#외부서 접속 힘든 핀테크 기업 #데이터 공유 힘드니 개발 속도 더뎌 #이번 기회에 규제 완화 

데이터 활용 및 개발이 중요한 핀테크 기업들은 일찍이 망분리 규제 완화 조치에 목소리를 높여왔다. 지금의 '망 분리' 조항이 업무환경을 비효율적으로 만들고 비용도 과도해지는 등 시대에 뒤떨어졌다는 것이다. 코로나19로 금융위원회는 현재 사태를 '불가피'한 예외 사항이라고 한정하고 금융회사 또는 전자금융업자들의 재택근무를 유도했다. 현재 핀테크 기업들은 어떤 상황일까.

◆'망분리'가 뭐지?

망분리는 사이버공격, 정보유출 등을 방지하기 위해 금융회사의 통신회선을 업무용(내부망)과 인터넷용(외부망)으로 분리하는 금융보안 규제를 의미한다. 이는 지난 2011년 농협 해킹사고를 계기로 만들어진 보안 정책이다.  

핀테크 기업들이 규제 완화 목소리를 낸 규정은 전자금융감독규정에서 금융회사 또는 전자금융업자의 해킹 등 방지 대책을 다루는 제15조에 해당되는 내용이다. 관련 규정은 제15조 제1항 제3호와 제5호다. 

우선 제3호는 내부 업무용 시스템를 외부통신망과 분리시키는 내용이다. '내부통신망과 연결된 내부 업무용시스템은 인터넷(무선통신망 포함) 등 외부통신망과 분리하거나 차단 및 접속 금지하도록 했다. 이를 대개 '논리적 망분리'라고 한다. 

제5호는 데이터를 실제 운영하거나 활용해 개발하는 컴퓨터를 외부통신망과 분리시키는 내용이다. '전산실 내에 위치한 정보처리시스템과 해당 정보처리시스템의 운영, 개발, 보안 목적으로 직접 접속하는 단말기에 대해서는 인터넷 등 외부통신망으로부터 물리적으로 분리'하도록 했다. 이를 업계에서는 '물리적 망분리'라고 한다. 

결국 내부 업무용과 정보처리시스템을 운영하거나 개발하는 업무용 등의 망이 인터넷으로 접속할 수 없도록 돼 있는 것이다. 

지난달 금융당국은 코로나19 대응의 일환으로 재택근무를 진행하는 점을 고려해, 이번 사태를 '망분리 예외' 상황으로 인정했다. 금융위원회 관계자는 "이는 망분리 예외를 허용할 수 있다는 규정에 따른 것"이라며 "망분리를 한시적으로 완화한다는 측면은 아니"라고 설명했다. 

◆핀테크 스타트업 "효율성 떨어지는 규제" 

핀테크 스타트업들이 망분리 규제로 인해 가장 불편을 호소하는 부분은 '업무 효율성'을 떨어트린다는 것이다. 내부 업무용과 인터넷 망이 분리돼 있어, 클라우드 기반 플랫폼 활용이 어렵고 이메일을 통해 받은 첨부파일도 업무용PC로 보내야 하는 등 부차적인 절차들이 생긴다.

특히 개발자들은 인터넷과 분리해 개발 작업을 해야해서 불편함이 이만저만이 아니다. 예를 들어 소프트웨어 개발 협업 플랫폼인 깃허브를 활용하려 해도, 이는 인터넷 망이 연결돼 있어야 가능하다. 개발자는 인터넷 망을 통해 습득한 소스코드를 일일이 수기 작업하거나, 업무용PC로 전송하기 위해 특정 절차를 거쳐 코드를 옮겨야 한다. 업무 속도가 날 수 없는 환경이라는 것이다. 

스타트업얼라이언스가 최근 발표한 보고서에 따르면 망분리 규제로 인해 업무 생산성이 많게는 50% 이하로 떨어진 사례가 있다. 또 개발속도 저하를 상쇄하기 위해 개발부문 인건비를 더 지출하게 되는 경우도 있다. 실제 최근 핀테크산업협회가 실시한 설문 응답에 따르면 회원사 88% 이상이 망분리 완화 의견에 찬성했고, 그 이유로 업무생산성의 저하와 비용부담이 꼽혔다. 

◆재택 환경은 제각각...근본적 문제 빨리 해결돼야 

금융위는 지난달 금융회사의 재택근무 권고와 함께 외부 원격 접속을 재택근무 시 내부통제절차를 거쳐 가상사설망(VPN) 활용 등 보안대책을 적용토록 함으로써 해킹 및 정보유출 등의 위험을 방지하도록 했다. VPN은 암호화 통신 등으로 인터넷 망을 전용선과 유사하게 활용하는 방식이다. 

실제 이를 활용하는 핀테크 기업들이 있다. 우선 핀크는 코로나 위험 수준을 4단계로 대응 계획을 수립하고, 가상사설망(VPN)을 활용한 재택근무 환경을 조성했다. 현재는 1단계로 우선 대상자에 대해 시행하고 있다. 

카카오페이 또한 VPN 설치 등 내부 통제 절차에 따라 원격근무를 진행하고 있다. 다만 필수적인 보안 및 개발 인력은 기존처럼 정상 출근을 하고 있다. 

이처럼 핀테크 기업들이 VPN을 활용해 재택근무를 시행하고 있지만, 장기적으로 업무 효율 개선을 위해 근본적인 망분리 규제 문제가 해결되기를 기다리고 있다. 한 스타트업 기관 관계자는 "내부 업무용(제3호)로 규정돼 있는 기준도 모호하다"며 "차라리 '개인정보' '금융정보' 등 데이터 단위로 보안 정책을 적용하는 것이 더 효율적"이라고 강조했다. 또 빠르게 변하는 현업 환경을 반영하지 못하는 현 '사전규제' 방식이 아닌, 최신 보안 기술을 자율적으로 적용하고 사고 발생 시 강력한 책임을 지는 사후규제 방식도 필요하다는 목소리도 있다.

문정은 기자 moon@techm.kr