[기고] 망분리 10년, 이제는 유연한 '사이버보안정책 대전환'이 필요하다

2011년 농협 해킹 사건, 2013년 '3·20 사이버테러' 이후, 우리나라는 세계에서 유례없이 강도 높은 망분리 정책을 밀어붙였다.

공공기관은 물론, 금융기관과 에너지 분야까지 물리적 망분리를 의무화하고 ISMS 등 인증 기준에서도 망분리는 핵심 항목이 되면서 망분리는 "보안 최우선"의 기조를 견지해 왔다. 당시에는 정보 유출의 공포와 기술적 미성숙을 고려하면 불가피한 선택이었다.

그러나 10년도 더 흐른 지금, 디지털 전환의 속도는 보안 규제보다 빠르게 진화하고 있다. 클라우드, 원격근무, AI 기반 업무환경이 확산되면서, 물리적 망분리가 어느새 '혁신의 발목'이라는 이름으로 불리기 시작했다.

박정인 교수

이러한 보안을 도입하면 사고는 나지 않나? 라는 경영진 앞에 보안팀은 한없이 주눅드는 것이 사실이다. 2015~2018년의 경우 국가기반시설, R&D기관, 민간 기업으로 망분리가 확대되며 망연계 솔루션이 함께 보급되었지만 여전히 유연성은 부족했다.

2019년 이후 코로나19와 원격근무 확대, 그리고 클라우드 도입의 가속화로 인해 물리적 망분리에 대한 회의와 예외 요청이 증가했고 2022년 이후 과학기술정보통신부, 행안부는 '논리적 망분리' 및 '예외 적용 가이드라인'을 통해 전환점을 마련하려 노력하고 있다.

기존 망분리 정책은 '보안을 위해 모든 것을 차단한다'는 원칙에 기반했다. 하지만 지금은, 보안을 지키면서도 업무의 민첩성과 혁신을 동시에 추구해야 하는 시대다. 망분리 정책에 대해 모두 동의할 수 없는 이유는 우리가 AI 시대를 맞았기 때문이다.

AI 는 대용량 학습데이터를 외부로부터 받아야 하고 개발과 영업 등 역동성을 높여야 하는 부서들은 글로벌 협업을 위해 SaaS 도구를 활용해야 할 수밖에 없으며 스타트업은 GitHub, Slack 등 클라우드 기반 협업이 절실하기 때문이다.

[서울=뉴스핌] 김학선 기자 = 국내 최대 이커머스 업체 쿠팡에서 3370만건에 달하는 대규모 고객정보 유출 사고가 발생해 후폭풍이 거세지고 있다. 이번 유출에는 이름·전화번호·배송지 주소 등 신상정보가 포함된 것으로 알려져 소비자들 사이에서 2차 피해 우려도 확산되고 있다. 사진은 2일 서울 송파구 쿠팡 본사의 모습. 2025.12.02 [email protected]

그러므로 망분리는 연구·창작·기획 분야 종사자들에게 규제의 이름으로 기능하고 있으며 이제 보안 설계는 상황인지형 보안체계, 즉 AI 기반 침입 탐지, 클라우드 보안 브로커 등 새로운 컨설팅의 세계로 나아가야 한다.

무엇보다도 최근 가장 큰 충격을 준 쿠팡보안사고는 여전히 사이버보안사고라고 해도 물리적, 관리적 보안사고의 전형인 고전적 인간의 유출심리로 인한 보안사고임을 잊지 말아야 한다. 그러므로 무엇보다도 인간의 심리를 살펴보는 사고대응, '일률 규제'에서 '위험 기반'으로 가야 한다.

모든 기관·직무에 똑같은 망분리 강도를 적용하는 것은 의미 없고 민감정보 처리 수준과 업무 특성에 따라 보안 수준을 차등화하고, 자체 위험 평가를 통한 예외 인정이 필요하다.

그만큼 데이터 가치평가가 보안수준을 결정할 중요한 시점이 온 것이다. 그래서 미래의 사이버보안은 정부중심의 방법 제안으로 갈 수 없다.

[서울=뉴스핌] 윤창빈 기자 = 박대준 쿠팡 대표이사가 2일 서울 여의도 국회 과학기술정보방송통신위원회에서 열린 쿠팡 침해사고 관련 현안질의에서 눈을 감고 있다. 2025.12.02 [email protected]

특히 '차단' 중심이 아니라 '감시·추적' 중심으로 일반 범죄와 전쟁 대응방식과 동일하다. 즉, 완벽한 차단이란 존재하지 않는다. AI를 이용하여 보안을 높여야 하는 문서를 구분하고 진위를 구분하며 별도의 보안이 발전할 기회를 소거하는 문제가 아니다.

오히려 사후 추적성과 이상 경우를 감지할 수 있는 감시 가능성을 높이는 방식으로 보안을 재구성해야 하며, 로그 모니터링, 이상행위 탐지 시스템 등 다양한 디지털기술의 발전으로 인간의 긍정적 행동을 지원한 체계를 마련해야 한다.

우리가 일정한 공식인 '망분리 의무화'라는 성공 공식을 겸허히 내려놓고, "그 이후의 보안전략", 즉 '통제하고 추적하며 대응할 수 있는 기술을 전격적으로 지원할 때 정보보안의 미래가 열릴 것이다.

인도 뉴델리에 있는 애플 매장 앞에서 대기 중인 보안요원 [사진=블룸버그통신]

박정인 교수(법학박사)는 대통령 국가지식재산위원회 본위원회 위원, 문체부 저작권보호심의위원회 심의위원, 문체부 여론집중도조사위원회 상임위원, 인터넷주소분과위원회, 웹콘텐츠 활성화위원회 자문위원, 강동구 공직자윤리위원회 심의위원, 경찰청 사이버범죄 강사 등 여러 국가 위원을 역임했다. 공공기관 대상 법령입안강의를 하며, 대학에서 특허법, 저작권법, 산업보안법, 과학기술법, 정보보안법, 디지털증거법, ICT트러스트공학, 일반 산업안전, 중대재해법 등을 강의한다. 한국인터넷진흥원, 한국콘텐츠진흥원, 인텔리콘 메타연구소, 해인예술법연구소, 숙명여대 초빙교수, 단국대 연구교수 등을 역임했다.