망분리 정책은 2000년대 중반부터 정부 및 공공기관의 사이버 보안 강화를 목적으로 도입되어, 2013년 이후 금융권까지 확대 적용되었습니다. 

그러나 현재 한국의 망분리 정책은 모든 시스템을 일률적으로 분리하는 규제로, 최근 AI와 클라우드, 원격근무 등 디지털 전환이 가속화되면서 기존의 획일적 물리적 망분리 정책이 혁신의 장애물로 지적되고 있습니다.

글로벌 트렌드는 데이터 중요도에 따라 망분리 수준을 차등 적용하는 방식이 일반적입니다. 반면, 한국은 모든 시스템에 일률적 분리를 적용해 비효율과 기술 도입의 제약이 부각되어 왔습니다. 이에 따라 정부와 업계는 물리적 망분리에서 벗어나 논리적 망분리, 다층보안체계, 제로 트러스트 등 유연한 보안 모델로의 전환을 본격화하고 있습니다.

이번 글에서는 망분리가 이슈가 된 배경과 주요 정책 및 CSP 동향에 대해 살펴보겠습니다.

망분리의 정의와 유형

망분리는 내부 업무망과 외부 인터넷망을 분리하여 외부의 사이버 위협으로부터 내부 자산을 보호하는 네트워크 보안 기법입니다. 이는 크게 물리적 망분리와 논리적 망분리로 구분됩니다.​

• 물리적 망분리: 업무용 PC와 인터넷용 PC를 별도로 운영하여 네트워크를 완전히 분리하는 방식입니다.​
• 논리적 망분리: 가상화(VM, VDI 등) 기술을 활용하여 하나의 PC에서 내부망과 외부망을 논리적으로 분리하는 방식입니다.​

이러한 망분리 방식은 개인정보 보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 전자금융거래법 등의 법적 근거에 기반하여 시행되고 있습니다 .​

망분리 이슈 부상의 배경

기존의 망분리 정책은 내부망과 외부망을 완전히 분리함으로써 보안성 측면에선 가장 강력한 구조입니다. 이러한 정책은 국가 안보와 직결된 정보의 보호나 스마트팩토리와 같은 폐쇄망 기반의 환경 등에서는 여전히 필요합니다.

그러나 이러한 정책이 클라우드, AI, 데이터 분석 등의 신기술 도입에 제약을 만들어 디지털 전환 속도를 저하시키게 되고, 기업 경쟁력을 약화시킬 수 있습니다.

또한, 별도의 보안정책 운영, 두 개의 네트워크 환경 관리로 인해 관리적 복잡성이 증가하고, 특히, 연구·개발 및 신기술 활용에도 망분리 규제가 장애물로 작용하면서 기존의 망분리 정책이 업무 효율성을 저해하고 있다는 지적이 제기되고 있습니다.

디지털 혁신 저해와 경쟁력 약화

• SaaS, 클라우드 ERP/CRM 등 인터넷 기반 업무 플랫폼이 증가하면서, 폐쇄형 내부망과의 연결이 필수적인 경우가 많아지고 있음 
• 최신 보안 기술(AI 기반 이상행위 탐지, 행위 기반 분석 등)이 물리적 망에서는 통합 어려움 
• 논리적 망 환경에서 SIEM, EDR 등과의 통합 자동화가 상대적으로 용이
• 망분리가 클라우드 기반 디지털 업무와 상충되는 지점 다수 존재
• 신한금융그룹의 AI 사업을 주도하던 자회사 ‘신한AI’가 망분리 이슈로 오픈소스, SaaS, 외부 데이터를 적극적으로 활용할 수가 없어 결국 문을 닫게 된 사례 (출처: 머니투데이)

업무 비효율과 사용자 불만 발생

• 망간 전환 시 복잡한 승인 절차, 느린 연결 속도, 반복 로그인 등으로 사용자 불만 지속 
• 일부 조직에서는 보안을 명분으로 실질적 업무 생산성을 저하시키는 문제 발생 

