스타트업얼라이언스(이사장 김도현)는 스타트업이 겪는 규제의 쟁점과 각 이해당사자의 입장 등을 짚어보는 보고서인 ‘이슈 미니 써머리’의 1권을 발표했다. 첫 번째 보고서에는 핀테크 기업의 망분리 규제 이슈가 담겼다.
스타트업 생태계가 발전하기 위해서 풀어야 할 숙제로 규제 완화가 꼽힌 것은 한두 해의 일이 아니다. 촘촘한 포지티브 규제로 인해 혁신적인 서비스일수록 합법의 영역에 들어오지 못하고 내쳐지기 일쑤다. 2019년 6월 아산나눔재단, 코리아스타트업포럼, 구글코리아와 스타트업얼라이언스가 함께 낸 ‘스타트업코리아’ 보고서에 따르면 세계 100대 스타트업 가운데 13곳은 한국에서 사업을 시작할 수 없었고 44곳은 조건부로만 가능했다. 규제 해소라는 원론에는 동의해도, 법, 기술, 정책 등이 얽혀 있어 해결이 용이하지 않은 상황이다.
이번 이슈 미리 써머리는 한 가지 규제 이슈를 집중적으로 살펴보고, 향후 방향성까지 제시하는 내용을 담았다. ‘쉽게 보는 이슈’ 부분에서는 삽화, 표, Q&A를 통해 이슈를 간단히 살펴볼 수 있고, ‘자세히 보는 이슈’ 부분에서는 이슈의 쟁점, 이슈의 발전 경과, 이해당사자별 입장, 해외의 현황 등을 자세히 살펴볼 수 있다. 학계의 감수를 받아 논의의 전문성을 높이고 향후 논의 방향성까지 제시했다.
첫 번째 보고서의 주제인 ‘핀테크 기업의 망분리 규제’는 그동안 산업 현장과 괴리된 규제로 지적당해 왔다. 망분리 규제에 대한 개정은 테크핀 보안 패러다임의 시작점으로 매우 중요하다. 해당 규제는 오픈소스, 클라우드, 스마트워크 등의 사용을 어렵게 하며, ‘내부업무용 망’이라는 모호한 규제 적용 범위로 ‘걸면 걸리는 법’이 될 수 있어 테크핀 기업들에 부담이다. 보안전문가들 역시 ‘망분리 규제’로 대표되는 ‘도메인 중심의 보안정책은 도입 당시에는 적합했을지 모르나 4차산업혁명 시대에 부적합하다고 지적하며, 효율성과 보안성 제고를 위해 ‘데이터 중심의 보안정책’ 도입이 필요하다고 말했다. 해외에서는 기업이 ‘망분리’의 도입 여부와 범위를 자체적으로 설정하며, 유출 사고 발생 시 기업이 책임을 지는 ‘사후규제’ 방식을 채택하는 것이 일반적이다.
최근 금융당국 역시 코로나19 여파로 금융회사 직원이 재택근무를 할 수 있도록 일시적으로 망분리 규제를 완화했다. 금융당국은 그간 망분리 규제 도입 이후 보안 사고가 줄었다는 것을 이유로 망분리 규제를 고수했다. 하지만 이번 비상상황 하에서 금융회사의 업무 마비를 막기 위해 ‘비조치의견서’를 통해 망분리 규제를 완화하는 선제적 조치를 취했다고 발표했다. 향후에도 이번과 같은 비상상황, 근무환경 변화 등에 금융회사가 유연하게 대응할 수 있도록 망분리 규제 등을 합리화하는 방안에 대해서도 검토해 나갈 예정이다. 스타트업을 비롯해 관련 업계에서는 금융위의 이번 결정을 환영하며, 이번 결정이 규제 합리화의 계기가 되길 바란다는 입장이다,
이슈 미니 써머리 vol 1. ‘핀테크 기업의 망분리’ 요약
신기술 도입도 막고, 지키기도 어렵고… 글로벌 표준과 역행하는 핀테크 망분리 규제
o 스타트업 입장에서 현재 망분리 규정의 가장 큰 어려움은 실질적으로 오픈소스, 클라우드, 스마트워크 등 신기술 활용을 막아 업무 효율을 떨어뜨린다는 점
