美는 망 분리 '기업 자율'…사고 발생땐 강력한 처벌

해외에서는 업무망과 내부망이라는 이분법적인 구분 대신 데이터 중요도에 따라 망을 분류한다. 민간의 자율적인 방침에 맡기는 대신 개인정보 유출 등의 사고가 일어날 경우 강력한 사후 규제가 뒤따른다.

해외에서는 데이터 종류에 따라 여러 개의 망을 설치하는 ‘망 세분화’를 하는 경우가 많다. 금융회사에서 개인정보를 다루지 않는 직무라면 업무용 PC에서도 인터넷에 접속할 수 있다. 개인정보 등 기밀 데이터에 접속하기 위해서만 별도의 PC나 망에 접속한다. 업무용 PC에서 인터넷 접속이 가능하기 때문에 업무를 볼 때 온라인상의 오픈소스를 이용하거나 클라우드 또는 분석 도구를 활용하기 훨씬 유리하다.

망 분리가 당국의 강제 사항도 아니다. 미국은 망 분리 도입 여부와 적용 범위를 기업의 자율에 맡긴다. 미국의 금융감독원 격인 연방금융기관 검사협의회(FFIEC)는 망 분리를 개인의 금융 데이터와 같이 민감한 정보를 담고 있는 시스템에 적용할 수 있는 선택지 중 하나로 제시할 뿐이다. 호주에서도 망 분리는 의무사항이 아니다. 호주의 보안당국인 사이버보안센터(ACSC)는 중요 데이터를 보호하기 위해 기업이 ‘선택’할 수 있는 수단 중 하나로 망 분리를 제시한다. 국내 금융당국처럼 ‘인터넷 차단’과 관련된 망 분리 규제를 강제하지 않는다.

민간의 자율에 맡기지만 사고가 발생할 경우 적용되는 사후 규제는 강력하다. 미국에서는 법정 분쟁이 생길 경우 금융당국이 제시한 표준의 준수 여부를 엄격하게 따진다. 기업이 정보보호에 대해 최대의 노력을 기울이지 않았다는 판결이 나오면 징벌적 손해배상 제도 등을 통해 기업이 회생 불가능할 정도의 사후 규제가 따른다. 마이데이터 생태계를 처음 연 유럽연합(EU)의 개인정보보호법(GDPR)도 보안 사고에 대한 사후 규제를 명시하고 있다. EU는 기업이 개인정보를 유출하는 등 GDPR을 위반할 경우 기업 전체 매출의 4%를 과징금으로 부과한다.

국내에서도 망 분리 규제를 현실화하는 대신 기업이 자체적으로 보안을 철저하게 할 수밖에 없는 환경을 구축하는 것이 더욱 중요하다는 목소리가 나온다. 김승주 고려대 정보보호대학원 교수는 “국내 망 분리는 비싼 귀금속과 트레이닝복을 한 옷장에 넣어두고 매번 자물쇠로 잠그는 격”이라며 “외국에서는 귀금속만 별도 금고에 넣어두고 자주 쓰는 옷장은 열어두는 것”이라고 말했다.

송영찬 기자 0full@hankyung.com