[디지털투데이 강진규 기자] 코로나19 사태로 금융당국이 망분리 규제를 완화한 가운데 망분리와 관련된 기술, 제품을 금융회사들이 자유롭게 선택할 수 있다는 입장을 재확인했다. 다만 기술, 제품 등 취약점 확인 등 보안 조치는 철저히 준수해야 한다는 지적이다.

4일 금융권에 따르면 최근 금융회사들의 망분리 기술과 관련해 금융감독원이 유연한 입장을 전달했다.

한 업체는 기존 서버 가상화 방식의 논리적 망분리를 PC 가상화 방식의 망분리 솔루션인 클라이언트 기반 망분리(CBC)로 전환하는 방안을 추진하고 있다며 해당 솔루션이 망분리 규정에 준수하는지 여부를 문의했다.

지난달 금감원은 비조치의견서를 통해 “금융회사는 내부통신망과 연결된 내부 업무용 시스템을 인터넷 등 외부통신망과 분리·차단 및 접속금지를 해야 한다”며 “이때 분리, 차단 및 접속금지 방식은 별도로 정한 바 없이 회사가 자율적으로 선택할 수 있다”고 밝혔다.

특정 기술, 제품을 사용할 수 없거나, 또 사용해야 한다는 규정이 없음으로 자율적으로 판단하라는 것이다.

다만 금감원은 CBC 기술의 취약점 유무, 망 구성 시 접점발생 여부, 서버가상화(SBC) 망분리 솔루션 대비 보안수준 등에 대해서는 면밀한 검토가 필요하다고 단서를 달았다.

또 다른 업체도 재택근무용으로 퍼블릭 클라우드에 데스크톱 가상화(VDI)를 구축할 경우 클라우드 내에 원격접속 전용 VDI를 사내망에 속하는 업무용 단말기로 볼 수 있는지 여부를 문의했다.

금감원은 올해 1월 1일 전자금융감독규정시행세칙이 개정‧시행돼 금융회사 임직원의 업무용 단말기에서 전용 회선과 동등한 보안수준을 갖춘 통신망을 이용해 내부 업무용시스템으로 원격접속이 가능해졌다고 설명했다.

금감원은 “내부망에 접근하는 방식은 회사가 자유롭게 선택할 수 있으며 VDI를 통한 간접접속 방식으로 인터넷 클라우드 기반의 VDI서비스 활용도 가능하다”고 밝혔다. 재택근무를 위한 내부망 접근 솔루션, 기술을 금융회사가 자유롭게 선택할 수 있다는 것이다.

망분리는 핵심 시스템망에 접속하는 PC와 인터넷망에 접속하는 PC를 분리해 운영하는 개념이다. 금융권을 대상으로 한 해킹이 늘면서 금융당국은 주요 금융회사에 망분리를 의무화했다. 하지만 2020년 초 코로나19가 확산되면서 금융당국은 한시적으로 금융회사들의 망분리 정책을 완화했다. 금융회사 직원들의 재택근무, 비대면 근무 등을 위해 망분리 예외를 적용해야 했던 것이다.

이후 코로나19가 장기화 되면서 금융당국은 보안수준을 유지하는 것을 조건으로 망분리 규정의 예외를 허용했다. 이에 따라 많은 금융회사들이 가상화 기술, 솔루션 등을 활용해 재택근무가 가능한 논리적 망분리를 추진하고 있다. 이 과정에서 금융회사들이 IT기술, 솔루션 사용이 가능한지 여부를 금융당국에 문의하고 있는 것이다.

앞서 설명한 바와 같이 금융당국의 입장은 높은 보안수준을 유지할 수 있으면 망분리와 관련된 기술과 제품을 금융회사들이 자유롭게 선택할 수 있다는 것이다. 이는 금융당국이 특정 IT기업의 기술이나 제품을 선호하는 모습을 보이거나 배제할 수 없기 때문이라는 해석이다.

그러나 금융회사들은 여전히 조심스러운 입장이다. 한 금융회사 관계자는 “자유롭게 선택하고 대신 보안수준을 유지하라는 것이 망분리 관련 기술, 제품 도입에 따른 책임을 금융회사가 져야 한다는 의미로도 볼 수 있다”며 “금융당국의 방침에도 불구하고 이와 유사한 문의는 계속 이어질 것으로 보인다”고 말했다.