[한스경제=박종훈 기자] 수천만명에 달하는 개인정보 유출 사고가 이어지며 제도적으로 '망분리'를 강제하는 조치가 시행된지 십수년이 흘렀다. 특히 금융권에선 이 같은 조치가 강력하게 추진됐다.
외부 인터넷망과 내부 업무망을 물리적으로 분리하는 차단조치인 망분리가 분명 보안에 효과적인 것은 사실이다. 그러나 클라우드나 인공지능(AI) 등, 디지털 신기술이 활용되는 데 있어 크나큰 걸림돌인 것도 부정할 수 없다.
그동안 각계각층에서 이에 대한 문제제기가 지속돼 왔던 바, 금융 당국도 이에 대한 개선안을 마련하기 위한 움직임이 이어지고 있다.
다만 코로나19 상황에서 이미 문제점들이 더욱 가시화됐고, 하루가 다르게 바뀌는 ICT 기술의 발전상, 대중들의 금융소비 패턴 변화가 가속화되는 와중에도 최근에 들어서야 검토 논의가 시작됐다는 점은 우려스런 부분이다. 전 금융업권이 이미 수년 전부터 디지털전환을 향후 생존의 필수조건으로 내걸고 역량을 집중해 왔던 것에 비해 제도개선은 뒤처지고 있기 때문이다.
앞서 언급한 것처럼 한국 사회에서 '개인정보 유출'은 사태의 심각성에도 불구, 대중들에게 둔감하게 받아들여질 정도다. 과거 2008년 인터넷 쇼핑몰 옥션이 해킹을 당하며 1800만명에 달하는 고객 개인정보가 유출됐다. 2011년에는 네이트와 당시 인기였던 '싸이월드' 서비스에서 무려 3500만명의 개인정보가 유출됐다.
이에 정부는 2012년 8월 정보통신망법을 개정했다. 100만명 이상 이용자의 개인정보를 보유했거나, 정보통신서비스 매출이 100억원 이상인 사업자는 망분리를 의무적으로 도입할 것을 법에 명시한 것이다. 이와 같은 내용은 다시 데이터3법 개정에 따라 재반영됐다.
금융권 역시 마찬가지 움직임이었다. 2013년 대규모 금융전산사고를 계기로 망분리 규제를 도입하기로 하고, 2014년 말에는 전산시스템의 물리적 망분리를 채택했다. 금융회사 및 전자금융업자는 내부망에 연결된 전산시스템·단말기를 외부망과 물리적으로 분리해 접속을 제한하는 조치다.
그러나 당시의 조치 과정만 봐도 '속도감'을 느끼긴 어렵다. 2013년 3월 발생한 전산사고에 대해 금융위원회가 '금융전산 망분리 가이드라인'을 배포한 것은 6개월 가까이 지난 9월에서다. 이 내용을 바탕으로 11월에야 전자금융감독 규정을 개정해 망분리를 의무화했다.
규정을 현실에 적용하는 데에도 시간이 소요됐다. 이에 따라 전산센터의 망분리는 2014년 말까지 진행됐다. 본점과 영업점의 망분리는 은행의 경우 2015년 말까지, 그외 금융기관은 2016년까지 진행하도록 했다. 그러니까 현실적인 망분리 조치가 완료된 것은 아직 10년이 채 되지 않은 것이다.
아무튼 이러한 규제는 해킹 등으로부터 금융시스템을 안전하게 보호하는 데 기여했다고 당국은 평가하고 있다. 가령 2017년에는 전 세계가 랜섬웨어 감염사고로 홍역을 치렀는데, 우리나라 금융권은 피해가 없었던 것이다. 랜섬웨어란 사용자의 컴퓨터를 장악하거나 데이터를 암호화하고, 정상적으로 이용할 수 있게 이를 복원하는 대가로 금품을 요구하는 등, 범죄에 쓰이는 악성코드를 가리킨다.
반면 세상이 바뀌고 있으니 규제도 완화돼야 한다는 목소리가 높아지고 있다. 그동안 정부는 감독규정 개정, 규제 샌드박스 운영 등을 통해 지속적으로 제도 개선을 추진해 왔다고 말한다. 하지만 여전히 '신기술 활용'이란 측면에서 규제가 발목을 잡는 상황은 나아지지 않고 있다.
이번 TF 회의에서 가닥을 잡은 제도 개선 방향은 크게 세 가지다. 우선 연구·개발 환경 관련 개선 내용이 언급되고 있다.
주지한 것처럼 최근 AI나 클라우드 등 신기술 기반의 금융서비스 개발은 인터넷 연결을 통한 오픈소스 활용이 필수적이다. 그러나 망분리 규제는 유연한 개발 환경을 구현하는 데 장애물이다.
이에 2022년 11월엔 연구·개발망에 대한 망분리 예외를 허용한 바 있다. 그러나 부가조건에 따라 소스코드를 내부망으로 연계하는 데 불편이 있으며, 특히 개인신용정보 활용이 제한돼 실질적인 연구와 개발이 이뤄지기 어려운 측면이 있었다.
이 같은 상황이다보니 아무리 금융권에서 디지털 역량 강화를 전면에 내세우더라도 우수한 ICT 개발인력을 유치하는 데 어려움이 있다. 특히 개발인력들의 원격근무가 불가능함에 따라 우수인력 유출 등의 문제도 불거진다.
