편집 : 2021.1.15 금 15:28
금융IT
금융권 ‘망분리’ 곳곳에서 ‘논란’…당국, “유보적 입장”재택근무 도입에 정보보호부 난색…재난상황 ‘무용지물’
김동기 기자  |  kdk@bikorea.net
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
승인 2020.04.20  04:47:21
트위터 페이스북 미투데이 요즘 네이버 구글 msn

◆단상1.
지난 2월 27일, 국민은행 서여의도 영업부가 발칵 뒤집혔다. 수출입은행 한 직원이 코로나 19 확진자가 됐는데, 동선을 보니 서여의도영업부를 거쳐 IFC몰 등 여의도 인근을 다수 접촉한 사실이 확인됐기 때문이다.

국민은행은 즉각 서여의도 영업부를 폐쇄했다. 

그런데, 국민은행 서여의도영업부는 단지 영업점 특징을 갖는 게 아니다. 영업점이 위치한 장소가 국민은행 전산센터 업무동에 있기 때문이다. 

옛 장기신용은행 빌딩을 리모델링해 2018년 10월부터 운영을 시작한 국민은행 여의도 전산센터는 ‘업무동’과 ‘장비동’으로 분리 운영중이다.

자칫 수출입은행 확진자를 통해 장비동 주전산기 운영 담당자까지 코로나 19 영향이 미쳤다면, 정말 아찔한 순간이 아닐 수 없다.

‘망분리’로 외부에서 은행 전산시스템에 접속이 아예 불가능하기 때문이다. 시스템 패치가 제때 이뤄지지 않아 장애가 발생할 수 있었던 위기였다.  

물론, 은행의 BCP 체계(염창동, 감포센터, 종암동 등 인력 및 분산운영)에 따라 곧바로 대응이 이뤄졌지만, 급작스러운 상황에서 망분리는 걸림돌이 됐다.

◆단상2.
최근 A은행은 ‘코로나 19’ 대응 재택근무 솔루션 도입을 놓고 고심에 빠졌다.

이 은행은 이번 ‘코로나 19’ 상황 외에도 유사한 BCP(Business Continuity Planning)에 대응하는 ‘재택근무 도입’ 및 ‘솔루션 구축’을 추진중이었다. 

세간에 나와 있는 많은 솔루션 및 방안을 연구해 방향성을 잡아가던 중 은행 안의 난적을 만났다.

정보보호부가 어떤 솔루션, 어떤 방식이 됐던 “외부에서 은행 내부 시스템 접속”은 원천적으로 불가능하다는 의견을 받은 것이다.

지난 2011년 농협 전산망 사고 및 2013년 신한은행 및 방송사 해킹 사건이후 만들어진 금융권 ‘망 분리 정책’ 완화에 대한 안팎의 개선요구가 거세지고 있다.

금융회사들이 ‘디지털 트랜스포메이션’을 내세우며, ‘금융 혁신’에 대한 각종 아이디어를 쏟아내고 있지만 정작 ‘규제에 묶여’ 앞으로 전진하지 못하고 있다. 

사실, 지난 2월초부터 ‘코로나 19’ 본격 확산이후 ‘망분리 완화’ 목소리는 그 어느때보다 강력히 전달중이다. 

이유는 현재 금융감독당국에서 예외적으로 허용하는 방식이 ‘가상사설망(VPN, Virtual Private Network)인데, 이 역시 해킹의 위험이 아예 없는 것은 아니기 때문이다.

금융권에서는 즉, 지금껏 망분리로 잘 운영해 왔지만, 재해·재난상황에서 이처럼 변형된 네트워크 정책이 시행되면 망분리 자체가 무용지물이 된다고 주장한다. 

실제로, 물리적 재난 상황으로 보기 어려운 ‘코로나 19’같은 상황에서는 사회적 혼란을 틈타 각종 악성코드 등이 기하급수적으로 늘어난다. 

팔로알토 네트웍스의 발표에 따르면, ‘코로나 19’ 관련, 원격 관리 툴(RAT)에 멀웨어를 심는 피싱 이메일, 바이러스 정보 제공을 위장한 페이크 애플리케이션, 코로나 키워드를 사용해 신규 등록된 도메인 등 위험이 늘어나는 것으로 조사됐다.

특히, VPN 역시 각종 취약점이 보고되고 있다는 점에서 ‘대안’은 아니다.

