■종합쇼핑몰ㆍ오픈마켓ㆍ소셜커머스ㆍ유통ㆍ판매ㆍ운송ㆍ건강ㆍ의료 등 기업들 거의 안돼
■일반기업들, 개인정보유출 사건 발생 시 회사 존폐위기 인식 가져야

[아이티비즈] 망 분리는 정부가 공공기관의 내부정보를 보호하기 위해 시작되었고, 2012년 정보통신망법 개정에 이어 2013년 금융권의 전산 보안 강화 대책을 발표하면서 망 분리는 공공기관에 이어 금융권도 의무화 대상이 됐다. 그러나 계속 이어지는 보안 사고들로 인해 개인정보를 다량으로 갖고 있는 금융권은 물론, 일반기업까지 망 분리를 확대해야 한다는 방향으로 가닥이 잡혔다.

국가정보원의 산업기술 유출 적발 실적(2005~2011)을 보면 해마다 증가되고 있는 추세로 5년(2007~2011) 동안 유출 사고 유형을 살펴보면 기술 유출 주체는 전직 직원 62%, 현직 직원 17% 등 직원에 의한 유출이 가장 많았고, 유출 동기는 개인영리 61%, 금전유혹 20% 등 경제적 요인이 가장 많았다. 옥션, GS칼텍스, 신세계몰, 저축은행, SK커뮤니케이션즈, 넥슨 등 일반기업들이 2005년부터 2011년까지 주요 정보 유출 사례를 보면 무려 국민 1인당 2번 털린 것으로 집계됐다.

「정보통신망 이용촉진 및 정보보호 등에 관한 법률」시행령에 망 분리 제도가 신설됨에 따라 정보통신법에 적용을 받는 일반 사업자들도 망 분리 의무화 대상(2013년 2월 18일부터 시행)이 됐다. 일반 사업자는 ▲전년도말 기준 직전 3개월간 저장 관리되고 있는 개인정보가 100만명 이상이거나, ▲정보통신서비스 부문 전년도 매출액이 100억원 이상일 경우엔 망 분리 대상자가 된다.

이처럼 의무화 대상이 늘어난 것은 해킹이나 자료유출을 막을 수 있는 안전한 업무 환경이 필요해졌기 때문이다. 더구나 정보유출을 막기 위한 법률, 지침, 규제 등을 개정 또는 제정하는 상황이어서 이에 대한 대처는 더욱 확대될 것으로 예상된다.

그렇지만 공공기관을 비롯해 금융권과 일반기업에서는 망 분리 시스템 도입을 좋아하진 않는 실정이다. 상당한 투자비용과 보안 시스템이 늘어날 때마다 같이 늘어나는 유지관리 등의 부가적 업무 때문이다. 더구나 일반기업의 경우 망 분리가 업무에 시너지를 주기보다는 제약사항이 더 많을 것이라는 인식이 강해 도입을 망설이는 경우가 대부분이다.

◆ 공공기관·금융권이 대다수…일반기업은 거의 없어

망 분리 시스템 구축은 아직까지 공공기관과 금융권에서 이뤄지고 있다고 해도 과언이 아니다. 일반기업의 경우 종합쇼핑몰, 오픈마켓, 소셜커머스, 유통, 판매, 운송, 건강, 의학 등 여러 분야의 기업들을 주요 대상으로 볼 수 있지만 몇 곳을 제외하면 거의 구축사례를 찾아볼 수 없다.

일반기업의 망 분리는 VM웨어, 시트릭스, 마이크로소프트 등 해외 업체보다는 국내 업체가 참여해 구축한 경우가 많다. 국내 주요 망 분리 업체는 굿모닝아이텍, 틸론, 백업코리아, 에스지에이, 안랩, 컴트루테크놀로지, 제이씨현, 미라지웍스 등이 있다.

A업체는 지난해 초 삼성전자 중국 시안공장에 망 분리 프로젝트를 추진한 바 있고, 2013년 3월부터 7월까지 한 쇼핑몰의 망 분리 시스템을 구축한 바 있다. 이 쇼핑몰의 경우 고객 정보를 취급하는 PC 사용자 및 주요 개발자를 대상으로 업무망에 대한 가상화를 통해 인증된 사용자만 접근할 수 있도록 한 사례다. 기존에 사용하던 PC에 가상 영역을 논리적으로 만들어 내부망과 인터넷망을 동시에 사용할 수 있도록 구축했다.

B업체가 밝힌 구축사례를 보면 삼성SDS, 고려제강, SBS콘텐츠허브, 조이시티, 현대홈쇼핑, 현대백화점, 현대HCN, 네이버I&S, 웹젠, 엔씨소프트 등이 있다. C업체는 C&M, 더존 등에 망 분리를 구축했다고 밝혔다.

