금융권에서 망분리 시스템을 도입할 때 국제공통평가기준(CC) 인증제품만 사용하도록 했던 의무 규정이 폐지된다. 최근 정부가 핀테크 활성화에 걸림돌이 되는 규제를 푼 것처럼 까다로운 망분리 도입 규정도 폐지해 금융권의 망분리 시스템 도입을 활성화하려는 취지다. 시장 확대를 기대하는 망분리 시스템 업계와 제품 선택의 폭이 넓어진 금융업계 모두 정부 조치를 반기고 있다.
20일 금융당국은 금융회사가 망분리 시스템 도입 시 CC 인증제품만을 의무적으로 도입하게 한 규정을 폐지하는 쪽으로 가닥을 잡았다.
금융회사는 보안성을 강화하기 위해 전산센터에 망분리 시스템을 반드시 도입해야 한다. 하지만 망분리에 쓰이는 장비 종류와 각 장비가 제공하는 기능이 천차만별인 데다 CC 인증 적용범위 및 관련 규정이 모호해 혼란을 겪었다.
금융당국은 이 같은 시장 혼란을 최소화하도록 이른 시일 내 CC 인증 의무화를 배제하는 방안을 확정한다. 금융위 관계자는 “CC 인증을 금융사에 의무 적용하는 것을 원천적으로 폐지하는 쪽으로 검토 중”이라며 “시장에서 CC 인증 적용범위와 모호한 규정으로 혼란이 발생해 이를 원점에서 재검토하는 것”이라고 말했다.
금감원 관계자도 “아직도 망분리 등 보안제품 선정 시 CC 인증 의무적용을 모르는 금융기업이 상당수”라며 “전자금융감독규정 해석에도 모호한 부분이 있어 아예 금융사에는 CC 인증을 적용하지 않는 쪽으로 협의가 진행 중”이라고 설명했다.
금융권은 지난해 망분리 제품을 두고 CC 인증 논란을 빚었다. 전자금융감독규정 해석이 각양각색인 데다 홍보도 제대로 되지 않아 대부분 은행 보안담당자는 관련 규정이 있다는 사실을 몰랐다. 한 은행은 막대한 비용을 들여 망분리 시스템을 도입하고도 논리적 망분리 일부 제품에 CC 미인증 제품이 포함돼 전자금융감독규정 위반 논란에 빠졌다. 규정 위반 논란이 일자 계약을 차일피일 미루며 사업 연기가 속출했다.
CC 인증은 주로 정부나 공공기관이 정보보호시스템에 구현된 보안기능 안전성과 신뢰성을 위해 요구하는 기준이다. 정부나 공공기관은 CC 인증 제품 구매가 의무이지만 금융권은 제품마다 상황이 달랐다.
보안업계는 금융 망분리 시장 CC 인증 의무화 폐지를 환영했다. CC 인증 획득에 자금과 시간을 투입하지 않아도 되고, 망분리 시스템 도입을 가로막아 온 규제가 철폐되면서 시장 활성화에 대한 기대가 커졌기 때문이다.
남승우 미라지웍스 대표는 “CC 인증 의무화를 풀고, 망분리 시스템을 도입하는 곳에 정보보호 사고 발생 시 책임을 강하게 묻는 것이 바람직하다”며 “장기적으로 사후 감독을 강화하면 결과적으로 경쟁력 있는 제품이 시장에서 살아남을 것”이라고 말했다.
김인순기자 insoon@etnews.com, 길재식기자 osolgil@etnews.com