핀테크는 전 세계적으로 각광 받는 기술임에도 불구하고, 최근 개발자 유치에 애를 먹으면서 정부규제에 원성이 크다. 금융분야의 물리적 망분리 규제로 인해 수많은 개발자들이 전자금융업계에서 일하기를 꺼리기 때문이다. 물리적 망분리는 업무망과 비업무망으로 분리해 모든 하드웨어 자원을 각각의 망에 따라 추가로 두어 사용토록 하는 것을 말한다. 국내의 망분리 규제는 디도스 등 다양한 사이버 공격에 대한 해답으로 제시돼 지자체, 공공기관을 거쳐 민간부문까지 확산됐다.
특히 민간 중에서도 금융기업은 전자금융감독규정에 따라 업무용PC의 인터넷이 차단돼야 하고 시스템 운영·개발·보안용 PC는 물리적으로 분리돼야 한다. 고객정보에 직접 접속하지 않는 개발자임에도 불구하고 인터넷 접속이 곤란해 개발 환경의 필수요소인 오픈소스, API 등 라이브러리 활용이 어렵다.
그러나 망분리에도 불구하고 2010년 스턱스넷 악성코드가 이란의 핵 시설을 공격했고, 2014년에는 한국수력원자력이, 2016년에는 국방부가 해킹당했다. 특정 기술에 편향돼 규제방식을 정해서는 안 되는 이유다. 물리적 망분리가 아무리 뛰어난 보안기술이라 할지라도 법으로 특정 기술을 강제하는 것은 오히려 해당 기술에 경도돼 보안 취약성을 초래할 수 있다. 급변하는 기술 환경에 법이 잘 적응해 규범력을 유지할 수 있도록 기술적으로 중립적인 법을 만들어야 한다는 ‘기술중립성 원칙’은 이러한 기술과 법의 관계를 잘 반영하고 있다.
입법에 있어 기술중립성 원칙을 준수해야 하는 이유는 우선 특정 기술에 편향해 법을 만들면 기술 발전에 따라 해당 법이 규범력을 상실하기 때문이다. 또 특정한 기술에 편향된 입법은 채택된 기술의 개발자와 제공자에게 이익을 주며 채택되지 않은 기술을 개발한 자나 이러한 기술을 이용해 서비스를 제공하는 제공자를 차별해 평등의 원칙에 반하고, 시장을 편향적으로 이끌어 궁극적으로 기술 혁신을 저해한다. 기술중립성 원칙에 위배된 대표적 사례가 ‘공인인증서’다. 공인인증에 적용될 특정 기술을 강제함으로서 전자서명인증시장의 경쟁력을 저하시키며 시민의 불편함을 가중시켰고, 결국 폐지돼 인증역사의 뒤안길로 사라졌다.
금융기업에 대한 물리적 망분리 규정 역시 기술중립성 원칙에 기반해 재검토 돼야 한다. 해외 금융·보안당국에서는 민간에 일괄적으로 망분리라는 특정 기술방식을 의무화한 사례가 거의 없다. 망분리 채택 여부 및 범위 설정은 기업 자율에 맡기되 보안과 관련된 적정한 조치를 불이행해 사고가 발생한 경우 집단소송과 징벌적 손해배상으로 혹독한 대가를 치르도록 하고 있다.
또한 이러한 물리적 망분리 정책은 재택근무가 일상화된 현재의 상황에서도 적절치 못하다. 코로나19 등 상시적 감염병 위기 상황에서 재택근무는 더 이상 선택의 문제가 아니다. 외부에서 업무망에 접근할 수 없는 망분리 규제는 근로 비친화적이며 노동의 효율화에도 역행한다. 이를 인정해 지난해 금융위원회가 일반 직원의 사내업무망 시스템에만 원격접속을 허용하고 최근 개발업무 망분리 규제 역시 단계적으로 합리화 하겠다는 소식은 환영할 만하다. 망분리는 정보보안을 위한 기술방식 중 하나일 뿐이다. 정부는 혁신적 보안기술이 지속적으로 개발될 수 있는 터전을 마련해야하며 특정 기술방식을 강제하는 것은 지양해야할 것이다.
김현경 서울과기대 IT정책전문대학원 교수
<ⓒ경제를 보는 눈, 세계를 보는 창 아시아경제(www.asiae.co.kr) 무단전재 배포금지>