[뉴스토마토 김하늬기자] 올초 3.20사태 등 금융사의 연이은 해킹 위협에 대응하기 위한 보안강화의 일환으로 제기된 금융권의 `망분리` 문제가 시간이 흐르면서 '힘빠진' 모양새다.
내·외부망이 얽혀 있어 해킹을 통해 정보 유출이 쉬운 금융사의 약점을 해결하기 위한 방안으로 제시된 '망분리 의무화' 기간이 늦춰지면서 금융권의 사업 추진 속도가 더뎌진 것.
25일 금융권과 IT업계에 따르면 금융당국은 지난 9월 금융전산 망분리 가이드라인 발표를 통해 전산센터는 내년 말까지, 은행은 2015년 말, 금융기업은 2016년 말까지 망분리 의무화를 하도록 했다.
망분리는 내부사원이 사용하는 업무망과 외부망(인터넷) 자체를 분리해 운영하는 방식이다.
실제로 그동안 금융당국과 업계는 개인정보와 정보 유출을 원천적으로 차단하기 위해 기업의 내부업무망과 외부인터넷망 분리가 시급하다는 입장을 취했다.
금융전산 사고가 주로 인터넷을 통해 내부시스템에 접근이 가능한 운영단말기 등이 악성코드에 감염돼 정보유출과 자료파괴를 초래하는 해킹 공격의 경로로 이용됐기 때문이다.
하지만 금융당국이 내놓은 망분리 가이드라인을 살펴보면 전산센터에 대해서는 내년 말까지 내부업무망과 외부인터넷망을 원천적으로 차단하는 물리적 망분리를 의무화하기로 했다.
또 은행의 본점과 영업점은 2015년 말, 그외 금융기업은 2016년 말까지 단계적으로 추진한다는 방침이다. 즉 앞으로 3년 후가 지나야 금융권의 망분리가 완전히 도입되는 것.
이에 IT업계 관계자는 "지금까지 정부는 해킹사고가 난 후에만 보여주기식 대책마련 제스처를 취해왔다"며 "또 사고시간이 흐르면서 의무화 도입이 예상보다 늦어진 것 같다"고 말했다.
특히 망분리 도입이 예산적으로도 큰 부담인 만큼 의무화 기간이 늦어질수록 금융업계도 보안구축이 지연될 가능성이 크기 때문이다.
하지만 금융당국 관계자는 "그동안 금융사는 망분리가 강력한 보안 수단이라는 인식이 있었지만 돈이 많이 들어 그동안 못해왔다"며 "하지만 최근 사고들 때문에 대책 마련에 적극적"이라고 말했다.
한편 보안강화 정책 방향이 맞고, 어느 정도의 규제가 필요함은 인식하지만 이런 의무화가 도리어 업계에서 보안의 최저 노선을 지키는데만 이용하는데 그칠 수 있다는 지적도 있다.
IT업계 다른 관계자는 "사실 정부가 규정이나 권고를 두게 되면 기업이 충분히 더 큰 보안을 강화할 수 있는 역량이 되더라도 최소 마지노선만 지키려고 할 수 있다"고 말했다.
망분리 뿐만 아니라 다른 대응책을 통해 금융권 방어가 가능한 제2, 제3의 대안이 차단될 수 있다는 설명이다.
이에 금융당국 관계자는 "정부에서 원칙만 지켜주고, 자율적으로 가는 방향이 맞다"며 "하지만 어려운 부분이 많고, 무엇보다 보안에 대한 책임과 준비에 대한 인식이 기업도 정부도 부족한 것 같아 시간이 많이 필요할 것 같다"고 토로했다.
한편 신한은행, 기업은행 등 일부 은행은 사고 이후 망분리 사업에 집중하고 있다. 하지만 의무화 유예기간이 길어진 만큼 금융권은 검토하고 있거나 추진 일정이 미지수인 금융사가 대다수인 실정이다.
(사진자료=뉴스토마토)