# 단상1. 

A증권사는 최근, 클라우드 버전의 내부에서만 활용하는 화상회의 시스템 도입을 검토하다, 금융감독 당국의 망분리 정책에 따른 ‘외부망 접속 불가’ 유권을 받았다.

단지, 내부에서 사용하는 제한을 둔다고 강력하게 어필했음에도 ‘불가’ 판정에 적지 않은 고심을 거듭한 끝에 과태료를 받는 한이 있어도 ‘SaaS 방식 화상회의’ 도입을 강행키로 했다.

이 증권사는 이미, 매매체결 시스템 등 외부 아웃소싱 구조로 IT시스템을 운영 중이다. 핵심업무 조차 외부에서 운영하는 데 비핵심업무 불가 판정에 금융당국을 강하게 비난하고 있다.

#. 단상2.

B보험사 역시, 최근 클라우드 기반 화상회의 시스템 도입을 놓고 ‘금융 규제민원 포탈’에 의견을 물었지만, 역시 불가 판정을 받았다.

이 보험사는 계약까지 마친 상황이라 적지 않게 당혹했다는 후문이다.

다만, 금융당국은 현재 망분리 완화 관련 정책을 마련중이니, 일단 기다려 보라는 비교적 우호적인 회신을 받은 것으로 알려졌다.

덩치가 좀 더 큰 보험사 ‘말빨’이 덩치가 좀 작은 증권사보다 효과가 있었다는 얘기에 개운하지 않은 여운을 남겼다. 

#. 단상3

최근에는 SSL VPN 취약점을 이용해 금융회사 내부 직원 계정을 탈취하고 랜섬웨어를 유포하는 등 공격방식이 다양화하고 있다.

현행 전자금융감독규정은 금융회사 내부망 단말기가 외부 인터넷 등 통신망 등과 분리, 차단 및 접속을 금지하고 있다.

그런데, 코로나 19 장기화에 따른 금융권 망분리 원칙에 금융권 불만이 쌓이고 있다.

특히, 민감정보 조차 클라우드 이전을 허용해놓고, 정작 외부에서 접속을 못하게 해 놓은 망분리 정책 때문에 앞서 설명한 화상회의 시스템 같은 ‘비핵심업무 클라우드 이전’ 조차 걸림돌이 되고 있다.

◆VPN 방식 해킹 등 사실상 ‘붕괴’, “의미없는 정책” = 코로나 19 확산 이후 금융당국은 VPN (Virtual Private Network, 인터넷상 가상사설망) 접속을 거의 유일하게 명시하고 있다.

금융보안원에서 지난 2020년 발간한 ‘금융회사 재택근무 보안 안내서’에서는 ▲외부 단말기 보안관리 ▲통신회선 ▲내부망 접근통제 ▲인증 등으로 구분해 금융회사 재택근무 정책 입안시 반영하라고 ‘권고’하고 있다.

여기서 ‘통신회선’은 “(중략)통신회선과 동등한 보안수준을 갖춘 가상사설망(VPN)을 사용토록 하고 누구나 접속 가능한 개방형 통신회선 사용을 제한”하고 있다.

문제는 방위산업체 및 미국 등 최근 국내외에서 수년 동안 사이버 보안의 중추적 역할을 담당하고 있는 VPN에 대한 해킹사고 발생과 취약점이 매년 발생되고 있다는 점.

실제로, 최근 방위산업체 등에 대해 북한발 해킹이 다수 발생했고 내부 핵심 자료가 유출됐으며, 해킹 원인으로 재택 또는 외부근무 중 단말기 접속시 VPN의 취약점을 이용한 공격으로 밝혀졌다.

VPN이 유일한 ‘대안’으로 보였지만, 결국, 금융권 전체의 ‘유일한 공격 루트’가 되고 있다는 결론이다. 

업계 한 관계자는 “근본적인 원인에 대한 해결책 없이 사고시 마다 밝혀진 원인에 대한  조치만 반복되고 있어, 추후 대형 사고의 위험은 점점 높아가고 있다”며 “금융부문은 사고 이후에 대응하기에는 시장충격이 너무 크기 때문에 선제적 대응이 절실함에도, 국내의 주요 보안 공기관들이 발행하고 있는 규정, 지침 및 가이드는 VPN이라는 특정 기술의 사용을 명시적으로 요구하고 있어서, 오래된 기술에 대한 종속성을 강요하는 규제가 돼 버렸다”고 지적했다.

