핀테크 기업과 망 분리 규제, "혁신과 보안의 합의점이 필요"

[IT동아 정연호 기자] 규제가 혁신을 억제할까? 규제는 기업이 안전에 투자하게 하는 등 공익에 기여하며, 기술 혁신을 촉진하기도 한다. 하버드 경영 대학원 마이클 포터 교수가 주장한 바에 따르면, 적절한 환경 규제는 기술을 발전시켜 기업의 생산성을 높인다. 정부가 환경 규제를 할 경우, 기업이 규제에 순응하는데 쓰는 비용을 줄이기 위해서 내부적인 혁신을 하게 된다는 것이다.

다만, 상당수의 기업은 규제를 ‘개혁의 대상’으로 바라본다. 특히 신산업 분야의 기업들은 주로 “규제가 기업의 날개를 꺾는다”고 주장한다. 어느 정도 일리가 있는 말이다. 과유불급(過猶不及), 과한 것은 독이 된다. 하지만, 규제란 무 자르듯 단순하게 필요 유무를 판단할 수 있는 영역이 아니다. 최근 핀테크(Financial[금융]과 Technology[기술]의 합성어로, 금융과 기술을 결합해서 등장한 산업) 업계가 문제시한 ‘망 분리 규제’ 역시 같은 맥락에서 바라볼 필요가 있다.

“구시대의 규제, 이제는 넘어설 때”

망 분리란 사이버 공격과 정보 유출을 막기 위해서 네트워크를 업무용 내부망과 인터넷이 접속되는 외부망으로 분리하는 보안 기법을 뜻한다. 일반적으로 PC 두 대에 인터넷망, 내부망을 개별적으로 연결해서 물리적으로 망을 분리하는 형태다.

중요 정보가 외부 인터넷이 차단된 망 내에서만 유통된다는 점에서 훨씬 안전하며, 이 자료를 다른 망으로 옮기려면 망 연결 프로그램을 활용해야 하므로 기록이 남아 관리에도 적합하다. 다만, 최소 PC 두 대에 연결 프로그램 등의 각종 장비를 갖춰야 한다는 점에서 비싸고, 두 PC를 계속 오가야 한다는 점에서 업무 효율성이 저하된다는 단점이 있다.

2010년대 초반 국내 주요 방송사와 금융사의 전산 망이 마비되고, 많은 컴퓨터에 악성 코드가 감염되는 등 대규모 사이버 공격이 발생한 후로 이러한 망 분리가 법으로 제정됐다. 망을 분리하지 않아서 피해가 더 커졌다는 비판 때문이다. 전자금융감독규정 제 15조에 따라 금융 회사뿐 아니라 핀테크 기업도 망 분리 규제에 적용받는다.

그런데, 핀테크 업체는 “시스템 개발 과정부터 외부망과 내부망을 분리하면, 서비스 개발의 효율성과 속도가 현저하게 떨어진다”고 어려움을 호소하고 있다. 인터넷이 차단됐으므로, 깃허브(Github), 스택 오버플로우(stack over-flow) 등의 오픈 소스 개발자 커뮤니티에서 무료로 개방되는 프로젝트 소스 코드를 활용하기가 어렵기 때문이다.

개발자는 수십 조의 연구 개발비로도 만들지 못했던 소스 코드를 무료로 활용해 새로운 제품과 서비스를 만들고, 이를 이용한 결과물을 공개해 다시 개발자 커뮤니티에 기여한다. 이젠 오픈 소스 코드를 이용하려면 하나씩 수기 작업하거나, 업무용 PC로 전송하기 위해 특정 절차를 거쳐 코드를 옮겨야 한다. 망 분리 환경으로 인해서 스타트업의 주 무기인 속도와 유연성을 뺏기게 된 것이다.

