[넋두리 5] 9. 망분리 이야기

이상과 현실은 다르다

기업이나 기관에서 침해사고로 인해 내부정보(기밀정보나 고객정보)가 유출되면 흔히 나오는 얘기 중 하나가 '망분리가 되어 있음에도 정보가 유출되었다'는 표현이다.

우리나라는 세계적으로도 드물게 법으로 망분리를 강요하는 국가이다. 금융회사나 대기업들의 경우 법적 강제성에 따라 외부와 연결되는 인터넷망과 내부 업무를 수행하는 업무망을 분리해서 사용하고 있다. 망을 분리함으로써 외부 해커의 침해로부터 내부자료와 업무환경을 안전하게 지키도록 하자는 것이 망분리 도입의 취지였다.

하지만 망분리 정책은 도입 당시부터 여러 논쟁거리를 양산한 화젯거리였다. 망분리를 통한 강력한 보안 효과에도 불구하고 전문가들에게는 도입에 따른 부작용 및 문제점들이 명확하게 보였기 때문이다. 직원 개인에게 두 대의 PC가 필요한 환경에 따른 업무 효율성 저하, 망분리를 위한 높은 도입 및 운영 비용, 망분리로 인해 발생하게 될 복잡한 시스템 관리 등이 대표적이다. 최근의 동향을 보면 망분리가 클라우드와 AI 기술과 같은 신기술의 도입을 가로막는 제약으로 작용하고 있기도 하다.

보안의 입장에서 바라본 우리네 망분리는 참으로 이상하다. 망분리가 도입된 지 20여 년이 다 되어가지만 사실 기술적으로 제대로 된 망분리는 본 적이 없는 것이 현실이다. 보안을 위해 망을 분리해 놓고서는 업무적 필요성이라는 이유로 인터넷망과 업무망 사이의 연결 고리를 만들도록 허용하고 있기 때문이다.

그 결과 우리나라는 법으로 망을 분리하라고 요구하면서도 망연계설루션이라는 특이한 제품을 보유한 나라이기도하다. 따라서, 대부분의 기업이나 기관의 망분리는 기술적 관점에서 보면 반쪽짜리 망분리에 불과하다. 그 말인즉슨 망분리로 인한 보안의 효과가 애초 기대했던 것보다 상당히 낮음을 뜻한다.

게다가 업무망의 USB 사용을 허가하거나 특정 PC의 경우 예외적 인터넷 접속을 허용해 사실상 망분리의 효과를 스스로 무용지물로 만들기도 한다. 즉, 반드시 어딘가에는 정보가 새어나갈 수 있는 이어지는 통로가 있는 것이다.

이래서야 아무리 큰 예산을 들여 강력한 보안 시스템을 구축하다고 해도 사용자의 실수나 관리상의 작은 취약점 하나로도 보안 구멍이 발생할 수밖에 없다. 이것이 망분리가 되어 있음에도 지속적으로 유출사고가 발생하는 이유이다.

혹자는 말한다. 그래도 망분리를 하지 않은 것보다는 망을 분리한 것이 훨씬 낮지 않겠냐고 말이다. 그러나 기업의 입장에서는 대규모로 투입된 예산과 망분리로 촉발된 그 많은 비효율성들과 비례해서 과연 보안에 있어 그만큼의 기대효과를 거두었는지가 중요하다. 투자 대비 효과 말이다. 현재와 같은 망분리 정책으로는 해커에 의한 침해사고를 예방하지 못한다는 것이 그동안의 침해사고들을 통해 증명되었다. 망분리를 하고 이를 유지하느라 돈은 돈대로 들어가고, 해커의 침해시도를 막는 것에도 실패해서 정보는 유출되고 있다.

현재의 망분리를 개선하기 위한 다양한 대안들이 논의되고 있다. 그러나 이 과정에서 이론적이고 기술적인 부분에만 치중해서 논의들이 이루어져서는 안 된다. 자칫 기존 망분리에서 겪은 문제점들을 다시 재탕하게 만드는 탁상행정에 불과한 결과로 귀결되기 십상이다.

기업이나 기관이 개선된 망분리 제도를 도입하게 될 시 겪게 될 예산의 문제, 업무에 미치는 영향들, 기존 시스템들과 연계 시 발생가능한 상황들, AI나 클라우드와 같은 신기술과의 효율적 연계 가능성, 해외 판매 가능성 등 다양한 관점에서 검토가 이루어져야 한다. 그리고 정책의 구조가 단순해야 한다.

가장 효과적이고 강력한 보안대책은 단순하고 명료한 정책임을 잊어서는 안 된다. 지금의 망분리처럼 복잡도가 높은 정책은 필연적으로 실수를 유발하고 취약점을 만들어 보안의 효과를 떨어뜨린다. 이를 명심해서 앞으로의 수십 년 동안 기업과 기관들이 품고 가야 할 망분리 정책이 나와야 할 것이다. 같은 실수를 반복하게 된다면 그때는 더 이상 실수가 아니다. 그것은 무능함이다.