최근 금융권에서는 물리적 망분리 규제를 둘러싼 논쟁이 활발하다. 다수의 네트워크 및 보안 전문가들은 세계적으로 유례가 없는 물리적 망분리 규제를 이제는 개선해야 한다고 목소리를 내고 있다. 물리적 망분리 규제는 한때 국내의 특수한 사정으로 인해 도입되었고, 그간 소기의 목적을 달성해 왔다. 하지만, 이 정책은 인공지능(AI) 시대에 있어 글로벌 금융 경쟁력 강화의 장애요인이 될 수 있기에 이제 정책의 유효성을 재검토해야 한다는데 의견이 모아지고 있다.
망분리 규제는 2013년 카드사의 대규모 개인정보 유출 사태 이후 도입되었다. 이는 해커 등 외부의 악의적 공격으로부터 내부 전산 시스템을 보호하기 위해 내부망과 외부망을 분리하는 네트워크 보안 정책 중 하나다. 이로 인해 전자금융업을 포함해 금융업을 영위하는 모든 기관들은 인터넷 접속이 가능한 외부망과 내부 시스템 및 단말기를 물리적으로 분리하게 되었다. 예컨대, 은행 지점의 창구 직원이 사용하는 컴퓨터는 외부 인터넷 접속이 제한된 단말기다.
이러한 물리적 격리 조치는 해킹과 같은 외부 공격으로부터 내부 시스템을 보호하는데 기여했다. 하지만, AI나 클라우드와 같은 신기술 도입에 장애 요인이 되고 있어 이제는 정책을 폐기하거나, 합리화해야 한다는 목소리가 높다. 금융권의 물리적 망분리 규제를 재검토해야 하는 이유는 다음과 같다.
첫째, 물리적 망분리는 급격하게 발전하고 있는 새로운 정보기술(IT) 도입에 장애요인으로 작용한다. AI, 클라우드 기반의 금융 서비스를 제공하기 위해서는 외부 네트워크 연결이 필수적이다. 또 효율적인 IT 시스템 개발을 위해 인터넷에 공개되어 있는 오픈소스 활용이 요구된다는 점도 기억해야 한다. 물리적 망분리 규제가 탄력적인 IT 자원 활용을 위한 서비스형 소프트웨어(SaaS:Software as a Service) 사용의 제약 요인이라는 점도 고려해야 한다.
둘째, 망분리 규제는 금융 IT 개발을 위한 원활한 인적 자원 수급과 역량 개발을 제약하고 있다. 우수한 역량을 보유한 IT 개발자들은 외부와 적극적으로 소통하며, 본인의 역량을 발전시키길 희망한다. 그러나 금융권 개발자들은 폐쇄적인 네트워크 환경으로 인해 외부와 단절된 채 시스템 개발을 지속할 수밖에 없어 본인의 역량 개발에 제약을 받고 있다. 따라서 우수한 금융 IT 인력을 양성하기 위해서는 오픈소스 활용이 가능한 여건을 조성하고, 원격 근무 등 유연한 근무환경을 조성할 필요가 있다.
셋째, 물리적 망분리 정책은 챗GPT 등 생성형 AI를 활용한 금융 서비스 제공과 상충된다. 생성형 AI에 기반한 대고객 서비스 제공을 위해서는 내부 시스템과 외부망 간 연계가 요구된다. 현재 금융당국이 금융규제 샌드박스를 통한 특례 등을 검토하고 있지만, 원칙적인 측면에서 규제를 합리화하는 것이 필요하다.
반면, 물리적 망분리가 아직 유효한 정책이라는 의견도 있다. 최근 마이크로소프트의 클라우드 장애 시 내부망과 외부망을 분리해 운영하는 한국의 물리적 망분리 정책으로 인해 피해를 최소화할 수 있었다는 지적이다. 크라우드스트라이크(Crowdstrike)의 보안 솔루션 업데이트가 윈도 운용체계(OS)와 충돌하면서 발생한 전 세계적 '블루 스크린' 장애로부터 유독 한국의 금융기관들이 자유로웠던 배경을 클라우드에서 분리된 환경에서 찾는 견해다.
그러나 이러한 분석은 타당하지 않다. 실시간으로 소프트웨어(SW)가 업데이트되지 않아 패치 방식의 업데이트를 활용하는 것을 어떻게 장점으로 꼽을 수 있는가? 물리적 망분리가 궁극적인 해결책이라면 차라리 컴퓨터를 사용하지 않았던 디지털화 이전을 고민하는 것도 대안이 될 수 있다.
과거 물리적 망분리 정책을 도입하게 했던 대규모 개인정보 유출 사태의 해결책은 개인정보보호체계 수립과 보안 정책 강화에서 찾아야 한다. 이제 개인정보보호의 중요성에 대한 국민적인 공감대가 형성되었고, 개인정보보호위원회라는 장관급 전담 조직도 탄생했다. 국산 보안 SW의 성능도 크게 개선됐고, 보안 전문인력 또한 충분하지는 않지만, 상당수가 양성됐다.
더불어 금융기관에 대한 책무구조도가 도입되면서 금융권의 개인정보보호, 고객정보관리, 신용정보관리 및 보호에 대한 금융기관과 임원의 책임이 명확해졌다. 이에 따라 개인정보보호 및 보안과 관련한 내부통제 기준이 강화될 것으로 기대된다.
지금이야말로 금융권이 AI를 활용하여 내부 업무의 효율성을 증대시시키고, 대고객 서비스의 질을 향상시킬 적기다. 이제 금융권의 네트워크 정책은 금융기관의 자율에 맡기고, 각 금융기관이 AI 시대에 걸맞는 대고객 서비스 창출을 위해 전력을 다할 시기다.
황보현우 홍콩과기대(HKUST) 겸임교수·전 하나금융지주 그룹데이터총괄
