포스트

망분리는 왜 옳았는데 이제는 끝내야 하나 - 대재앙을 막은 빗장이 AI 시대엔 스스로를 가두는 쇄국이 됐다

회사 컴퓨터로 인터넷이 안 되는 걸 두고 흔히 "직원 딴짓 막으려는 통제"라고 여기거나, 반대로 "해킹을 막는 최후의 보루"라고 믿는다. 둘 다 절반만 맞다. 망분리는 조롱받을 실패작이 아니었다. 20년 전 두 번의 국가적 재앙에서, 인터넷을 끊어둔 곳만 살아남았기 때문이다. 문제는 이 빗장이 틀려서가 아니라, 너무 잘 들어서 아무도 그 안을 다시 들여다보지 않았다는 데 있다. 밖의 적을 막은 대가로, 안에서는 아무도 보지 않는 방이 조용히 썩어갔다. 그리고 지금 그 빗장을 여는 힘은 보안 논리가 아니라 AI다. 200년 전에도 똑같은 빗장을 두고, 늦게 연 나라는 식민지가 됐고 제대로 연 나라는 열강이 됐다.

먼저 인정하자, 망분리는 옳았다

망분리를 시대착오적 규제라고 비웃기 전에, 이 제도가 실제로 무엇을 막았는지부터 봐야 한다. 망분리는 공포에서 태어났고, 그 공포는 실재했다.

2000년대 초는 전 세계적으로 해킹이 난무하던 시대였다. 보안이라는 개념 자체가 희박했고, 자가복제하며 네트워크를 타고 번지는 악성코드가 국가 단위로 인터넷을 멈춰 세웠다. 우리나라도 예외가 아니어서, 2003년 SQL 슬래머 웜이 퍼지며 전국 인터넷이 마비된 1.25 대란을 겪었다. 이런 공격의 가장 무서운 점은 개별 PC 감염이 아니라, 네트워크가 열려 있다는 사실 그 자체였다. 한 대가 뚫리면 연결된 전부가 뚫리고, 그게 공공기관이면 행정 전체가 멈춘다.

그래서 나온 대응이 단순하고도 과감했다. 인터넷이 문제라면 인터넷을 끊는다. 2007년 무렵부터 국가·공공기관에 업무망을 인터넷에서 격리하는 망분리가 의무화되기 시작했다.

이 선택이 옳았음은 6년 뒤 증명됐다. 2013년 3.20 사이버 테러 때, KBS·MBC·YTN 방송사 직원들의 컴퓨터가 하나씩 꺼져 부팅 불능이 됐고 신한은행·농협의 인터넷뱅킹과 ATM까지 먹통이 됐다. 공격의 배후는 북한으로 지목됐다. 그런데 이 아수라장에서 멀쩡했던 곳이 있었다. 이미 망분리를 마친 공공기관이었다. “방송사와 은행은 멈췄는데 공공기관은 멈추지 않았다”는 이 대비가, 이후 우리나라의 강력한 망분리 신봉을 낳았다.

2013년 3.20 사이버 테러 당시 농협 전산망 마비 흐름도 - 해커가 내부 서버에 심은 악성코드가 패치관리시스템(PMS)을 타고 전 PC로 번져 부팅영역(MBR)을 파괴했다. 접점 하나가 열려 있으면 연결된 전부가 무너진다는 것을, 그래서 인터넷을 끊는 것이 왜 강력한 방패였는지를 보여준다.

그 확신을 타고 망분리는 전방위로 퍼졌다. 2013년 은행·보험사·카드사 같은 금융권이 의무화 대상이 됐고, 정보통신망법을 통해 대형 민간기업·병원·학교로 확산됐다. 요컨대 망분리는 ‘무식한 규제’가 아니라, 실제 재앙을 두 번 막아낸 검증된 방패였다. 이 사실을 부정하는 순간 뒤에 이어질 비판은 전부 설득력을 잃는다.

그러나 완벽한 빗장은 처음부터 없었다

문제는 그 방패가 ‘완벽하다’는 믿음까지 함께 자랐다는 것이다. 인터넷을 끊으면 외부와 통신이 불가능하니 이론상 해킹도 불가능하다. 이 논리는 깔끔하지만 현실에서 한 번도 성립한 적이 없었다.

