[이코노믹리뷰=최진홍 기자] 국내 보안전략 패러다임을 도메인 중심에서 데이터 중심으로 바꾸는 한편, 현행 기계적인 망 분리 로드맵이 발전하는 핀테크 기업들의 현실에 맞지 않는다는 주장이 나왔다. 이를 위해 유연한 정책을 구사하며 다양한 가능성을 타진해야 한다는 논리다.
‘도메인에서 데이터로’
서울시 강남구 스타트업얼라이언스에서 ‘4차 산업혁명 시대 스타트업 혁신을 위한 규제개혁 토론회 4탄’이 19일 열린 가운데 참석한 패널들은 정부가 현재 고수하고 있는 보안정책에 우려를 표하는 한편, 대표적 사례인 망 분리에 대해서는 다양한 대안을 제시했다.
대통령 직속 4차산업혁명위원회 위원으로도 활동하고 있는 김승주 고려대학교 사이버국방학과 교수는 발제를 통해 “초연결 시대가 다가오고 있다”면서 “2020년까지 세계 인터넷 사용자 수는 전체 인구의 절반인 52%, 41억명에 이를 전망”이라고 말했다.
많은 사람들이 인터넷으로 연결되면서 보안대책의 필요성도 중요해지고 있다. 문제는 현재 초연결 시대의 보안대책이 여전히 예전 패러다임에 갇혀있다는 점이다. 다양한 ICT 기술이 등장하는 상황에서 컴퓨터 등 하드웨어 기기의 정보가 탈취되는 오래된 개념을 정보보호의 핵심으로 삼으면 곤란하다는 주장이다.
김 교수는 정보보호의 개념을 재정립하며 도메인 중심에서 데이터 중심으로 정책을 바꿔야 한다고 주장했다. 그는 도메인 중심의 보안정책을 설명하며 “인터넷을 민간, 금융, 공공 등 몇 개의 영역으로 나눠 주요 데이터의 생산 및 처리, 소통을 가급적 해당 영역으로 제한하는 것이다. 망 분리 정책이 대표적”이라면서 “이러한 방식은 모든 것이 연결되어 영역을 확정할 수 없는 지금의 초연결 시대와 부합되지 않는다”고 말했다. 나아가 “이러한 도메인 중심의 전략은 모든 것이 연결된 세상과 거리가 멀고, 빅데이터를 활용할 수 없게 된다”고 말했다.
김 교수는 나아가 “클라우드 퍼스트 전략을 추구하면서 업무망과 인터넷망을 분리하는 것은 양립될 수 없다”면서 “외국처럼 기밀자료 유통망은 별도로 존재하고 일반 업무자료 유통망을 외부 클라우드와 연동하는 전략을 고민하는 등 다양한 접근이 필요하다”고 말했다. 도메인을 중심으로 단순하고 기계적인 망 분리에 나서는 것이 아니라, 데이터의 경중을 측정해 효율적인 망 분리에 나서야 한다는 주장이다. 성공한다면 클라우드 인프라 발전 등 ICT 생태계 강화도 꿈이 아니다.
물론 쉬운 일은 아니다. 김 교수는 “정부에서 데이터 중심의 보안정책을 시도한 바 있으나 결국 실패했다”면서 “데이터 분류 기준이 없기 때문”이라고 말했다. 보안정책에 있어 데이터 중심의 보안정책을 추구하면서, 데이터의 경중을 측정할 수 있는 기준부터 먼저 마련해야 한다는 주장이다. 조만간 발표된 4차위의 권고안에는 이러한 내용이 담길 전망이다.
김 교수는 암호관리체계도 비슷한 문제의식을 보였다. 기계적으로 영역 별 암호관리체계를 관리하는 것이 아니라, 데이터의 경중을 측정해 보안체계를 구축해야 한다는 주장이다.
도메인에서 데이터로의 보안정책 중심이동과 함께, ‘장애없는 초연결 사회 실현을 위해 신뢰성을 확보하고 보안 내재화를 추진해야 한다’는 주장도 나왔다. 해킹 외 다양한 보안 리스크에 상시적으로 대비하기 위함이며, 이는 제품이나 서비스의 설계부터 보안을 고려해야 한다는 주장으로 이어진다. 김 교수는 “시작부터 보안을 내재화시켜 다양한 기술과의 간섭 등 많은 리스크에 대비해야 한다”고 말했다. 보안이 핵심이 아니라 신뢰성을 전면에 걸어야 한다는 전제다.
보안정책에 있어 소규모의 폐쇄형 보안 인력을 대규모 개방형으로 전환해야 한다는 주장도 나왔다. 김 교수는 “해킹 및 보안에 있어 집단지성을 적극적으로 활용해야 한다”면서 “국내에서는 카카오뱅크만 유일하게 이러한 전략을 보여주고 있다”고 밝혔다. 김 교수는 마지막으로 “당연한 말이지만, 보안 리스크에 상시적으로 대비해야 한다”고 말했다.
패널들은 정보보호에 있어 기업들에 강한 자율성, 나아가 강력한 규제를 동시에 도입해야 한다고 주장했다. 유연한 규제 적용을 전제하면서도 개인정보보유출 등의 논란이 불거지면 철퇴를 내리찍는 방식이다. 다만 이러한 정책이 안착되려면 초기 기업들은 어려움을 겪을 수 박에 없다. 김승주 교수는 “미국 페이팔의 경우 초기 엄청나게 많은 사고를 일으켰으나 모두 감내하면서 버텼다”면서 “사이버보험 등 관련 생태계 안착이 필요한 이유”라고 말했다.
