공공 및 금융기관의 망분리에 대한 논란이 뜨겁다. 망분리를 리셋하고 원점에서 다시 보안 아키텍처를 구축해야 한다는 목소리도 적지 않다. 망분리의 효과를 인정하되, 부작용을 완화시킬 방안에 대해 차분히 논의를 진행해야 할 때이다.
■ 망 분리 효과
우리나라 공공기관과 금융기관은 인터넷 접속단말(PC)에 망분리 정책을 시행하고 있다. 금융기관은 주요 서버접근 단말(PC)에도 망분리를 적용하고 있다.
망분리는 해당 단말을 외부 인터넷과 연결되지 않도록 차단하는 역할을 하기 때문에 인터넷을 통한 해킹을 효과적으로 예방할 수 있다. 만일 해킹이 되었다 해도 자료가 인터넷으로 유출되는 것을 막아줄 수 있다. 이처럼 망분리는 단말보안(PC보안)에 효과를 보였다.
2017년, 전세계 금융기관이 ‘워너크라이’를 필두로 하는 랜섬웨어 공격으로 큰 피해를 입었다. 그러나 우리나라 금융기관은 피해가 전무했다. 이는 상당부분 망분리 효과로 판단된다.
실제로 망분리 사업을 총괄했던 모 금융기관 보안임원은 망분리 도입 후 PC에서 발견된 악성코드는 이전대비 80% 감소했다고 말할 정도이다.
위와 같은 이유로 금융, 공공기관 최고보안책임자(CISO)는 단말 망분리를 유지하는 것을 선호할 수밖에 없다. 망분리를 걷어낼 경우, 단말보호 및 악성코드 차단에 큰 부담을 안게 되기 때문이다.
금융, 공공분야 CISO중에서는 ‘지금도 위태위태하게 유지되고 있는 보안체계에서 단말 망분리마저 걷어내게 된다면 앞으로는 밤잠을 잘 수 없을 것 같다’고 하소연한다.
망분리는 기술적으로 ‘논리적 망분리 방식’과 ‘물리적 망분리 방식’으로 분류된다. 금융기관의 경우 편리성과 유연성을 중시하기 때문에 대부분 ‘논리적 망분리 방식’을 도입하여 활용하고 있다.
■ 망분리에 대한 비난
망분리에 대한 비판은 크게 세가지 관점으로 언급된다.
첫번째, 망분리는 업무 효율성을 저해한다고 한다. 특히 소프트웨어 연구개발 업무에 걸림돌이 된다는 평가를 받는다.
두번째, 퍼블릭 클라우드의 적극적 활용이나 서비스형 소프트웨어(SaaS: Software as a service) 활용에도 걸림돌이 되고 있다고 한다.
마지막으로 ‘망분리 규제’는 한국에만 있고 선진국에는 없기 때문에 ‘갈라파고스 규제’라는 주장이다.
■ 소프트웨어 연구개발 생산성 저해를 초래한다는 비판과 대안
태생적으로 보안부서와 연구개발부서 사이에는 시각이 다르다. 망분리 이외 다른 보안 솔루션을 적용할 때도 연구소는 불편함을 호소한다. 연구소는 개방과 공유를 선호하며 지적재산권에 대한 개념은 상대적으로 낮은 편이다.
반면 보안부서는 업무가 다소 불편해지더라도 회사의 핵심기밀정보와 개인정보는 반드시 보호해야 한다는 입장이다.
업무 특성상 소프트웨어 개발자들은 인터넷에 있는 외부 소스코드 저장소를 활용해 개발을 수행하기 때문에 인터넷 망분리 환경에서는 개발업무 효율성이 크게 저해된다고 말한다.
소프트웨어 개발에서 속도 중요성이 계속 강조되고 있다. 최근 소프트웨어 개발측면에서 ‘애자일 방법론’이 각광받고 있다. 이는 빠른 서비스 출시와 업데이트를 목표로 한다. ‘애자일 방법론’은 데브옵스(DevOps)의 유래가 된 방법론이다.
개발완료 후 최대한 빠르게 실제 서비스에 적용하여 신속한 서비스 업데이트를 꾀하고 경쟁력을 강화하는 방식이다. 애자일 방법론에 익숙해진 소프트웨어 개발회사는 데이터 교류를 보수적으로 허용하는 망분리가 어색할 수밖에 없다.
소프트웨어 개발측면에서 위와 같은 요구사항이 대두되었기에 금융당국에서는 금융기관 소프트웨어 개발망에 대해서는 망분리 예외를 허용했다. 개발자들의 직접 인터넷 접속을 허용한 것이다.
대신 유해사이트 접속차단, 악성코드통제 등 망분리를 대체할 수 있는 정보보안 체계를 강화하는 것을 주문했다. 개발망과 서비스 운영망은 별도 분리하도록 보완조치도 마련했다.
개발망에서 완성된 결과를 서비스망에 적용하고자 할 경우, 시큐어 게이트웨이(망연계 솔루션 등)를 통하도록 명시했다. 개발망 침해사고는 서비스 운영망 해킹사고로 바로 이어질 수 있기에 이를 예방하도록 하는 조치였다.