예외적 허용에 따른 보안 취약점 발생

• 공공기관 기준 ‘의무적 물리적 망분리’ 요구가 아직도 존재하나, 실제 운영은 예외 허용 많고 불완전한 구현이 일반적 
• 기술적 근거보다는 형식적 규정 준수가 우선시되는 문제
• 망분리 환경에서는 종종 파일 전송을 위한 예외적 USB 사용이 허용되며, 이는 악성코드 감염의 대표적 루트 
• 완전한 폐쇄가 어렵고, 예외 허용을 악용하거나 허점을 이용해 보안 취약점 발생

망분리 정책 개선을 위한 주요 동향

다층보안체계(N²SF) 도입

국가정보원은 지난 1월, 기존의 획일적인 망분리 정책을 18년만에 개선하기 위해 ‘다층보안체계(N²SF) 가이드라인’을 발표했습니다. 이 체계는 업무 중요도에 따라 시스템을 ‘기밀(Classified)’, ‘민감(Sensitive)’, ‘공개(Open)’ 등급으로 분류하고, 등급별로 차등적인 보안 통제를 적용하여 보안성과 업무 효율성을 동시에 확보하는 것을 목표로 합니다. 국정원은 올 7월에 정식으로 보안가이드를 배포하고, 시행할 계획이라고 밝혔습니다.

📌관련 글: 국정원, ‘국가 망 보안체계’ 정책 제시…N²SF 가이드라인 발표

금융권 망분리 규제 개선 로드맵 발표

금융위원회는 2024년, 망분리로 인한 업무 비효율과 신기술 활용의 어려움을 해소하기 위해’ 망분리 규제 개선 로드맵’을 발표하였습니다. 이 로드맵은 3단계에 걸쳐 생성형 AI 활용 허용, SaaS 활용도 제고, 연구·개발 분야의 망분리 규제 개선 등을 목표로 하고 있습니다.

📌관련 글: 금융위원회, 금융감독원 ‘금융분야 망분리 개선 로드맵’ 발표

제로 트러스트 보안 모델 도입

​제로 트러스트(Zero Trust) 보안 모델은 기존의 물리적인 분리 방식에서 벗어나 사용자와 기기, 애플리케이션을 개별적으로 신뢰하지 않고 지속적으로 검증하는 데 초점이 맞춰져 있습니다. “절대 신뢰하지 말고 항상 검증하라(Never Trust, Always Verify)”는 원칙을 중심으로 합니다. 제로 트러스트 보안 모델을 통해 엄격한 망분리 없이도 보안성을 유지할 수 있으며, 신기술 적용과 업무 환경 최적화가 가능해집니다.

2023년 7월, 과학기술정보통신부와 한국인터넷진흥원(KISA)이 국내 환경에 적합한 ‘제로트러스트 가이드라인 1.0’을 발표, 2024년 12월에는 단계별 고려사항, 조직의 역할, 로드맵 수립을 위한 구체적인 방법론 등이 포함된 ‘가이드라인 2.0’을 공개하였습니다.

📌관련 글: 과기정통부, 제로 트러스트 가이드라인 2.0 발표

클라우드 서비스 제공업체(CSP)의 망분리 전략

논리적 망분리 중심의 서비스 확대

최근 망분리 정책이 물리적 중심에서 논리적·유연한 방식으로 전환되면서, 클라우드 서비스 제공업체들은 논리적 망분리 중심의 서비스를 확대하고 있습니다. 소프트웨어적으로 서버와 네트워크를 분리해 운영하는 방식을 적용하여 클라우드 환경과 연동이 용이하고 비용·관리 측면에서 효율적입니다.

최근 Google Cloud Platform, AWS, MS Azure가 국내 클라우드 서비스 보안 인증(CSAP)의 ‘하’등급을 획득하면서 공공 망분리 시장에 적극적으로 뛰어들고 있습니다.