지난 2019년 한국인터넷진흥원 발표에 따르면, 글로벌 네트워크 보안 업체들의 VPN 취약점이 발견돼 긴급 업데이트 경고에 나선 바 있다.

◆‘망분리’ 완화를 위한 적극 검토에 나설 때… = 앞선 사례와 같이 은행 업무부서와 정보보호부 논란을 넘어서, 감독당국이 현장의 목소리를 들어야 때가 왔다는 게 업계 시각이다. 

현장이 목소리 대상은 우선 망분리 대안에 대한 적극적 연구형태다.

업계 한 관계자는 “사용자가 인증을 수십번 해서라도 외부 접속을 허용하는 방법도 있다. 또 은행 경영진 또는 IT부문 핵심 인력에 한해 외부망 접속시 3~4단계의 생체인증 방식을 적용할 수도 있다. 접속시 망에 접속하는 PC(MAC)를 정해놓는 방법도 있고 다양하다”며 “코로나 19 이후 세계 경제질서가 새로운 패러다임을 맞이하는 가운데, 규제개혁 역시 시대 흐름을 반영해야 할 것”이라고 전했다. 

금융회사 한 관계자는 “규제를 ‘네거티브 정책’으로 바꾸는 것이다. 망에 어떤 접속을 하든, 어떤 망분리 운영을 택하든 보안사고에 대한 모든 책임은 금융회사가 지도록 하는 것”이라고 전했다. 

단적으로, 2019년 영국항공은 GDPR(General Data Protection Regulation) 위반으로 2700억원의 과징금을 받은 바 있고, 개인정보유출 사건으로 페이스북은 6조원대 과징금을 부과받은 바 있다.

국내의 경우, 45억원 가량이 최고수준으로 전해져 있다. 매출의 3%를 적용받았기 때문이다. 

이같은 업계 요구에 대해 금융위원회는 유보적이다. 개선에 대한 의견을 모아보겠다는 수준.

한 관계자는 “지금은 재난 상황이라 일정하게 예외허용하고 있다”며 “상황이 어느 정도 수습되면 관계부처와 협의를 가져볼 예정”이라고 원칙적 답변만 내놓았다.

망 운영의 형태와 방식을 금융회사 자율에 맡기고, 책임성을 강화하는 ‘네거티브 규제’가 새로운 세계 경제질서에 응답할 수 있다는 주장이 묘하게 설득적이다. 

<김동기 기자>kdk@bikorea.net

< 저작권자 © BI KOREA 무단전재 및 재배포금지 >
김동기 기자의 다른기사 보기  
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
트위터 페이스북 미투데이 요즘 네이버 구글 msn 뒤로가기 위로가기
이 기사에 대한 댓글 이야기 (0)
자동등록방지용 코드를 입력하세요!   
확인
- 200자까지 쓰실 수 있습니다. (현재 0 byte / 최대 400byte)
- 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
이 기사에 대한 댓글 이야기 (0)
1
한국IBM, 영업대표 체제 해체…전면적 파트너 체계로
2
<초점>‘디지털 혁신’ 절박한 우리금융그룹, 가능할까
3
삼성전자, ‘엑시노스 2100’ 출시
4
GS네오텍-네이버클라우드, ‘CDN’ 협력 확대
5
CJ올리브-LG전자, CES서 협력기술 선보여
6
KB금융그룹, ESG경영 관심 톱…기업 34% ‘無’
7
LG유플러스, 5G·LTE ‘지인 결합’ 상품 출시
8
KT, ‘올레 tv 뷰플레이’ 출시
9
롯데카드 ‘마이데이타’ 구축, 롯데정보통신 맡을 듯
10
우리금융, 그룹 체제 2주년 맞아
회사소개기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부
서울시 영등포구 여의대방로65길 13, 904(여의도동 유창빌딩)| Tel: 02-785-5108 | Fax 02-785-5109
이메일주소무단수집거부 | (주)비아이코리아닷넷 | 대표이사 : 김동기 | 사업자 등록번호:107-87-99085 | 개인정보관리책임자 : 김동기
등록번호 : 서울 아01269 | 등록일자 : 신고일자 2008.10.22 | 발행인:김동기 | 발행일자:2010.06.01 | 편집인 : 김동기 | 청소년보호책임자 : 김동기
Copyright © 2012 BI KOREA. All rights reserved. mail to webmaster@bikorea.net