개인정보부터 비중요정보에 물리적 망분리 일원화
데이터 활용·개발환경 악화...핀테크 산업과 부적합

19일 서울 강남구에서 열린 스타트업얼라이언스 주최 '망분리 감독규정 개정 방안’ 토론회에서 토스 신용석 정보보호 최고책임자(CISO·오른쪽 두번째)가 발언하고 있다.
19일 서울 강남구에서 열린 스타트업얼라이언스 주최 '망분리 감독규정 개정 방안’ 토론회에서 토스 신용석 정보보호 최고책임자(CISO·오른쪽 두번째)가 발언하고 있다.

<대한금융신문=문지현 기자> 전자금융업자를 포함해 전 금융업자에 부과되는 ‘물리적 망분리’ 규정이 핀테크 산업 발전의 발목을 잡고 있다. 업계는 정보보호에 대한 금융업자들의 책임을 대폭 강화하고, 그에 따른 망분리 자율 체계를 보장해줘야 한다고 목소리를 높이고 있다.

19일 스타트업 지원 사단법인 스타트업얼라이언스는 서울 강남구에서 핀테크 산업 경쟁력 강화를 위한 ‘망분리 감독규정 개정 방안’을 주제로 토론회를 열고 핀테크 보안 부문 전문가들을 한데 모아 이 같은 내용을 논의했다.

물리적 망분리는 해킹 방지를 위해 내부통신망과 연결된 내부업무용 시스템을 인터넷(무선통신망 포함) 등 외부통신망과 물리적으로 분리·차단해야 하는 규정이다. 전자금융거래법(제21조 제2항)과 전자금융감독규정(제7조, 제15조 제1항 제3호)상 금융업자는 모두 이 규정에 따라야 한다.

지난 2011년 국민은행, 농협은행 등에서 대규모 전산사고가 발생하며 금융당국은 대형 금융회사부터 전자금융업자에 속하는 핀테크기업까지 이 같은 정책을 의무화했다.

업계는 당시 당국의 보안 대책은 외부 해킹을 막기 위한 최선의 방법이었다는 데 이견은 없다. 다만 인공지능(AI), 블록체인 등 4차 산업혁명 시대의 금융업 변화에 맞게 규제도 변화해야 한다고 주장했다.

서울대학교 이석윤 객원교수는 “망분리 정책은 당시 금융사의 보안 수준을 고려할 때, 불가피한 정책이었으며 외부 해킹을 막는 데 효과적이었다”라면서도 “다만 현재 이 규정은 은행, 보험사 등 여러 금융사들이 인터넷과 단절된 네트워크에서 필요한 데이터를 원활히 공유하고 활용할 수 없는 환경을 만들게 됐다”고 말했다.

기존 금융사뿐만 아니라 최근 정보기술(IT) 기업들의 금융업 진출이 늘며, 망분리 규제의 불필요성은 더욱 부각되고 있다. 네이버, 카카오 등 대형 IT업체들은 전자금융업에 뛰어들었지만 '망분리 의무'를 준수하지 않아 과태료 처분을 받은 바 있다. 보안 규정을 잘 지켜온 대기업들도 전자금융업에 진입하면 규제 미준수로 인한 제재를 받는 현실이다.

토스 신용석 정보보호 최고책임자(CISO)는 “대표적인 IT기업들이 핀테크 분야에 진출하며 망분리 위반 제재 사례가 속출하고 있는데, 지속된다면 오히려 IT기업들은 보안이 매우 약하다는 부정적인 이미지를 초래할 것”이라며 “핀테크 기업들은 업무 특성상 IT기업에 가깝다. 망분리 규정 탓에 핀테크 기업의 개발자들은 차단된 환경에서 개발환경을 마련하는데 더 많은 시간을 소요해 업무에 지장을 받고 있다”고 말했다.

이날 모인 전문가들은 데이터 중요도에 따라 정보 시스템을 분류하고, 적정 등급에 따른 보안대책을 마련해야 한다는 데 목소리를 모았다.

또 유럽연합(EU)의 개인정보보호법(GDPR)이 정하고 있는 과징금 체제를 국내 금융사들에도 그대로 적용해야 한다는 데에도 공감했다. 기업에 정보보호 최종책임을 확실하게 묻고 보안 기술과 인식에 대해 더 많은 투자가 이뤄질 수 있다는 점에서다. 유럽연합(EU)의 GDPR은 보안사고에 대해 기업 전체 매출 4% 수준의 과징금을 부과하고 있다.

고려대학교 정보보호대학원 김승주 교수는 “국내도 정보보호 정책 수립 방향의 근본적 한계를 인식하고 하루빨리 데이터 중요도 중심 정책으로 전환해야 할 때”라며 “비기밀 공공 데이터에 대한 유통 및 활용을 촉진할 다양한 세부 정책이 마련될 필요가 있다”고 말했다.

 

저작권자 © 대한금융신문 무단전재 및 재배포 금지