[LAW & JUSTICE] 요즘 HOT한 IT (4)
낡은 망분리 정책에서 탈피,
초연결 사회에 대비해야
※ 이 글은 법조매거진 <LAW & JUSTICE> 9월호에 실린 글입니다 ※
진부한 표현이지만 세상은 초연결(Hyper-Connection) 사회로 진입했다. 디지털 플랫폼 위에서 사람끼리, 사물끼리, 혹은 상호 교차하며 거미줄처럼 촘촘히 연결되었다. 데이터 기반 경제의 ‘개방’과 ‘공유’ 정신이 빚어낸 결과다.
그러나 이 트렌드에 역주행하는 일이 IT 강국 한국에서 벌어지고 있다. 중앙부처와 공공기관 얘기다. 예를 들어 서울 출장에 나선 부처 공무원들은 세종시 청사를 나서는 순간 업무망에 접근할 수 없다. 몇몇 원거리 출장소에 가지 않고선 정부 메일을 열어볼 길이 없다. 급할 때는 KTX 열차 안에서 웹메일이나 카톡을 이용해 첨부파일을 보내야 한다. 보안을 이유로 정부가 ‘물리적 망분리’(Physical Network Separation)를 한 때문인데, 이로 인한 업무 불편을 되레 보안에 취약한 방식으로 해결하고 있는 셈이다. 이런 역설과 모순은 지난 수년간 규제개혁의 이름으로 계속 지적됐지만 논의는 더 이상의 진전 없이 답보 상태다.
물리적 망분리는 말 그대로 내부망과 외부망(인터넷)을 완전히 떼 놓는 것이다. 둘이 맞닿는 접점을 없앰으로써 해킹에 의한 정보유출을 원천 차단한다는 논리다. 국가정보원이 ‘국가정보보안 기본지침’(2007)에 망분리 지침을 명시한 이후 모든 국가기관에 거의 예외없이 적용되는 규정이다.
금융기관도 물리적 망분리의 그늘 아래 있다. 규제 당국은 악성코드 감염과 APT (Advanced Persistent Threat) 공격 등 외부 해킹에 가장 효과적으로 방어할 수 있는 장치가 망분리라고 말한다. 최근 몇 년새 보안 사고가 잇따르자 국내 기업들도 덩달아 외부 인터넷 연결 네트워크와 사내망(intranet)을 물리적으로 분리하는 추세다.
과연 물리적 망분리가 보안을 위한 최선의 선택일까. 전문가들의 생각은 좀 다르다. 검색해보면 ‘에어 갭(air gap)’을 무력화하는 기술들이 이미 공개돼 있다. 유선랜(이더넷) 뿐 아니라 Wifi가 연결되지 않은 상태에서도 가까운 거리에 있는 다른 시스템 입력 내용을 모니터링하는 수준까지 왔다. 유사 해킹 기술이 인터넷에 지천으로 떠돌아 다닌다. 관리자 PC만 점령하면 외부와 차단된 내부망을 얼마든지 헤집고 들어갈 수 있다는 뜻이다.
또 과거 국내 금융사들의 여러 정보유출 사고가 망분리 상태에서 발생했다는 점도 주목해야 한다. 업무 PC의 관리 소홀에 따른 바이러스 감염 가능성은 물리적 망분리에 대한 맹신을 뒤흔들기에 충분하다.
고려대 정보보호대학원에서 2015년에 나온 ‘금융회사 망분리 정책의 효과성 연구’ 논문도 이 같은 현실을 지적하고 있다. 이 논문은 망분리 효과를 무력화할 수 있는 보안위협 유형을 다음과 같은 3가지로 분류했다.
(1) 망과 망 사이의 자료 전송 시스템을 통한 악성코드의 유입
(2) 보조저장 매체 (USB) 등 다양한 외부접점을 통한 업무망의 악성코드 감염
(3) 망분리 정책 예외 구간에서의 인터넷 접속을 통한 업무망의 악성코드 감염
과거 한수원 사태에서 보듯이 내부망을 관리하는 외부업체의 부실한 시스템과 도덕적 해이가 화를 부르기도 한다. 이 논문은 “물리적 망분리만을 통한 내부 정보 유출, 악성코드 방지는 어려우며, 추가적으로 정보 유출 방지를 위한 솔루션의 도입 또는 보호 방안을 마련해야 한다”고 지적하고 있다.
물리적 망분리는 비용 측면에서 봐도 정말 비싼 방어 방법이다. 단순하게 표현하면 모든 인프라 시설을 두 배로 늘려야 하므로 두 배의 비용이 든다. 외부용 서버와 내부용 서버를 이중화해야 하고 게이트웨이를 비롯한 네트워크 설비를 증설해야 한다. 소프트웨어의 라이선스 비용 역시 증가한다. 물론 이 과정에서 이득을 보는 IT 전문 업체들도 있으므로 이 논쟁 뒤에는 밥그릇을 둘러싼 긴장관계가 형성돼 있다.
한가지 분명한 사실은 망분리 정책으로 인한 사회적 비용이 너무 막대하다는 것이다. 지금보다 앞으로가 더 문제다. 빅데이터, IoT, 클라우드컴퓨팅, 인공지능에 이르기까지 이 모든 최신 혁신 기술은 데이터를 활용해서 얻어진 것이고, 그 전제는 ‘연결’이기 때문이다. 연결 없이는 빅데이터도 인공지능도 있을 수 없다.
미국과 유럽의 선진국들은 초연결사회의 도래에 발맞춰 국가적 자원을 관련 정책에 집중하고 있다. 이들 국가는 가상화를 통한 ‘논리적 망분리’로 국가시스템을 해킹으로부터 적절히 보호하고 있으며 아주 예외적인 시설에만 물리적 망분리 정책을 시행하고 있다. 이런 정책에 힘입어 일반에 공개한 공공 데이터 비율이 70~90%에 이른다. 반면 우리나라는 10%에도 못 미치는 실정이다.
초연결 사회를 떠받치는 기초는 클라우드다. 전 세계 클라우드 기술은 이미 최고 수준의 보안 환경을 구축할 만큼 발전했다. 물리적 망분리 정책의 이유가 국가 보안, 고객정보 보호였다면 이 목적을 가장 잘 실현할 수 있는 대안(ex. 블록체인 기술 적용)을 눈여겨보고 수용할 때다. 이제 그런 시대가 되었다.