[사설]망분리, 보안과 혁신 다 잡는 계기 돼야

금융위원회가 은행 3곳, 증권사 3곳, 보험사 2곳, 카드사 1곳 등 9개 금융회사를 대상으로 보안 목적에 한해 망분리 해제를 허용하기로 했다. 미토스 사례가 상징하듯 AI가 공격 수단이 되는 시대에 보안 패러다임을 바꾸기 위한 조치라는 점에서 의미가 작지 않다.

망분리는 내부 업무망과 외부 인터넷망을 물리적으로 분리해 외부 침입 경로를 원천 차단하겠다는 발상에서 출발했다. 2011년 농협 전산망 마비 사태와 2013년 3·20 사이버테러처럼 금융·방송사를 동시에 마비시킨 공격 이후 공공·금융 부문에 도입됐다.

하지만 외부 협력업체·외주 개발사 등을 통해 악성코드가 들어오거나 내부자 계정 탈취·우회망을 통한 공격이 잦아지면서 망분리의 효용성에 의문이 제기됐다. 최신 클라우드·AI 기반 보안 기술을 제대로 활용하기 어렵다는 점에서 디지털 전환과 혁신의 걸림돌이라는 지적도 이어졌다.

금융사들은 망분리 때문에 개발·테스트가 비효율적이고 클라우드나 SaaS, 챗GPT 같은 생성형 AI를 업무에 활용하기 어려워 글로벌 금융사 대비 생산성과 서비스 속도가 떨어진다는 불만이 컸다. 첨단 보안 솔루션을 충분히 도입하지 못해 오히려 고도화된 공격에 취약해질 수 있다는 문제의식도 있었다.

변화된 IT 환경을 고려해 국가정보원이 지난 4월 국가 사이버보안 기본지침을 손질하며 데이터 중요도에 따라 보안수준을 달리하는 국가 망 보안 체계로 전환하기로 했다. 이에 맞춰 금융위도 망분리 규제를 단계적으로 완화하겠다는 로드맵을 내놓았다. 자율성을 주되 금융사의 책임과 보안 투자 부담을 더 무겁게 묻는 방향이다.

이 흐름에 기폭제가 된 것이 미국 앤트로픽의 고성능 AI 모델 '미토스'다. 취약점을 사실상 '실시간'에 가깝게 찾아내는 미토스가 등장하자 "AI가 국가와 금융 시스템을 해킹하는 시대"에 대한 우려가 급격히 커졌고 "AI의 공격은 AI로 막게 하자"는 논리가 힘을 얻었다.

이제 망분리 자체는 더 이상 쟁점이 아니다. 위험도에 따라 필요한 만큼만 망을 열고, 대신 AI 기반 모의해킹·위협 탐지 등 보안을 고도화하면서 동시에 혁신을 도모해야 한다. 관건은 자율에 걸맞은 책임과 보안 기준을 얼마나 꼼꼼하게 세우고 이행하게 만드느냐다.