현행 망 분리 정책...“다시 돌아봐야”
이어진 패널토론에서는 권헌영 고려대학교 교수의 좌장을 맡아 국내 보안체계의 변화를 두고 다양한 가능성을 타진했다.
토스를 운영하는 비바리퍼블리카의 신용석 CISO는 현행 망 분리의 문제점을 조목조목 짚었다. 신 CISO는 “정부 당국은 기업 해킹 문제가 발생할 경우 불러서 호통을 친다”면서 “기업의 보안 인프라가 미흡하면 강력한 제재를 가하면서도, 기업의 보안통제 방법론에서는 어느정도 자율성을 보장했으면 좋겠다”고 말했다.
그는 “일반적인 망 분리는 IT, 나아가 핀테크의 속성에 맞지 않는다”면서 “결국 클라우드나 오픈소스 등을 활용하면서도 많은 어려움이 발생할 수 밖에 없다”고 말했다. 이런 상황이 반복되면 개발자가 핀테크를 기피하는 현상이 발생하며, 업무 생산성도 저하된다는 설명이다. 25명 규모의 스타트업이 망 분리에 나선다면 대략 5억원이 들어갈 정도로 비용소모도 큰 편이다. 나아가 망 분리는 체크리스트 기반의 통제문화라는 기형적 현상을 유도하는 한편 다양한 논란에서 자유롭지 않다는 주장이다.
신 CISO는 “핀테크 등 민간부분의 망 분리는 정보통신망이 정한 제한적 망 분리와 전자금융감독규정의 강도 높은 망 분리로 구분된다”면서 “후자의 경우 지나치게 과도한 규제”라고 지적하기도 했다.
이근주 한국핀테크산업협회 사무국장은 “금융사와 달리 핀테크 기업들에게 보안 인프라와 관련된 비교우위 혜택을 달라는 것이 아니다”면서 “IT에 기반을 둔 핀테크 기업들에게 상황에 맞는 규제를 적용해야 한다”고 말했다.
이석윤 서울대학교 수리과학부 객원교수는 망 분리 자체에 집중했다. 이 교수는 “정부는 2003년 사이버 안전체계를 수립한 후 2009년 디도스 사건을 계기로 본격적인 망 분리 정책을 추구하기 시작했다”면서 “이후 청와대 디도스 공격, 농협 전산망 해킹이 벌어지며 금융위원회도 망 분리에 더 적극적으로 나섰다”고 말했다.
문제는 이러한 망 분리가 지금 열리고 있는 초연결 시대와 부합되지 않는다는 점에 있다. 이 교수는 “모든 기기가 데이터를 공유하는 시대지만, 이는 기계적인 망 분리와 어울리지 않는다”면서 “지금은 바꿔야 할 때”라고 단언했다.
그는 금융당국을 향해서 “기업들은 전자금융감독규정 등 가이드 라인을 따르고 있으나, 이는 말 그대로 최소한의 규정에만 머물고 있다”면서 “당국이 기업들에게 자율적인 가이드 라인을 제공해 실질적인 효과를 내야한다고 본다”고 말했다. 그는 “우리만 갈라파고스에서 홀로 살 수 없는 것 아닌가”라고 강조했다.
응답하라, 국회
국내 핀테크 시장이 가파른 성장세를 보이는 가운데, 기계적인 망 분리 중심의 보안체계를 바꿔야 한다는 논의가 시작된 것은 그 자체로 의미가 있다는 평가다. 다만 정부와 국회가 실제적인 정책결정에 나서야 이 문제를 해결할 수 있다.
그런 이유로 스타트업얼라이언스는 해당 토론회를 국회 의원회관에서 열어 많은 의원들과 사안을 공유할 작정이었다. 그러나 함께 토론회를 주최하기로 했던 김병옥, 제윤경 의원이 지역구 행사로 토론회에 참석하지 못해 결국 장소는 스타트업얼라이언스 사무실로 변경됐다. 스타트업얼라이언스에 일방적인 행사 연기 요청을 했으나 받아들여지지 않았다는 후문이다.
현장에서는 이를 안타까워하는 분위기가 나왔다. 발제를 맡은 김승주 교수는 “국회의원회관에서 토론회를 준비하며 많은 의원들이 참여해 발제시간이 짧을 수 있다는 이야기를 들었는데, 의원들이 참여하지 않는 관계로 많은 시간을 할애받게 됐다”는 의미심장한 농담을 했으며, 권헌영 교수는 의원들이 참석하지 않는다고 하자 역시 불참을 선언한 금융보안원, 금융위원회 관계자에 대해 “우리를 피하는 것이 아니기를 바란다”는 뼈있는 말도 했다.
신용석 비바리퍼블리카 CISO는 “의원들에게 꼭 건의하고 싶었던 것이 있는데 아쉽다”고 말했고 이석윤 교수도 “대안을 제시하고 싶었는데 금융보안원, 금융위원회 관계자들이 토론회에 빠져 안타깝다”고 말했다.