2016년, 내부망 신화가 정면으로 깨졌다. 격리의 최정점이라 할 군대 내부망이 뚫린 것이다. 원칙적으로 군은 국방망과 인터넷망을 물리적으로 분리해 두고 있었다. 그런데 국방통합데이터센터의 백신 중계 서버 한 대가 국방망과 인터넷망 양쪽에 동시에 연결돼 있었다. 데이터센터 스위치가 같은 서비스 포트에 물리면서 생긴 설계상의 접점이었다. 해커는 정확히 이 지점을 통로 삼아 닫힌 국방망으로 넘어갔다.

결과는 참혹했다. 인터넷용 PC 약 2,500대와 국방망 PC 약 700대를 합쳐 3,200대가량이 감염됐고, 한미 연합작전계획을 포함한 약 170GB의 군사자료가 유출됐다. 가장 안전하다던 곳이, 단 하나의 접점 때문에 가장 크게 털렸다.

이건 한국만의, 혹은 관리가 허술한 곳만의 문제가 아니다. 인터넷을 아예 쓰지 않는, 지구상에서 가장 완벽하게 격리됐다는 망조차 뚫린 전례가 있다. 이란의 나탄즈 우라늄 농축시설은 인터넷과 물리적으로 완전히 끊긴 에어갭(air-gap) 망이었다. 핵무기 개발 시설이니 망분리의 극한이라 할 만하다. 그런데도 2010년 미국·이스라엘이 만든 스턱스넷이라는 악성코드가 USB에 실려 넘어가 원심분리기 1,000여 기를 파괴했다. 사람이 드나드는 한, 그 손에 들린 USB가 곧 인터넷 선이 된다. 케이블을 뽑는다고 세상과의 연결이 끊기는 게 아니다.

이란 나탄즈 우라늄 농축시설의 원심분리기(IR-4) 행렬 - 인터넷과 물리적으로 완전히 끊긴 에어갭 망이었지만, USB에 실린 스턱스넷 한 방에 1,000여 기가 파괴됐다. 망분리의 극한조차 '사람'이라는 접점 앞에서는 무력했다.

이것은 우연한 사고가 아니라 구조적 필연이다. 일을 하려면 다른 회사와 이메일을 주고받고, 자료를 검색하고, 파일을 옮겨야 한다. 그래서 현실의 망분리는 업무망과 인터넷망 사이에 늘 어떤 통로를 남긴다. 두 대의 PC를 번갈아 쓰든, 한 대를 오가며 쓰든, 자료를 옮기는 접점은 반드시 생긴다. 완벽한 격리는 애초에 존재할 수 없고, 그 유일한 접점이 곧 유일한 급소가 된다.

이건 대단한 해커의 이야기가 아니다. 나부터도 그랬다. 10여 년 전 국내 최고의 게임회사 N사에 다니던 시절, 나는 법으로 강제된 망분리가 불편해 그걸 우회했다. 방법은 허무할 만큼 단순했다. PC 한 대에 랜카드를 두 장 꽂아 한쪽은 폐쇄망, 한쪽은 인터넷에 물리고, 크로스케이블로 배선을 손봐 한 컴퓨터에서 두 망을 오갔다. 약간 번거로울 뿐, 사실상 거의 완벽하게 두 세계를 동시에 썼다.

이는 규정을 우습게 봐서가 아니라, 규정대로는 일이 안 됐기 때문이다. 폐쇄망 안에만 갇히면 개발자는 사실상 아무것도 할 수 없다. 검색 한 번, 라이브러리 하나 받는 것조차 막히니 극단적으로는 메모장에 코드를 손으로 옮겨 적어야 할 지경이고, 요즘 개발자에겐 기본 장비인 맥북조차 그 안에선 무용지물이 된다. 일하는 사람에게 불편이 어떤 임계를 넘는 순간, 그는 반드시 우회로를 만든다. 완벽한 격리가 불가능한 진짜 이유는 기술이 아니라 바로 여기에 있다. 벽을 아무리 높이 쌓아도, 그 안에서 일해야 하는 사람이 스스로 개구멍을 뚫는다.

빗장의 진짜 대가, 아무도 보지 않는 방은 썩는다

그런데 2016년의 교훈은 “접점을 더 틀어막자”가 아니었다. 진짜 문제는 접점 하나가 아니라, 그 접점 안쪽에서 벌어지고 있던 방치였다.