이 관계자는 이어 “보안성, 효율성, 경제성이 높은 국제적 수준의 국내외 첨단 보안 기술의 채택에 대한 허들이 되고, 현재도 취약점이 노출되고 있는 특정 기술 VPN의 방치는 장기적으로 디지털팬데믹의 원인 될 수도 있다”며 “금융회사 피해 사례는 보고되지 않았으나 상당수 금융회사들이 코로나 19 이후 디도스 공격을 받은 사례가 있어 피해 가능성은 예단하기 어렵다”고 덧붙였다.

금융권 공격 사례가 아예 없는 것은 아니다.  

VPN 방식을 채택하고 있었지만, 지난 2020년 8월, 카카오뱅크․케이뱅크․신한은행 등이 디도스 공격을 받은 사례는 VPN이 유일한 대안이 되지 못한다는 점을 직간접적으로 입증하고 있다.

◆“제로 트러스트 전략으로 방향성 전환해야” = 이같은 논란에 아예 대안이 없는 것은 아니다.

우선 업계 요구사항 및 논란을 의식한 듯, 금융위는 최근 ‘제로 트러스’ 전략 도입을 적극 권고하고 나섰다.

‘제로트러스트’란, 사용자에게 완전한 접근을 허가하지만, 업무를 수행하는데 필요한 최소한의 접근만 허가해 디바이스가 침해 당해도 피해를 최소한으로 줄일 수 있다는 개념이다.

지난 12월 15일 고승범 금융위원장은 금융플랫폼 기업, 금융회사, 유관기관과 간담회를 개최하고 금융플랫폼 활성화 등 향후 디지털 혁신금융 발전방향에 대해 논의하는 자리에서 “신기술 발달·적용을 고려한 접근매체·망분리 규제개선”을 적극 검토중이라고 전했다.

고 위원장은 이 자리에서 “사이버 보안에 제로트러스트 개념을 도입해 인증 절차와 권한은 업무와 책임에 따라 적절히 부여하고 암호화, 실시간 보안분석·탐지를 강화하겠다”고 밝혔다.

금융당국의 이같은 전향적 분위기는 앞서 나온 금융회사의 아우성에 덧붙여 미국 쪽 움직임이 크게 한몫 한 것으로 풀이된다.

작년 미국 조바이든 대통령은 ‘국가사이버보안 개선에 관한 행정명령(2021년 5월 12일)’ 내용 중에 새로운 개념의 네트워크 통제 기술 ‘제로트러스트(ZTNA) 아키텍처’ 등의 사용을 권장한 바 있다.

행정명령 내용 중 ‘제3절 연방 정부의 사이버 보안 현대화’에서 바이든 대통령은 최근 역동적이고 정교해지고 있는 사이버 위협 환경에 대응하기 위한 국가 사이버 보안 현대화 방법 중의 하나로 ‘제로트러스트 아키텍처’의 강력한 추진을 제안한 것. 

미 당국의 이같은 움직임에, 구글 등 IT기업들도 동참해 인터넷상 VPN의 취약점들을 원천적으로 제거될 수 있는 기반 마련을 위해 노력 중이다. 

2020년 기준, 미국은 이 ‘제로트로스트’를 구현하는 가장 최신 기술로 SDP(Software Defined Perimeter)의 구성을 채택하고 지지한다고 덧붙였다.

지난 2020년부터 국내 확산중인 SDP 기술은, 인증과 데이터 통로를 분리하해 공격 대상인 서버가 스텔스되고 허가된 접근자 외에는 원천적으로 접근이 불가능 한 방식을 말한다.<그림 ‘SDP 기술-VPN 비교’ 참조>

▲ 그림 ‘SDP 기술-VPN 비교’.(출처 : 엠엘소프트 제공)

보안업계 한 관계자는 “국내에서 지난 20여년간 지속돼 온 VPN 기반 사이버보안의 패러다임을 국제적 수준으로 올리기 위해, 특정 기술이 명시돼 새로운 기술의 발전을 막고 있는 경직된 보안관련 규정 및 가이드의 정비는 물론, 혁신기술 및 개념에 대해 관련 기관 및 기술 전문가 그룹의 협업을 통한 검증 체계 마련 및 점진적 적용이 용이하도록 제도적인 기반 조성이 필요하다”고 강조했다.

<김동기 기자>kdk@bikorea.net