- -개발자에게 물리적 망분리를 의무로 적용, 오픈소스 활용이 실질적으로 불가
- -실제 고객 데이터를 취급하지 않고 가상의 데이터로 개발을 하는 경우에는 정보유출 위험이 없음에도 실 데이터, 운영 서버 취급 환경과 동일하게 일괄적으로 망분리 적용
- -클라우드, 스마트워크 등의 경우 ‘비조치의견서’를 통해 일부 허용한 사례가 있으나, 규제가 변경되지 않는 한 원칙적으로 불가, 빠르게 변화하는 스타트업 문화와 유리
o ‘내부업무용 망’이라는 모호한 규제 적용범위 역시 규제 준수, 보안성 강화의 난점으로 작용
- -핀테크 기업 역시 보안이 특히 중요한 금융이라는 분야에서 ’망분리’는 강력한 보안 수단임을 알지만, 현재의 모호한 적용범위로 인해 ‘걸면 걸리는 규제’가 될 수 있다는 점이 부담
- -‘내부업무용 망’을 최대한 보수적으로 해석할 경우 업무를 위해 사용하는 모든 단말에 망분리를 적용해야 하나, 인터넷이 필수인 현재 업무 환경에서는 현실성이 없음
- -반대로, 해외 표준에 따라 기업이 자체적으로 데이터 분류 기준과 정책을 세워 준수한다면 업무의 효율성과 보안성이 한층 강화될 수 있으나 현재 규정상으로는 위법의 여지가 있음
- -이에 핀테크 업계에서는 ‘개인정보를 취급하는 단말’ 등 데이터 수준의 현실적인 규제 적용범위를 제시하는 정보통신망법 방식으로 규제를 완화할 것을 대안으로 제시한 바 있음
o 현재의 망분리 규제는 기업에 권한과 책임을 주는 글로벌 보안 표준과도 역행
- -미국 FFIEC, 호주 ACSC 등 국가기관이 금융분야 등 민간기업을 대상으로 배포한 가이드라인에서는 망분리 도입을 강제하지 않으며, 적용 범위를 지정하지 않음
- -각 회사마다 전사의 데이터를 파악해 중요도를 나누고 통제하는 섬세한 보안 전략이 필요한데, 이를 일괄적인 규제로 풀어내기는 어렵기 때문인 것으로 해석
o 해외 민간 표준에서는 오히려 ‘망분리 만능론’을 경계하는 움직임
- -비자, 마스터카드 등 글로벌 카드사들이 만든 민간표준인 PCI-DSS의 망분할 가이드북에는 ‘(망분리와 같은 취지의 기술인) 망분할은 효과적인 보안 수단이지만, 전사적 보안 수단을 대체하는 만능해결사가 아니다’는 문구
- -기술의 변화가 가속화되는 가운데, 기업이 망분리라는 특정 기술에 의존할 경우 오히려 보안 위험도가 증가할 수 있음을 명확히 경고한 것으로 해석
o 현재 금융당국은 망분리 규제 적용 이후 보안사고가 감소한 것을 이유로 망분리 규제를 유지해 오고 있으며, 예외적인 상황에만 망분리 규제 임시 완화
- -코로나19 여파로 금융회사 ‘비상대책’에 따라 금융회사 직원들의 망분리 예외 인정
- -금융위는 이번과 같은 비상상황, 근무환경 변화 등에 금융회사가 유연하게 대응할 수 있도록 망분리 규제 등을 합리화하는 방안에 대해서도 검토 중이라고 밝힘
o 초연결사회를 대비해 현재의 ‘도메인 중심의 망분리 정책’을 ‘데이터 중심의 망분리 정책’으로 개선해야 함
- -지난 8월에 개최된 망분리 토론회에서도 한 보안전문가는 업무에 인터넷이 한정적으로 쓰이던 시기에는 망분리 규제가 효과적이었지만, 4차산업혁명시대를 대비하는 지금은 재고할 필요성이 있다고 언급
관련 기사
