이슈 추적
마이데이터에 '망 분리' 포함

업무망과 인터넷망 분리 강제
구축 못하면 사업 첫발도 못떼
非금융사 "대형은행 독점 초래"
핀테크 업체들은 일반 금융회사와 똑같이 전자금융감독규정에 따라 ‘망 분리’ 규제를 적용받는다. 핀테크업계는 업무 망과 인터넷 망을 분리하는 현재의 규제가 개발 효율성을 떨어뜨리고 보안적인 측면에서도 오히려 취약하다고 주장한다.  토스 제공

핀테크 업체들은 일반 금융회사와 똑같이 전자금융감독규정에 따라 ‘망 분리’ 규제를 적용받는다. 핀테크업계는 업무 망과 인터넷 망을 분리하는 현재의 규제가 개발 효율성을 떨어뜨리고 보안적인 측면에서도 오히려 취약하다고 주장한다. 토스 제공

금융당국이 ‘마이데이터 사업’ 허가 요건에 인터넷 PC와 업무용 PC를 따로 관리하도록 강제하는 ‘망 분리’ 규정을 포함시켰다. 다음달 시행되는 마이데이터는 개인 정보를 한곳에 모아 관리하고 맞춤형 서비스를 제공하는 사업이다. 금융당국이 엄격한 망 분리 규제를 사업의 전제 조건으로 내걸면서 대형 은행에 비해 상대적으로 자금과 인력이 부족한 비금융회사와 핀테크 업체에 높은 진입장벽을 만들었다는 지적이 나온다.
IT업계 “대형 금융사만 유리”
지난달 29일 열린 마이데이터 포럼에서 금융감독원 관계자는 “신용정보법 개정안에는 망 분리에 관한 구체적인 조항이 없지만 전자금융업법에 따라 망 분리를 사업자 허가 요건으로 볼 것”이라고 말했다. 망 분리 요건을 갖추지 못한 업체에는 마이데이터 사업 권한을 주지 않겠다는 얘기다.

망 분리는 외부 공격으로부터 내부 자료를 보호하기 위해 업무 망에서 인터넷 망을 분리하는 것을 말한다. 모든 금융회사는 시스템 개발 인력에 대해 인터넷 PC와 내부망 PC를 별도로 두 대 설치하는 ‘물리적 망 분리’ 규제를 적용받는다. 일반 은행 영업점이나 디자인 인력 등 다른 직무도 PC 내부에 가상의 컴퓨터를 구현해 인터넷을 연결하는 ‘논리적 망 분리’ 환경을 반드시 구축해야 한다.
일할 땐 '인터넷 먹통' PC만 써라?…핀테크 "망 분리하다 亡할 판"

마이데이터 사업을 신청한 비금융회사는 비상이 걸렸다. 사업자로 선정되기 위해서는 이달 안에 은행에 버금가는 수준으로 망 분리 환경을 구축해야 하기 때문이다. 지금까지 비금융회사에 적용되던 망 분리 규제는 금융회사에 비해 느슨했다. 100만 건 이상의 개인정보를 보유하고 있거나 전년도 매출이 100억원 이상인 업체에 한해서만 적용돼 왔다. 두 대의 PC를 설치하는 ‘물리적 망 분리’도 강제사항이 아니었다. 핀테크 업체 관계자는 “물리적 망 분리는 비금융회사가 마이데이터 사업에 진출하는 데 커다란 장벽”이라며 “망 분리 환경을 이미 갖춘 대형 금융회사만 사업을 독점하게 된다”고 하소연했다.

금융당국은 마이데이터 사업으로 정보기술(IT)·통신·유통 등 다양한 업계의 이종(異種) 데이터 간 결합을 통한 혁신을 기대했다. 지난 5월 이뤄진 마이데이터 사업자 사전 수요조사에 참여한 116개 업체 가운데 비금융회사와 핀테크 업체는 61개로 전체의 52.5%를 차지했다.
“망 분리하면 인건비 30% 증가”
스타트업들은 망 분리 규제가 핀테크 창업의 큰 장애물이 된다고 한목소리로 지적한다. 갓 창업한 스타트업이라도 ‘핀테크’를 표방하는 순간 엄격한 망 분리 규제를 적용받기 때문이다. 스타트업이 자주 이용하는 오픈소스나 클라우드 서비스를 사용할 수 있는 길도 사실상 막혀버린다. 데이터 분석·개발을 위해 반출입하는 소스코드를 일일이 허가받은 뒤 내부망으로 옮겨야 하기 때문이다. 소요되는 시간과 비용이 상당하다. 민관협력네트워크인 스타트업얼라이언스에 따르면 망 분리 규제는 개발자의 생산성을 50% 감소시키고 인건비는 30% 증가시킨다. 망을 구축하는 데 드는 비용은 25인 사업자 기준 5억원 이상인 것으로 조사됐다.

핀테크업계는 낮은 단계부터라도 망 분리를 완화해달라고 요구한다. 전자금융감독규정 제15조는 물리적 망 분리의 대상을 ‘운영, 개발, 보안 목적 단말기’로 규정하고 있다. 업계는 여기에서 ‘개발’이라도 빼달라고 주장한다. 핵심 개인정보를 다루지 않는 개발 인력만이라도 자유롭게 풀어달라는 것이다.
금융위 “단계적 완화 검토”
금융당국은 망 분리 규제 완화 요구에 여전히 신중한 태도를 유지하고 있다. 개인정보 유출이 대형 사고로 이어지는 금융분야의 특수성 때문이다. 망 분리 규제는 2011년 농협 전산망 마비 사태를 계기로 2013년 모든 금융권에 적용됐다. 은성수 금융위원장은 7일 ‘정보보호의 날 기념 세미나’에 참석해 “망 분리 등 보안 규제를 합리화하는 방안을 단계적으로 검토할 것”이라고 말했다.

학계에서는 데이터 중요도에 따라 망을 분리하는 정책이 필요하다고 강조한다. 김승주 고려대 정보보호대학원 교수는 “데이터 중요도에 따라 일반 업무 자료와 기밀 자료를 구분해야 보안 수준도 올라간다”고 말했다.

■ 망 분리

네트워크 보안 기법의 일종으로 외부의 공격으로부터 내부의 자료를 보호하기 위해 업무용 내부 망과 인터넷 망을 분리하는 것을 말한다. 국내에서는 2006년 중앙 정부 기관을 시작으로 2013년부터 전 금융회사에 망 분리가 강제됐다.

송영찬 기자 0full@hankyung.com

ⓒ 한경닷컴, 무단전재 및 재배포 금지