■ 퍼블릭 클라우드와 SaaS 서비스 활용제약에 대한 비판과 대안
공공기관과 금융기관은 퍼블릭 클라우드를 통해서 민감한 고객의 개인정보를 처리하는데 보수적인 입장이다. 퍼블릭 클라우드 개인정보 유출통제는 시스템이 내부에 있을 때 보다 쉽지 않기 때문이다.
해외에서도 퍼블릭 클라우드에서 유출사고가 빈번하게 발생하고 있다. 퍼블릭 클라우드에 올라 간 고객 데이터의 국외이전 통제문제도 까다롭다. 데이터가 여러 번 복제되는 클라우드 특성 상, 고객 데이터가 어디에 있는지 특정하기 어렵기 때문이다. 이처럼 공공/금융기관의 퍼블릭 클라우드 활성화는 개인정보보호 측면에서 해결해야 할 부분 또한 적지 않다.
퍼블릭 클라우드를 제공하는 곳 대부분은 해외기업이다. 해외 퍼블릭 클라우드 기업은 전산감사자료(Audit) 협조에 제한적으로 대응할 수도 있다. 해킹 침해사고가 일어나더라도 수사기관의 조사역량에 크게 제약이 생기기도 한다.
적지 않은 나라에서 공공기관과 금융기관이 퍼블릭 클라우드 활용이 민간에 비해 보수적인 이유이다. 이는 민감정보를 처리하는 기관이 독자적으로 자체 프라이빗 클라우드를 구축하거나 또는 전용 클라우드센터 구축에 힘쓰는 배경이기도 하다.
클라우드 업체에게 공공전용 클라우드 센터를 구축해달라고 요청하거나, 공공클라우드 센터를 물리적으로 구축한 후 운영을 민간 클라우드 업체에게 맡기는 방식이다.
'망분리 때문에 챗지피티(ChatGPT), 슬랙(Slack)과 같은 외부 SaaS 서비스 활용이 번거롭다'는 문제는 선별적 허용을 제안해본다.
업무효율성과 생산성을 위해 적극 도입해야 할 서비스가 있다면 개인정보 유출통제와 검역소 기능을 가진 ‘시큐어 게이트웨이’를 경유하여 내부 단말에서 접속되도록 허용하는 방식으로 풀어나가는 것을 제안한다.
금융기관의 경우 ‘비조치 의견’을 통해 특정 서비스에 대해서는 점진적으로 확대해 나가는 것을 기대해본다.
■ 미국 등 선진국은 망분리 규제가 없다는 주장과 자율보안의 전제 조건
미국은 망분리 등 기술적 보호조치를 공공 및 금융기관에게 일률적으로 강제하지 않는다. 다만 미국 공공기관도 기밀보호 수준이 최상위인 곳은 망분리를 시행하고 있다.
일급 정보기관이 활용하는 '비밀 클라우드 센터(Secret Cloud Center)'는 물리적 위치도 비밀로 유지되며, 운영 역시 검증된 미국시민에 의해서만 이뤄진다.
미국은 자율보안을 강조한다. 대신 사고발생 시 징벌적 과징금을 부과한다. 정보보호에 대한 투자는 자율에 맡기되, 주요한 개인정보 유출사고가 발생했을 때는 천문학적 과징금을 부과한다.
2019년, 미국 연방거래위원회(FTC)는 고객 개인정보 관리를 소홀히 한 페이스북에 50억 달러(한화 약 6조원) 과징금을 부과하기도 했다.
아직 한국은 징벌적 과징금 문화가 정착되지 않았다. 보안사고에 대한 정부기관의 책임은 여전히 크게 존재한다.
중대 보안사고가 발생하면 '정부는 그동안 도대체 뭐하고 있었나' 라고 여전히 목소리를 높인다. '잘못된 것은 모두 정부 탓'이 되는 분위기 속에서 공공, 금융기관 망분리를 비롯한 보안규제를 전면적으로 해제하는 것은 쉽지 않은 선택일 수 있다.
보안사고의 책임을 정부기관에 묻지 않는 문화가 정착되었을 때, 비로소 자율보안체제가 안착될 수 있다.
대규모 보안사고 발생으로 매출의 몇 퍼센트에 달하는 과징금도 감내할 수 있을 때, 기업체에게 자율보안의 선택지도 제공될 것이다. 다만 이는 사회 전체 인식의 변화가 필요한 장기적 과제이며 우리가 풀어나가야 숙제이다.
보안은 기밀성과 가용성이라는 상호갈등관계의 균형추를 끊임없이 조정하는 작업이다.
데이터 활용성을 높이는 것과 보안을 강화하는 것에 대한 골디락스(Goldilocks) 균형은 업무특성과 시대변화에 따라서 달라진다.
망분리 정책 역시 시대변화와 개별 비즈니스 특성에 따라 변화해야 하는 것은 당연한 일이다. 소프트웨어 개발효율성, 외부 SaaS서비스 활용을 통한 업무경쟁력 강화, 금융/공공기관 보안사고 발생 시 정부당국의 책임, 깊어 가는 CISO의 고민을 함께 테이블에 올려 놓고 균형추를 다시한번 점검할 시기이다.
올해 추진되는 공공기관 클라우드 네이티브 선도사업 등을 통해서 기존 망분리대체 정보보호체계를 적용하여 안전성을 검증한 후, 단계별로 확대해 나가는 것이 해결책 중 하나로 제시되는 이유이다.
*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.