[디지털데일리 김보민기자] 클라우드는 지난 20여년간 글로벌 정보기술(IT) 환경의 판도를 뒤집어 놨다. '설치'가 우선이었던 기존 IT 환경은 이제 클라우드로 유연하게 운영이 가능해졌고, 서비스형소프트웨어(SaaS) 형태로 원하는 IT 제품을 적용하고 조합하는 것 또한 당연해졌다. 개인은 물론, 기업 업무환경에서도 클라우드는 빼놓을 수 없는 필수 도구로 떠올랐다.

향후 20년의 판도를 뒤집을 또다른 기술은 무엇일까. IT 업계에서는 인공지능(AI) 기술 활용이 다채로워질 것으로 보고 있다. 공상과학(SF) 소설에서 자주 보이던 AI는 이제 생성형 서비스 형태로 일상생활에 침투했고, 추후에는 반복되거나 고도화된 작업을 돕는 AI 에이전트가 흔해질 것으로 전망되고 있다. IT 환경의 판도가 또 한 번 대대적으로 뒤집힐 수 있다는 관측이 나오는 이유다.

변화가 빨라지고 있지만, 국내 공공과 금융 산업은 좀처럼 흐름에 올라타지 못했다. 클라우드와 AI 기술을 도입해 업무 환경을 고도화하고, 고객 서비스를 개선하려 해도 획일적인 망분리 환경이 장애물처럼 작동하면서 이를 도입하기가 쉽지 않았기 때문이다. '물리적 대(vs.) 논리적 망분리'에 대한 갑론을박이 이어진 이유도 여기서 찾을 수 있다.

망분리는 외부 인터넷망을 타고 들어오는 불법적인 접근과 내부 정보 유출 가능성을 차단하기 위해 업무망과 외부 인터넷망을 분리하는 조치를 의미한다. 공공은 2006년, 금융은 2013년부터 망분리 체계를 유지해왔다. 그 결과 2017년 전 세계를 강타한 '워너크라이(WannaCry)' 랜섬웨어 공격에도 국내 피해가 미미했고, 전문가들은 망분리 정책 효과라는 평가를 내렸다.

그러나 클라우드와 AI 시대가 도래하면서, 이러한 '자찬'을 거두고 망환경에 새 판도가 필요하다는 목소리가 커지는 분위기다. 주요국은 10년 전부터 획일적 망분리 환경을 개선해, 클라우드와 AI 활용이 용이하도록 하고 있다. 주로 각 기관이 다루는 정보를 위험 가능성에 따라 등급으로 나누거나, 지침 및 표준을 통해 보안 체계를 강화하는 방식이다.

대표적으로 영국은 2014년 정부보안분류정책(GSCP)를 통해 정보를 ▲공식(Official) ▲기밀(Secret) ▲최고기밀(Top Secret) 등 세가지 등급으로 분류하기로 했다. 각 등급은 정보가 노출될 경우 국가안보, 경제 이익, 국제 관계에 미칠 수 있는 피해와 심각성에 따라 결정된다. 각 등급은 서로 다른 수준의 보안 요구사항이 적용된다. 최고기밀 등급에는 적성국 국가배후 해킹조직 수준의 공격에 대한 보호가 필요하고, 기밀은 국가배후 해킹조직 및 고도화된 범죄조직 수준의 공격에 대한 보호가 요구된다. 공식 등급에는 내부자위협, 핵티비즘, 입력 단체, 범죄 조직 수준의 공격에 대한 보호가 필요하다.

미국은 국립표준기술연구소(NIST) 위험관리프레임워크(RMF)를 통해 유연하고 포괄적인 위험 관리가 가능하도록 하고 있다. NIST RMF는 ▲준비 ▲분류 ▲선택 ▲시행 ▲평가 ▲승인 ▲모니터 등 7단계로 나뉜다. 현재 미국뿐만 아니라 캐나다, 호주, 뉴질랜드 등 국가들도 이를 착안해 자국 RMF를 개발하고 있다. 일종의 지침 및 표준이 된 것이다.

그러자 한국도 지난해를 기점으로 망분리 완화에 드라이브를 걸기 시작했다. 금융당국(금융위원회·금융감독원)은 지난해 8월 '금융분야 망분리 개선 로드맵'을 발표하며, 현 기준으로 12년 전부터 유지해온 금융권 망분리 체제를 개선하겠다고 밝혔다. 그간 망분리로 인해 연구·개발(R&D)과 신기술 활용에 애로사항이 발생하고 있다는 의견을 착안해 올해 단계별 대책을 추진하고 있다. 대표적으로 샌드박스를 통해 규제 애로를 해소하고, 생성형 AI 활용은 물론 클라우드 이용 확대, R&D 분야 망분리 개선을 추진 중이다. 샌드박스 성과가 검증된 이후에는 규정 개정 등 제도화가 추진된다.

공공은 국가정보원 주도로 다층보안체계(MLS)를 진화시킨 국가망보안체계(N²SF·N2SF)가 지난해 9월 CSK 행사를 통해 공식화됐다. 영국처럼 정보에 C·S·O 등급 및 보안정책을 적용하는 방식으로, 올해 7월 정식 가이드라인과 함께 시행이 될 예정이다. 보안 관계자에 따르면, 올 초 공개된 해당 로드맵은 이상 없이 7월에 맞춰 추진되고 있다.

다만 일각에서는 망분리 보안 체제가 자리를 잡기 위해서는 실증이 필요하다는 의견이 나온다. 현재까지는 망개선에 대한 이론적 개념이 수립됐고 주요국 추진 방향을 착안하는 데 집중됐다면, 실제 이를 적용했을 때 예상할 수 있는 결과 및 애로사항을 점쳐볼 만한 사례가 필요해질 것이라는 취지다.

망분리 완화로 공공 및 공공 분야에서 새 먹거리를 찾고 있는 IT 및 보안업게에서도 유사한 목소리가 나오고 있다. 국내 보안업계 관계자는 "현장에서는 새 보안 체계가 도입되면 클라우드보안인증(CSAP)과 같은 기존 보안 제도가 무용지물이 될 수 있다는 의견과, 추가적으로 부담을 주는 것이 아니냐는 의견이 공존한다"며 "선도사업을 통해 미비점을 확인하거나 보완 사항을 반영해 현장에 공유할 필요가 커질 것"이라고 말했다.