[토요경제=문혜원 기자] 우리나라의 금융보안정책 중 ‘망분리 규제’가 4차 산업혁명 시대의 기술개발과 흐름에 뒤처질 우려가 있다는 지적이 나온다. 이에 금융부문 망분리 규제를 조속히 개선해 보안성과 효율성 사이의 균형을 모색해야 한다는 의견이 제시됐다.
4일 국회입법조사처는 이 같은 내용을 담은 ‘디지털 금융혁신 관련 입법·정책과제’를 주제로 한 ‘NARS 현안분석’을 통해 ‘금융보안 망분리 규제’ 개선사항에 대해 요구했다.
조사처는 현재 안전한 디지털금융 생태계 확립을 위한 명확한 보안원칙과 기준이 ‘전자금융거래법’ 상 존재하지 않아 발생하는 문제점을 지적했다.
그러면서 개정방안으로 ▲‘전자금융거래법’ 개정을 통해 금융보안의 원칙 정립 및 책임성을 강화 ▲보안정책을 데이터 중심으로 전환 ▲업무 비효율에 따른 규제 개선의 시급성을 고려해 혁신금융서비스 지정을 적극 활용 ▲개발망에 대해 자격을 갖춘 기업에 대해 제한적으로 물리적 망분리 규제를 완화하되 보안성·위험성 심사, 보고를 강화 등을 제안했다.
조사처는 아울러, “금융당국의 보안 관련 전문성 부족 등으로 인해 실질적인 규제개선이 어려울 수 있다”며 “외부 보안전문가로 구성된 심의기구로서 ‘금융보안 전문위원회’를 금융위원회 내에 설치해야 한다”고도 강조했다.
조사처는 끝으로 “▲금융보안 정책의 개선 ▲금융보안 관련 감독규정의 개정 ▲물리적 망분리의 예외 인정 여부 등을 신속하고 합리적으로 결정하게 하는 방안도 필요하다”고 주문했다.
한편, ‘금융부문 망분리 규제’는 해킹 및 사이버 공격을 국가적 차원에서 예방하고 보안사고의 피해를 최소화하기 위해 2006년 국가사이버안전전략회의에서 국가기관 업무 전산망과 인터넷 분리 방침이 최초로 보고됐다.
2007년에는 국무총리실, 통일부에서 망분리 시범사업을 추진했으며, 2008년부터 2009년경에 정부 부처를 중심으로 망분리가 본격적으로 확산됐다.
2011년에는 주요 정부기관 및 민간업체 등 40개의 웹사이트에 대규모 분산서비스거부 공격(Distributed Denial of Service, DDoS)이 발생해 변종 악성코드가 유포되는 등 보안사고가 발생했다.
이에 따라 2012년 8월 17일 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령’에 민간영역의 망분리 조치 의무가 명시됐다.
이후 2013년에 농협, 신한은행, 제주은행 등의 전산망이 악성코드에 감염되어 상당수의 컴퓨터가 마비됐고 정보가 유출 또는 파괴되는 사고가 발생하면서 금융위원회는 ‘금융전산 보안 강화 종합대책’을 발표했고, ‘전자금융감독규정(금융위원회 고시)’이 개정돼 금융부분에 망분리 제도가 도입됐다.
하지만 우리나라의 보안정책 중 특히 망분리 규제는 금융부문의 개발자들로부터 비판을 받아 왔다.
[저작권자ⓒ 토요경제. 무단전재-재배포 금지]
