금융기관 망분리 의무화 사업이 완료되면서 망분리 시장은 잠시 정체기를 가졌다. 6월 방산업체 망분리 의무화가 있지만, 방산업체들은 비용이 많이 든다는 이유를 들어 강력하게 반발하고 있다. 주요 망분리 기업들은 기존 망분리 방식에 시장성이 없다고 판단하고 클라우드를 접목한 차세대 망분리를 준비하고 있으며, 후발주자들이 가격을 앞세워 시장 질서를 재편하고 있는 상황이다. 망분리와 운명을 같이하는 망연계 시장도 뒤숭숭하다. 실적 악화로 사업을 중단하는가 하면, 기술인력 수급이 안돼 고객지원을 하지 못하는 일도 빈번하다. <편집자>
사이버 안보가 국가안보와 직결되는 중요한 문제로 주목되고 있지만, 가장 많은 공격을 받는 국방관련 기관과 기업들은 정보보안에 매우 취약한 대표적인 산업군으로 꼽히고 있다. 지난해 발생한 군 내부망 해킹사고의 경우, 국방망과 인터넷망이 물리적으로 분리된 환경이지만, 보안 지침을 지키지 않아 군 내부망에 연결된 PC 700대와 인터넷용 PC 2500대 등 3200여 대가 악성코드에 감염됐고, 전시 작전 계획 등 기밀 문서가 유출된 것으로 밝혀졌다.
방산업체의 보안 문제도 심각하기는 마찬가지다. 지난해 LIG넥스원에서는 직원 개인용 컴퓨터 10여대가 스피어피싱 공격을 당해 악성코드에 감염된 것이 발견됐다. 대형상륙함 독도함을 건조한 한진중공업에서 군사기밀 100여건이 유출된 정황이 포착되기도 했으며, SK네트웍스 계열사 등 전산망을 공격해 4만여건에 이르는 자료를 유출한 사실이 확인됐다.
“망분리 비용 보전 안해주면 방산 사업 접겠다”
국방 및 방산업체 보안 위협이 국가안보를 위협하는 상황에 이르게 되자 국방부(방위사업청)은 모든 방산업체는 망분리를 의무적으로 구축해야 한다고 발표했으며, 완료 시기는 6월까지다. 망분리 방식은 국방부 방산업 보안 업무 훈령의 망분리 보안관리 지침을 따로도록 하고 있으며, 물리적 방식의 망분리를 권장한다
방산업체 망분리가 갑자기 시행된 것은 아니며, 2015년 12월 시행된 방산기술보호법에서 방산 기술 보호 체계 구축의 일환으로 요구된 것이다. 지난해 망분리 구축이 권고됐지만, 대기업 계열 업체 소수를 제외하고는 지키지 않았다.
방위산업진흥회에 등록된 방산업체는 100여 곳이며, 대기업 계열사 소수가 망분리를 완료했을 뿐, 대부분 망분리 사업을 진행하고 있지 않다. 방사청에 망분리 사업 수행 계획서를 제출 한 곳까지 합해도 10여개 기업에 지나지 않는다.
방사청은 6월 내에 계획서만이라도 제출할 것을 요구하고 있지만, 방산업체들은 비용을 보전해주지 않으면 따르지 않겠다는 강경한 입장을 취하고 있다. 방산업체는 망분리 사업을 시작하기 전, 제품 인증, 구축 승인 필요 여부 등을 확인할 수 있도록 사업 계획서를 제출하고 기무사에 사전 보안 대책을 검토 받아야 한다.
방사청은 망분리 사업에 사용된 비용은 방산업 계약이 있는 경우에 한해 원가보존 방식으로 보존해 주겠다고 밝혔으며, 국방부는 망분리 의무 기간 내에 완료하지 않으면 방산업체 지정을 취소한다는 강력한 방침도 밝혔다.
그러나 대부분의 방산업체들은 여전히 비용문제를 들어 난색을 표하고 있다. 전체 사업 중 방산업이 차지하는 비중이 얼마 되지 않은 업체에는 실효가 없다. 일부 방산업체는 자사 전체 비즈니스에서 방산업이 차지하는 비중이 매우 적은데, 망분리에 비용을 지불하느 차라리 방산업을 포기하겠다는 극단적인 선언을 하고 있다.
망분리에 필요한 시스템은 망분리 시스템과 망연계 시스템, 이메일·이메일 보안 시스템, 비인가 단말 접근통제 시스템, 패치관리 시스템, DRM 등이 필수적으로 요구된다. 물리적 망분리의 경우 네트워크 망 사업부터 시작해야 하며, 2배로 늘어나는 회선비용과 네트워크 장비, 보안장비 등이 새롭게 투입돼야 한다.
보안 투자 여력이 있는 대기업·중견기업은 10억여원의 비용을 들어 보안을 강화하는 것이 훨씬 더 유리하겠지만, 중소업체에게는 부담스러운 비용일 수밖에 없다. 소규모 방산업체 중에는 보안관리자는 커녕 IT 관리자도 충분하지 않은 상태로, 비용이 많이 들고 관리가 어려운 망분리를 구축·운영하는데 부담을 가질 수 밖에 없다.
“국가 안보 직결되는 방산업체, 높은 보안 수준 지켜야”
방산업체들이 망분리 의무화에 반발하는 이유 중 하나는 ‘정확한 가이드라인이 없다’는 것이다. 망분리 방식에서조차 의견이 엇갈린다. 지침에는 분명히 물리적 망분리를 원칙으로 한다고 되어 있지만, 기업 환경에 따라 물리적으로 분리하기 어려운 경우도 있으며, 물리적 망분리가 오히려 보안에 취약하다는 지적도 있기 때문이다.
대부분의 방산업체가 민수 사업을 병행하는데, 민수 사업 시 망분리는 매우 불편하다. 외부와의 협업이 원활하지 않고, 외부에서 업무망에 접속할 수 없으며 클라우드·스마트워크를 도입하는 데에도 제약이 있다.
이승택 틸론 부사장은 “IT 관리 인력이 적은 소규모 기업은 망분리에 부담을 갖는 것은 당연하다. 비용이 많이 들고 관리가 어려우며 망분리를 한다고 해서 보안사고가 나지 않는 것도 아니기 때문”이라며 “그러나 국가 안보와 밀접한 사업을 한다면 가장 높은 수준의 보안을 구축하는 것이 당연하다. 보호해야 할 업무와 시스템은 분리된 망에서 수행하도록 하면서 비용과 운영 효율성을 높일 수 있는 방법을 찾아야 한다”고 밝혔다.
전영재 에스알센터 대표는 “가장 시급한 문제는 방산업무 관련 자료에 대한 보안 강화이다. 모든 방산업무 관련 자료들에 대한 안전한 관리를 위해 암호화, 망분리, 보안관제 문제를 해결해야 한다”며 “국가 안보와 관련된 방산업체들도 보안에 더 많은 투자를 해야 할 때”라고 강조했다.