맞춤형 존(Zone), ‘G-클라우드’ 운영

국내에서는 공공기관용 ‘G-클라우드’를 통해, 클라우드 환경에서 효율적인 망분리 환경을 지원하고 있습니다. G-클라우드는 클라우드 플랫폼 내에서 논리적 또는 물리적으로 망분리를 제공하여, 보안성을 높이고 보안 정책 준수를 지원합니다. 정부가 표준화한 형태의 망분리 환경을 통해 내부 업무망과 외부 인터넷망을 완전히 구분하여, 업무 자료의 외부 유출 및 외부 위협 유입을 차단합니다.

이와 함께, 정부는 공공기관의 중요도 ‘상’ 등급 시스템을 클라우드 환경에서 구현할 수 있도록, 삼성SDS, KT클라우드, NHN클라우드 등 민간 클라우드 서비스 제공업체(CSP)가 국가정보자원관리원 대구센터 내에 구축한 ‘민관협력형(PPP: Public-Private Partnership) 클라우드 존’을 운영하고 있습니다.

PPP 클라우드 존은 정부의 데이터센터 공간 일부를 민간 기업에 임대하여, 이들이 자체 클라우드 인프라를 구축하고 운영함으로써 공공기관에 클라우드 서비스를 제공하는 방식입니다. 이를 통해 공공기관은 민간의 최신 클라우드 기술을 활용하면서도, 보안성과 안정성을 확보할 수 있습니다. 특히, 이 클라우드 존은 CSAP(Cloud Security Assurance Program) ‘상’ 등급에 준하는 보안 요건을 충족하도록 설계되어, 중요도가 높은 공공 시스템의 클라우드 전환을 지원합니다

티맥스티베로의 ‘Tibero 7’은 현재 삼성SDS, KT클라우드, NHN클라우드 3사의 클라우드 플랫폼에 모두 등록되어, 공공기관의 중요한 시스템에 안정적으로 공급되고 있습니다.

📌관련 글: 티맥스티베로, ‘티베로7’ 삼성 클라우드 플랫폼 등록…공공 클라우드 시장 공략

데이터 보안 서비스와 글로벌 컴플라이언스

CSP 기업들은 국가별 데이터 주권과 컴플라이언스 요구를 맞추기 위해 리전, 지역 별로 데이터센터를 확충하고 있으며, 엣지 클라우드, 시큐어 클라우드, 하이브리드 클라우드 등의 다양한 클라우드 환경을 제공하고 있습니다.

구글, MS, AWS 등 글로벌 CSP는 다중 인증, 세분화된 접근제어, 실시간 모니터링 등 제로 트러스트 기반의 보안 체계를 클라우드 서비스에 내장하여 논리적 망분리를 구현할 수 있도록 돕고 있습니다.

또한, 고객별·업무별로 네트워크를 세분화해 데이터가 서로 섞이지 않도록 하는 데이터 분리(Separation) 전략을 통해 기존의 폐쇄적 망분리 환경에서도 SaaS, AI, 화상회의 등 다양한 클라우드 서비스를 안전하게 활용할 수 있는 솔루션을 제공하고 있습니다.

결론: 망분리 정책의 미래와 기업의 대응 전략

망분리는 여전히 국가와 기업 보안의 핵심 수단이지만, 디지털 전환과 신기술 도입이 가속화되는 현 시점에서는 과거의 획일적 정책이 오히려 혁신을 저해할 수 있습니다. 정부와 업계는 다층보안체계, 제로 트러스트, 논리적 망분리 등 유연하고 효율적인 보안 모델로의 전환을 통해, 보안성과 업무 효율성의 균형을 추구해야 합니다.

향후 망분리 규제는 규제 샌드박스 등 다양한 실험을 통해 단계적으로 개선되고, 민간과 공공이 협력해 최적의 보안체계를 구축하는 방향으로 진화할 것입니다. 기업은 변화하는 정책 환경에 선제적으로 대응해, 신기술 도입과 보안 강화라는 두 마리 토끼를 모두 잡을 수 있는 전략을 마련해야 할 시점입니다.