[스트레이트뉴스 이제항 선임기자] 금융보안은 금융시장의 신뢰와 직결되므로, 보안정책 수립에 신중을 기하여야 할 것이나, 보안성 확보와 기술개발의 효율성 사이의 균형점 을 모색할 필요가 있다.

국회입법조사처(처장 김만흠)는 4일, 금융부문 망분리 규제 개선을 중심으로 ‘디지털 금융혁신 관련 입법·정책과제’를 주제로 한 ‘NARS 현안분석’을 통해 이같이 밝히며, 현재 안전한 디지털금융 생태계 확립을 위한 명확한 보안원칙과 기준이 ‘전자금융거래법’ 상 존재하지 않아 발생하는 문제점을 지적하면서 개선방안을 제시했다. 

해킹 및 사이버 공격을 국가적 차원에서 예방하고 보안사고의 피해를 최소화하기 위하여 2006년 국가사이버안전전략회의에서 국가기관 업무 전산망과 인터넷 분리 방침이 최초로 보고됐다.

2007년에는 국무총리실, 통일부에서 망분리 시범사업을 추진하였으며, 2008년~2009년경에 정부 부처를 중심으로 망분리가 본격적으로 확산되었다.

2011년에는 주요 정부기관 및 민간업체 등 40개의 웹사이트에 대규모 분산서비스거부 공격(Distributed Denial of Service, DDoS)이 발생해 변종 악성코드가 유포되는 등 보안사고가 발생했고, 이에 따라 2012년 8월 17일 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령’에 민간영역의 망분리 조치 의무가 명시됐다.
 
그리고 2013년에 농협, 신한은행, 제주은행 등의 전산망이 악성코드에 감염되어 상당수의 컴퓨터가 마비됐고 정보가 유출 또는 파괴되는 사고가 발생하면서 금융위원회는 ‘금융전산 보안 강화 종합대책’을 발표했고, ‘전자금융감독규정(금융위원회 고시)’이 개정돼 금융부분에 망분리 제도가 도입됐다.

하지만 우리나라의 보안정책 중 특히 망분리 규제는 금융부문의 개발자들로부터 비판을 받아 왔다.

금융보안은 금융시장의 신뢰와 직결되며, 보안사고가 발생할 경우 막대한 경제적 피해가 야기될 수 있으므로, 보안 정책을 수립함에 있어서 신중을 기해야 할 것이다. 그러나 과도한 보안 규제로 인해 개발자들이 개발 업무를 원활히 수행할 수 없게 된다면, 금융회사와 전자금융업자의 생산성과 효율성이 저하되고 결국 4차 산업혁명 시대의 기술 혁신에 뒤처질 우려가 있다. 

금융위원회는 지난 2월 9일 ‘기업의 리스크관리 능력, 고객정보 분리 여부, 업무의 성격 등에 따라 망분리 규제를 합리적으로 적용하는 방안을 마련하겠다고 해서 개발환경에 친화적인 긍정적인 변화가 예상된다. 

현재 안전한 디지털금융 생태계 확립을 위한 명확한 보안원칙과 기준이 ‘전자금융거래법’ 상 존재하지 않으며, 기존 망분리 규제 하에서는 데이터와 분석도구가 분리돼 데이터 활용에 비효율적이라는 점, 개발 속도의 저하로 인건비가 증가하고 인재 유출이 발생한다는 점 등이 문제점으로 지적되고 있다.

이에 국회입법조사처는 “망분리 규제 개선을 위해 ‘전자금융거래법’ 개정을 할 필요가 있다”면서 “금융보안의 원칙 정립 및 책임성을 강화하고, 보안정책을 데이터 중심으로 전환하는 방안을 강구해야 한다” 고 제안했다.

그러면서, 업무 비효율에 따른 규제 개선의 시급성을 고려해 혁신금융서비스 지정을 적극 활용하는 방안, 개발망에 대해 자격을 갖춘 기업에 대해 제한적으로 물리적 망분리 규제를 완화하되 보안성·위험성 심사, 보고를 강화하는 방안 등을 제시했다.

국회입법조사처는 아울러, “금융당국의 보안 관련 전문성 부족 등으로 인해 실질적인 규제개선이 어려울 수 있다”며 “ 외부 보안전문가로 구성된 심의기구로서 ‘금융보안 전문위원회’를 금융위원회 내에 설치해 △금융보안 정책의 개선 △ 금융보안 관련 감독규정의 개정 △물리적 망분리의 예외 인정 여부 등을 신속하고 합리적으로 결정하게 하는 방안도 필요하다”고 주문했다.