가령 코로나19 상황에서 재택근무를 위한 원격접속 허용과 관련해 전자금융감독규정 시행세칙을 보면, 불가피한 상황에서 이를 허용하되 더 강화된 보안정책을 적용·운영해야 한다고 명시하고 있다. 이는 △재택근무 직원 및 단말기 사전승인 △재택근무 단말기는 회사 단말기와 동일한 보안통제 적용 △원격접속시 통신 암호화 및 이중 인증 적용 △원격접속 및 자료반출입 이상징후 모니터링 강화 등의 내용이다. 보안 강화가 꼭 필요한 조치라 어쩔 수 없다고 하지만, 원격접속을 사용하는 개발인력 의 입장에선 번거로운 일이다.
챗GPT를 필두로 한 생성형 AI 기술을 업무에 활용하거나 금융서비스 개발에 대한 수요가 크지만, 이러한 AI 기술의 특성상 외부망과 연계가 필수적이란 점도 감안해야 한다. 금융회사 입장에선 이러한 AI 기술 활용은 단순히 내·외 시스템 연계에서만이 아니라 내부 업무처리 자동화 등에 쓰는 것에 있어서도 규제를 감안해야 했다.
여타 비즈니스에서는 활발하게 서비스형 소프트웨어(SaaS)를 활용하고 있는 추세를 보더리도 망분리 규제가 금융권에 얼마나 트렌드에 걸림돌인지 잘 드러나고 있다. 금융권에서도 업무 효율성과 비용절감을 위해 다양한 업무에 SaaS를 도입하고자 하는 니즈가 있으나 규제 때문에 불가능했던 것이다.
금융위는 2023년 9월부터 내부망에서 SaaS 이용에 대해 금융규제 샌드박스를 통한 특례를 부여하고 있으나, 실제로 금융회사가 다양한 업무에 활용하는 데는 부족했다. 가령 개발이나 보안, 개인신용정보 처리 업무 등에는 쓸 수 없었던 것이다.
보안 강화와 서비스 이용편의 제고는 양날의 검일 수밖에 없는 사안이다. 어느 한쪽의 긍정적인 측면만 생각하다간 부정적인 피해를 입을 수 있다. 결국 이번 제도 개선과 관련한 논의도 어떻게 합리적 수준의 균형점을 찾아가는지가 관건일 것으로 보인다.
그밖의 이슈로는 현행 규제 아래에선 전자금융거래와 무관한 시스템에도 일괄적으로 망분리 등 보안 규제를 적용하고 있다는 점도 거론되고 있다. 특히 겸영전자금융업자의 경우 전자금융업무와 비전자금융업무간 구별 기준이 불분명해 망분리 규제의 준수 차원에서도 애로사항이 있었다. 최근 금융과 비금융의 다양한 융합 서비스가 태동하고 있는 가운데 이러한 규제는 하루빨리 손 볼 필요가 있다. 이에 따라 금융권에선 앞서 세 가지 이슈보다 마지막 사안의 경우 더 신속한 조치가 내려질 것으로 기대하고 있다.
금융감독원이 지난해 9월 발표한 2023년 상반기 금융기관의 전자금융사고 발생 현황을 보면, 보고된 사고는 총 197건이다. 이 중 프로그램 오류 등으로 10분 이상 전산업무가 중단 및 지연된 장애가 194건으로 대다수를 차지한다. 이 외에 여러 대의 PC가 동시에 특정 시스템을 공격해 시스템 가동을 중단시키는 분산서비스거부(DDoS) 공격 등, 전자적 침해가 3건이다.
금융 보안을 위해 방호벽을 높이는 부분에 대해서도 숙고가 필요하지만, 인적 요인으로 인한 장애나 사고, 시스템의 미흡함으로 야기된 문제점 등도 여전히 많다는 점은 이번 제도 개선 논의에서 많은 생각할 거리를 남기고 있다.
가령 개발된 프로그램을 운영환경에 배포하면서 일부 프로그램을 누락하거나, 변경 사항을 반영하지 않고 배포해 은행의 대출이나 오픈뱅킹 서비스가 중단되는 사고도 있었다. 심지어 한 카드사에선 개발이 완료되지 않은 프로그램이 운영환경에 이관되며 모바일 앱 접속장애가 발생하기도 했다.
전산시스템을 장기간 운영한 탓에 갑자기 급증한 거래량에 대응하지 못한 사고도 있었다. 한 은행은 거래번호 채번에 7자리 숫자를 지정하는데, 갑자기 거래량이 크게 늘며 최대값을 초과해 오픈뱅킹 이체거래가 제대로 작동되지 않았다.
프로그램 오류와 관련한 사고는 전 업권이 다채롭다. 한 증권사는 주식매매 프로그램 오류로 인해 이미 매도된 종목이 계좌에 남은 것으로 표시되는가 하며, 고객이 중목매도하게 되는 사고도 있었다. 전산시스템 개편 때 보험료 관련 설정을 누락하며 보험료가 할인이 적용되지 않은 채 과다청구되는 사고도 있었다. 한 은행에선 환율 고시 관련 프로세스를 변경하는데 프로그램 오류로 현재 시점이 아닌 전일자 최종 환율로 환전처리되는 사고도 발생했다.
이렇게 나열한 문제점들의 원인은 다양한 곳에서 찾을 수 있겠지만, 획일적인 망분리 규제를 고수하면서 개발환경이 저하되고 우수 인력이 자리잡지 못한 현실 또한 생각해볼 필요가 있다.
박종훈 기자 plisilla@sporbiz.co.kr