국가 안보를 책임지는 국가정보원마저도 망분리 폐지를 추진할 정도로 대한민국의 보안 패러다임이 바뀌고 있다. 금융당국도 대세에 따라 망분리 규제 전면 완화에 나섰다. 정작 중소 금융사와 핀테크엔 언감생심이라는 지적이 나온다.
29일 금융당국에 따르면 금융위원회는 다음 달부터 망분리 규제 긴급 완화를 위한 비조치의견서 발급 신청을 받는다. 다음 달 1회차를 시작으로 오는 4분기까지 총 3회에 걸쳐 금융사의 신청을 받고 비조치의견서를 발부한다.
보안 목적으로 AI(인공지능) 활용을 원하는 금융사가 신청하면 금융위는 이를 검토하고 비조치의견서를 발부할 예정이다. 이와 별개로 고도의 보안 역량과 AI 활용 능력을 갖춘 금융사에는 망분리 규제를 아예 전면적으로 해제하는 방안도 추진한다.
망분리는 업무용 내부망과 외부 인터넷망을 물리적·논리적으로 분리해 외부 침입을 차단하는 보안 방식이다. 최근에는 보안의 초점이 '망분리'에서 '데이터의 안전한 관리'로 옮겨가는 추세다. 또 '미토스'로 대표되는 AI 해킹 공격이 새로운 위협으로 부상하면서 망분리의 한계가 더 부각되고 있다. 금융위가 망분리 전면 폐지를 검토하는 것도 'AI는 AI로 방어하기'를 구현하기 위해서다.
이에 국가정보원마저도 최근 망분리 폐지를 추진하고 데이터 관리 중심의 다층보안체계(MLS) 전환을 선언하기도 했다.
MLS는 데이터를 중요도별로 나눠 다르게 지키는 보안 방식이다. 모든 자료를 금고에 넣는 게 아니라 극비 문서·내부 문서·공개 문서를 구분하고 보관 장소와 접근 권한을 다르게 두는 방식으로 이해할 수 있다.
하지만 업권 특성상 AI 활용이 절실한 국내 핀테크들은 정작 금융당국의 규제 완화 조치를 체감하기 어렵다고 호소한다.
금융사가 긴급 완화 조치를 받으려면 총자산 10조원 이상, 상시 종업원 1000명 이상 등 기준을 충족해야 한다. 국내에서 위 조건을 충족하는 금융사는 현재 49개 사에 불과하다. 카카오페이, 네이버페이, 토스 등 대형 금융 핀테크조차도 위 조건을 충족하지 못해 망분리 긴급 완화 조치를 받을 수 없다. 업계에서 "미토스가 핀테크는 피해서 공격하느냐"는 볼멘소리가 나오는 이유다.
사내 업무에서 여전히 데이터가 연결되지 못하는 부분도 문제다. 현재 망분리 일부 완화로 금융사는 내부에서 서비스형 소프트웨어(SaaS)를 제한적으로 사용할 수 있게 됐다. 그러나 보안을 이유로 금융사 서버와 SaaS 간 직접적인 데이터 송수신이나 서로 다른 SaaS 간 연동은 원천 차단돼 있다. 이처럼 데이터 간 연결이 계속 제한된다면 이후 보안용 AI 소프트웨어를 도입하고도 실제 기능은 절반도 쓰지 못할 것이라는 게 업계 설명이다.
업계는 망분리를 넘어 궁극적으로 '금융판 MLS' 체계를 도입해야 한다고 주장한다.
핀테크 업계 관계자는 "대형사 위주 선별적 완화에 머물지 않고 단계적으로 전체 금융권이 상생할 수 있는 포용적인 로드맵이 제시돼야 한다"며 "데이터 중요도를 판단할 수 있는 가이드라인을 제공하는 등 '금융판 MLS'를 구축한다면 크고 작은 금융사 모두 AI를 잘 활용할 수 있을 것"이라고 말했다.