일반기업 중 현대카드, 현대캐피탈, 현대커머셜, 현대라이프생명보험 등 현대차그룹 금융계열사의 망 분리는 그래도 주목을 받고 있는 사례에 속한다. 현대차그룹 금융계열사는 최근까지 망 분리 작업을 완료한다는 계획 하에 거의 마무리 작업을 진행하고 있는 것으로 알려져 있다. 현대캐피탈은 2011년 고객정보 유출 사태를 겪고 나서 금융계열사를 대상으로 보안을 강화하는 작업을 추진하고 있기 때문이다.

현대차그룹 금융계열사 망 분리 프로젝트는 4곳의 본점과 영업점에 논리적 망 분리 를 하는 데스크톱가상화(VDI) 방식이며 250억 원 규모에 이른다. 금융계열사 전산센터는 물리적 망 분리를 마친 상태다. 금융권은 올해 안으로 망 분리를 마쳐야 하는 상황에서 현대차 금융계열사가 서둘러 망 분리 작업을 추진함에 따라 주위에서도 관심을 갖고 지켜보고 있다.

◆ “경제성ㆍ인프라 운용 부담감 등 장애요인 극복해야”

망 분리 관련 업계와 관계자들의 설명을 종합하면 일반기업의 망 분리 시스템 구축이 저조한 이유는 크게 경제성과 기존 시스템의 운용 과정에서 문제가 생길 수 있다는 인식이 크게 작용하고 있는 것으로 볼 수 있다.

망 분리를 진행한 일반기업은 현대차그룹, SK, 삼성전자, 하이닉스 등 대부분 대기업들이다. 또 이들 기업들도 전사 차원의 망 분리보다는 주요 부서를 중심으로 추진했다는 게 특징이다.

전사적 망 분리를 쉽게 결심하지 못하는 것은 비용 부담이 그만큼 크기 때문이다. 이 같은 상황의 밑바닥에는 보안은 개선할 수 있지만 투자 대비 수익이 크지 않다는 ‘현실적 인식’이 작용하고 있다. 상황에 따라 달라지지만, 망 분리를 하는 데 있어 대체적으로 드는 소요 비용은 1인당 약 100만원 수준이다. 단말기, 네트워크, 보안 솔루션 등 추가해야 할 게 많아서다.

망 분리 업체 관계자는 “망 분리는 하드웨어뿐만 아니라 다양한 보안 솔루션이 있어서 단말기와 솔루션까지 감당해야 하는데, 일반기업들은 이 같은 비용을 감당하기에는 심적으로나 경제적으로 큰 부담을 갖고 있어 망 분리를 추진하는 게 쉽지 않은 게 사실”이라고 말했다. 이 관계자는 특히 “망 분리 구축하기 위한 비용을 획기적으로 줄이는 것도 현실적으로 어려움이 많다”며 “회사별로 적용 대상, 범주 등이 모두 다르기 때문에 일반적인 기준을 적용해 비용을 산출하는 것도 쉽지 않다”고 설명했다.

망 분리에 대한 관심과 필요성이 강조되면서 망 연계 솔루션도 함께 주목을 받고 있다. 보안을 위한 필수요소로 자리잡아 가고 있는 망 분리는 대내외간 정보 교류가 일반화된 시대에 반하여 폐쇄된 업무 영역을 만듦으로써 보안 강화가 증대될수록 업무의 효율성은 떨어지는 모순효과가 나타난다. 이를 해결하기 위해 기존에는 보안 USB를 이용하는 방식이 대부분이었다. 그러나 USB 분실, 공용사용, 자료 이동에 따른 악성코드 유입의 위험 등의 우려로 새로운 대안을 찾게 되면서, 망 분리 환경에서 편리하고 안전한 자료 전송을 위한 망 연계 솔루션의 필요성이 강조되었다. 보안성 강화 및 업무 효율성을 동시 강조하기 위해 도입되는 망 연계 솔루션은 앞서 말한 바와 같이 2008년 국가기관 망 분리 사업 진행 후, 2012년 금융권 등에 망 분리 조치가 의무화되면서 현재는 금융기관, 민간기업까지 사업확대가 진행됨에 따라 그 필요성이 더 강조될 전망이다

◆ “경제성·필요성 고민에 앞서 ‘투자’ 개념 인식 필요”

경제적 측면의 투자비용의 문제는 결국 필요성에도 영향을 끼치게 된다. 필요성에 대한 인식과 비용에 대한 인식의 차이가 크기 때문이다. 정부는 망 분리를 적극 권장하고 있지만 강제성이 없는 일반기업 입장에서는 개인정보를 많이 갖고 있는 부서를 대상으로 망 분리를 고려하는 정도다. 그나마 통신사의 경우 다량의 고객정보를 확보하고 있어 자발적인 망 분리를 고민하고 있는 실정이다.

일반기업도 망 분리에 대한 관심은 많다. 특히 망 분리에 대한 논의에서 경제성, 필요성, 운용성, 모호한 기준 등에 대한 이해와 설득이 중요해졌다는 점은 주목해야 할 점이다. 이런 점에서 망 분리를 담당하는 한 업체 관계자의 설명은 유의미한 실마리를 던져준다.

