었다"면서 "당시엔(2013년) 데이터를 분류하는 기준이 떨어져 실행되지 못한 것이다. 이제는 초연결사회, 4차산업혁명 시대인 만큼 데이터를 중요도에 따라 범주화하고 그에 맞는 망 분리가 이뤄지도록 규제가 바뀌어야 한다"고 촉구했다.
■ 핀테크, 자율규제와 사후책임으로 전환해야
핀테크 업계서도 개인 정보 유출 사고는 기업의 생존과 직결된 문제기 때문에, 기업 자율에 맞겨달라는 입장이다. 자율적인 규제를 하지 못할 경우 사후 책임을 묻는 방식으로 변경해야 한다는 첨언이다.
핀테크 업계 관계자 A씨는 "핀테크 업체는 전자금융업 등록 이전 정보통신망법을 기준으로 개인 정보 유출 방지에 대한 노력을 해왔다"면서 "근데 망 분리를 안하면 마치 개인 정보 보호를 소홀히 하는 것처럼 보여지게 하고 있다"고 말했다.한국핀테크산업협회 회원사 중12곳은 비자와 마스터가 만든 민간 보안 표준인 PCI DSS 인증을 취득했다.
A씨는 "고객의 개인 정보 유출을 막는 것이 핀테크의 가장 중요한 목표이고 개인 정보 보호 의무에 대한 사회적 합의도 이뤄진 상태니 기업 자율 판단으로 망 분리 규제를 일부 완화하는 것도 필요하다"고 부연했다.
또 다른 핀테크 업계 관계자 B씨도 "업계 표준이나 가이드라인을 통해 개인 정보 유출을 막는 망 분리에 대한 효과적인 기술과 기준을 알려주고 기업이 자율적으로 선택해 모니터링을 하는 자율규제가 시행돼야 한다"며 "만약 개인 신용 정보 유출 사고나 해킹 사고가 터질 경우 높은 과징금을 부과하는 사후 규제도입도 고려해보면 좋을 것"이라고 말했다. 유럽연합국은 개인정보보호규정(GDPR) 위반 시 전체 매출액의 4%까지 과징금을 부과한다.
■ 포스트 코로나19 대비, 상식선으로 고려중
금융위원회도 망 분리 규제 완화를 원하는 업계의 목소리를 모르는 것은 아니다. 코로나19로 금융사 직원의 재택근무가 불가피해지면서 망 분리 규제를 일시적으로 예외조치한 것이다. 당시 금융위는 "비상 상황, 근무 환경 변화 등에 금융사가 유연하게 대응할 수 있도록 망 분리 규제 등을 합리화하는 방안을 검토하겠다"고 설명해왔다.
금융위는 정해진 것은 없지만, 코로나19 이후 달라진 업무 환경 등에 걸맞게 망 분리 규제를 전반적으로 점검하곤 있다. 금융위 이한진 전자금융과장은 "핀테크 기업에서도 얘기를 해왔었다. 기술 개발에 오픈소스가 필요한데 망 분리 규제가 안맞는 것 아니냐는 의견이었다"며 "코로나19 이후를 준비해야 하니까 그런 부분들을 봐 가면서 검토하겠다는 것이 공식 입장이라고 볼 수 있다"고 말했다. 이 과장은 이어 "금융사가 IT기업화하는 곳이 많으니 그런 곳들의 수요를 충족시킬 수 있을 정도로 탄력적으로 검토해 볼 여지는 있다"고 덧붙였다.
관련기사
- 코로나19 이후 재점화된 망 분리 규제, 쟁점은?2020.04.04
- "망분리 보안 위협하는 '무선 백도어' 공격 대비해야"2020.04.04
- 핀테크 분야 망분리 규제…"그때는 맞고 지금은 틀리다"2020.04.04
- 금감원, 통신망 분리 안 한 네이버에 3천만원 과태료2020.04.04
다만, 그는 "원칙이 완전히 무너지는 것은 아니다"며 "금융이 정부나 공공기관 수준으로 망 분리를 하는 것은 공공성 측면서 무시할 수 없기 때문이다. 특수성을 감안해야 하며, 당장 편하자고 다 풀린다는 것은 아니다. 상식적인 선에서 전반적인 검토를 해나갈 것"이라고 강조했다.
☞망 분리란? 금융회사와 전자금융업자에게 적용되는 망 분리 규제는 전자금융업법에 근거하고 있으며 금융사의 통신 회선을 업무용인 내부망과 인터넷용인 외부망으로 분리해야 한다.