민관협력네트워크인 스타트업얼라이언스의 보고서 ‘이슈 미니 써머리 vol1. 핀테크 기업의 망 분리’에 따르면, 업계는 망 분리 규제가 개발자 생산성을 50% 감소시키고, 개발자 인건비를 30% 증가시킨다고 보고 있다. 망 분리에 필요한 네트워크 장비·PC·보안 시스템·소프트웨어 라이선스 (license)를 마련하는데 그전보다 2배가 넘는 비용이 들어가며, 분리된 망을 연결해 정보 교환을 가능하게 하는 시스템을 도입하는 데만 1억 원에 달하는 비용이 수반된다. 최근 사례를 보면 25명 규모의 스타트업(start-up)이 망 분리를 하는데 지출하는 추가 비용이 5억 원 정도다.

이어 보고서는 “100% 안전한 금고란 없듯, 100% 안전한 사이버 보안 방법도 없다. 2010년 스턱스넷(Stuxnet) 악성 코드가 이란의 핵 시설을 공격했고, 2014년에는 한국수력원자력이, 2016년에는 국방부가 해킹당했다. 망 분리는 하나의 보안 수단일 뿐이며, 다른 보안 요소 중 취약한 부분이 있다면 망 분리가 되어 있어도 공격당할 수 있다”고 분석했다. 물리적으로 차단된 상황이므로 악성코드나 바이러스 유입 가능성이 작아지는 효과가 있을 순 있지만, 전문가들은 망 분리가 보안의 만병통치약이 아니라고 말한다.

핀테크 산업협회에 소속된 허준겸 변호사는 “망 분리 비용이 커지면서, 핀테크 영역에 뛰어드는 스타트업도 줄어들고 있다. 개발 단계에서라도 물리적 망 분리 예외를 둬 숨통을 틔워 줄 필요가 있다.”고 말했다.

이어 그는 “망 분리 방식에서도 보안 사고가 발생할 수 있으니, 차라리 기업이 다양한 보안 방식 중 하나를 선택하는 방식이 낫다는 게 보안 전문가의 공통적인 견해다. 대신 사고가 발생하면 기업에 책임을 강하게 묻는 것이 필요하다. 지금은 오히려 사후에 터진 보안 사고에 대해선 처벌이 무른 편이다. 핀테크 업계는 기존 금융권 대비 보안에 투자하는 비율이 7배나 높은데, 이들에게 신뢰는 매우 중요한 자산이다. 그만큼 보안에 민감할 수밖에 없다”고 덧붙였다.

또한, 중요도를 기준으로 데이터 보안 수준을 결정해야 한다는 의견도 존재한다. 중요한 데이터의 경우엔 폐쇄된 망에만 저장하게 하는 것처럼 높은 보안 수준을 요구하고, 그렇지 않으면 낮은 수준을 적용해야 한다는 것이다. 이렇게 중요도에 따라 금융 정보를 관리하면, 보안성을 해치지 않고 기업의 효율성을 제고할 수 있다.

“규제가 일정 수준의 보안을 보장할 때까지는..”

서강대 기술경영대학원의 정유신 교수는 “보안도 중요하지만 동시에 새로운 산업을 성장시키는 것도 중요하다. 핀테크 스타트업은 대부분 망 분리 시스템을 갖출 여력이 안 되는 경우가 많다. 보안과 성장의 취지를 동시에 살릴 수 있게끔 규제를 개선해야 한다. 기술적으로나 현실적으로 제약이 있을 순 있지만, 공동망을 통해 망을 공유하게끔 하는 것처럼 작은 스타트업이 보안도 갖추면서 성장도 하게 하는 방법을 찾는 게 중요하다”고 말했다.

이어 그는 “보안을 자율적으로 맡기려면 시장에서 어느 정도의 보안 수준이 보장되는 상황이 전제돼야 한다. 그전까지는 관리 당국의 규제가 필요하다. 지금부터 기업에 자율적으로 보안을 맡기면 큰 사고가 발생할 수 있다”고 강조했다.

글/ IT동아 정연호 (hoho@itdonga.com)