“일반기업도 관심은 많다. 예를 들어 실시간 응답이 필요한 업종의 경우 망 분리를 하게 되면 네트워크 속도 저하, 빠른 응대의 어려움 등을 고려하지 않을 수 없다. 그러다보면 금융권이나 정부기관처럼 망 분리를 추진하기보다는 피해갈 방법을 찾는 게 효과적이라는 생각을 하게 된다. 합당하거나 합리적인 기준을 찾지 못하면 다른 방법으로 규제나 권고에서 벗어나려는 회피 현상이 생기게 된다.”

대기업과 달리 중견기업에서는 이 같은 회피 현상은 더욱 많아질 가능성이 크다. 주민번호처럼 개인정보에 해당하거나 이에 준하는 정보를 이메일 등과 같이 다른 정보로 바꿔 개인정보의 양을 줄이는 방식으로 망 분리를 하지 않아도 되는 조건을 만들게 된다는 것이다.

보안 사고가 끊이지 않고 있는데 망 분리가 만병통치약처럼 작용할 수 있는 것인지, 또 하나의 사후약방문(死後藥方文)은 아닌가 하는 인식이 작용하고 있는 셈이다. 그렇지만 이런 인식은 보안에 대한 무엇이 가장 실질적이고 합리적인 대응 방안인지에 대해 진지하게 고민하지 않을 경우 많이 나오는 입장이다.

글로벌 업체에서 망 분리를 담당하는 한 관계자는 “망 분리는 절대 단순하지 않다”며 “기존 인프라에 대한 점검부터 시작해 업무 유형, 요구하는 사항, 기술적인 문제 등 검토할 게 한두 가지가 아니다”고 말했다. 그는 또 “큰 틀을 정해서 갈 것인지, 특정 이슈에 초점을 둘 것인지 고민해야 한다”며 “가장 좋은 방법을 선택해 가장 좋은 시스템을 구축하는 게 무엇인지를 아는 게 가장 먼저 할 일”이라고 설명했다.

◆ “일반기업들, 회사 여건에 가장 잘 어울리는 망 분리 옷 골라 입어야”

망 분리에 대한 관심은 대부분의 대기업이나 기술정보, 개인정보를 취급하는 부서가 있는 주요 기업들은 나름대로 준비를 하고 있는 것도 사실이다. 문제는 C 레벨과 실무자의 간격(gap)에 있다. 보안 담당 실무자는 필요성을 강조하는 경향이 많지만 CEO, CFO, CIO 등 C 레벨에서는 경제성이 중요한 고려 요건이다. 실질적으로는 이 두 가지 간격에서 오는 차이가 최우선 과제라고 말할 수 있다. 또한 ‘보안은 보험’이라는 인식 때문에 나중에 투자해도 된다는 생각도 망 분리를 쉽게 추진하지 못하게 하는 요인으로 작용하고 있다.

공공기관과 금융권을 제외한 일반기업이 망 분리를 망설이는 이유는 대부분 구축비용의 문제가 가장 큰 이슈이자 이유라는 데에는 큰 이견이 없다. 컴트루테크놀로지가 1년 6개월 전인 2013년 06월 27일 제14회 개인정보보호 및 내부정보유출방지 컨퍼런스(PADCON) 사전등록자를 532명을 대상으로 실시한 설문조사 결과는 흥미롭고 시사하는 바가 크다. 이 설문조사에 따르면 보안 담당자 58%가 가장 고민하는 보안 분야는 ‘망 분리’였다. 그 외 내부정보유출방지(18%), DB보안(13%), PC보호(11%)가 뒤를 이었다. 이 같은 답변을 한 이유는 ‘정보통신망법 개정안에 따른 망 분리 준비’와 ‘외부 침입을 최소화할 수 있는 방안 모색’, ‘망 분리에 대한 지식 부족’을 꼽았다.

최수현 전 금융감독원장은 2013년 9월 24일 여의도 콘래드호텔에서 열린 금융회사 CIO, 학계 및 산업계의 금융IT 전문가 등 25명이 참석한 조찬간담회에서 금융 IT의 발달과 함께 그 역할이 커지고 있는 금융권 IT 및 보안 담당자들의 고충을 위로하고 격려한 바 있다. 최 전 원장은 이 자리에서 금융 산업에 있어서 IT 및 보안에 대한 투자는 일시적 ‘비용’이 아니며 영업 인프라 구축 및 경쟁력 확보를 위한 ‘투자’의 개념으로 이해해 줄 것을 당부하고 금융권 전산 보안사고, 신종 전자금융 사기 피해 지속 발생 등 금융IT 환경 변화에 따른 보안 강화 대책의 필요성을 강조했다.

결국, 일반기업의 망 분리 구축은 C레벨이 ‘비용’ 아닌 ‘투자’ 개념에서 경제성과 필요성을 고민하면서 회사 여건과 가장 잘 어울리는 ‘망 분리 옷’을 골라 입어야 할 때다. 이 옷은 또한 가격, 디자인, 색깔 등 누구에게나 잘 어울리는 다양한 맞춤의상이다. 이제 남은 것은 노력과 실천이다.