지란지교시큐리티

지란지교시큐리티 이상준 연구소장. [ⓒ 지란지교시큐리티]

최근 금융보안원이 발표한 망분리 예외 환경에 대한 보안 해설서는 금융권이 디지털 전환 속도를 높이는 한편, 새로운 형태의 보안 위협에 직면하고 있음을 보여준다.

특히 연구·개발(R&D) 환경에서 외부 인터넷 연결이 가능해졌다는 사실은 기술혁신의 기회를 넓히는 동시에, 전례 없는 보안 관리의 시험대가 될 것으로 보인다.

망분리는 그간 보안의 핵심 원칙으로 기능해왔다. 외부와 내부를 기술적으로 격리함으로써, 외부 공격의 직접 유입을 차단하는 ‘구조적 안전장치’였다.
그러나 규제 완화로 이 벽이 부분적으로 열리면서, 새로운 질문이 등장한다. 기술 혁신과 개방을 감행한 이후, 그 안전판은 과연 어디에 있어야 하는가?

답은 ‘콘텐츠’다. 외부와 연결된다는 것은 곧 다양한 콘텐츠(코드, 이미지, 문서, 데이터 샘플 등)가 조직 내부로 유입된다는 뜻이다. 이들은 표면상으로는 무해해 보이지만, 그 내부에 악성 요소가 은밀히 숨어 있는 경우가 적지 않다. 악성코드를 단순 실행파일이 아닌 문서, 이미지, 심지어 메타데이터 형태로 삽입하는 공격은 이미 흔한 수법이 됐다.

이런 현실에서 필요한 것은 거창한 보안 장비나 감시 체계가 아니라, 기본적인 ‘콘텐츠 위생’이다.
콘텐츠를 내부에 반입하기 전, 그 속을 한 번 더 들여다보고, 필요하다면 비실행화하거나 재구성하여 안전성을 확보하는 일이다. 마치 우리가 외부 음식 재료를 그대로 섭취하지 않고 씻고 손질하듯, 디지털 환경에서도 ‘세척’ 과정은 반드시 필요하다.

해외에서는 이를 'Content Disarm & Reconstruction(콘텐츠 무해화)'로 개념화하고 있으나, 용어가 중요한 것은 아니다. 중요한 것은 디지털 협업과 개발 환경에서, 콘텐츠를 어떻게 다룰 것인가에 대한 철학적 기준을 재정립해야 할 시점이라는 것이다.

망분리 완화는 방향성으로서 옳다. 그러나 속도는 조절되어야 하고, 보안은 그 전제조건이다. 금융권이 진정한 의미의 디지털 신뢰를 구축하려면, 기술과 사람 사이에 콘텐츠의 위생 개념이 새롭게 정착돼야 한다. 그것은 규제의 의무이기 전에, 책임 있는 조직문화의 일부여야 할것이다.