“망분리를 하면 해킹당하지 않는다”는 믿음은 누구도 보장해준 적 없지만 어느새 상식이 됐다. 기업 담당자들은 “네트워크가 끊겼는데 어떻게 해킹을 당하냐”고 되물었고, 내부망은 절대 안전하다고 여겼다. 이 믿음이 만든 결과가 치명적이다. 안전하다고 믿는 순간, 아무도 그 안을 관리하지 않는다.

내부망에도 웹 서버가 돌고 온갖 시스템이 물려 있다. 하지만 “밖에서 못 들어오는데 뭐하러”라는 생각에 취약점을 방치한다. 그래서 역설적인 광경이 펼쳐진다. 외부망은 오히려 취약점이 잘 안 나오는데, 안전하다던 내부망에서 취약점이 쏟아진다. 고치라고 하면 “외부에서 접속 못 하니 우리끼리 쓰는 건데 그냥 두겠다”는 답이 돌아온다. 하지만 해커에게 침투는 어렵지 방치된 내부는 놀이터다. 접점 하나를 뚫고 들어오는 순간 게임은 끝난다.

여기에 시대의 변화가 손실을 더 키웠다. 코로나 이후 클라우드가 표준이 됐다. 요즘은 서버를 사서 사무실에 두는 대신 클라우드를 빌려 쓰고, 그중에는 자체 전산실보다 보안이 훨씬 뛰어난 서비스도 많다. 그런데 클라우드는 인터넷이 있어야 쓴다. 망분리는 이 좋은 도구마저 차단해버렸다. 방패가 적의 화살만 막은 게 아니라, 아군의 보급까지 끊은 셈이다.

정리하면 이렇다. 망분리는 밖의 위협은 줄였지만, 안을 돌보지 않아도 된다는 착각을 심어 내부를 썩혔다. 온실 속에서 곱게 자란 화초처럼, 내부망은 바깥 공기에 대한 저항력을 완전히 잃어버렸다.

왜 20년간 못 열었나, 이건 기술이 아니라 책임의 문제였다

여기서 반드시 짚어야 할 질문이 있다. 망분리가 완벽하지 않다는 걸 다들 알았는데, 왜 그렇게 오래 못 바꿨을까. 답은 기술이 아니라 정치, 정확히는 책임이었다.

첫째는 책임 회피다. 한 번 만들어진 규정은 좀처럼 바뀌지 않는다. “망분리를 단계적으로 풀자”고 누군가 제안하면, 곧바로 “그러다 해킹당하면 네가 책임질 거냐”는 말이 돌아온다. 이 한마디에 모두가 얼어붙는다. 열어서 얻는 이득은 조직 전체에 흩어지지만, 뚫렸을 때의 책임은 결정한 개인이 온전히 뒤집어쓰기 때문이다. 홈플러스가 2천억을 손에 쥐고도 인수 앞에서 멈춰 선 것과 정확히 같은 구조다. 돈이 없어서가 아니라, 위험을 떠안을 사람이 없어서 멈춘다.

둘째는 관리자의 편의다. 인터넷을 열어주면 직원들이 카톡·유튜브로 딴짓을 할 것 같다. 막아두면 딴짓도 없고 보안도 되니 관리자 입장에선 굳이 열 이유가 없다.

셋째는 매몰비용이다. 기업들은 이미 과거에 큰돈을 들여 망분리를 구축해뒀다. 이제 와서 그걸 헐고 새 체계에 또 돈을 쓰라니 반가울 리 없다.

이 세 가지는 전부 기술 문제가 아니다. 의사결정자 개인의 안전을 위해 조직 전체의 생산성을 볼모로 잡는 구조다. 그래서 정부도 먼저 “바꾸자”고 말하기 어렵고 기업도 굳이 나서지 않으니, 아무도 움직일 이유가 없는 채로 20년이 흘렀다. 진작 손봤어야 할 빗장이 녹슬도록 방치된 건, 기술이 없어서가 아니라 책임질 사람이 없어서였다.

그리고 이 관성 위에, 벽을 적극적으로 지키려는 힘이 하나 더 얹혔다. 망분리가 어느새 성벽이 되어, 그 벽으로 먹고사는 이들의 밥그릇을 지켜준다는 것이다. 대한민국의 의사면허를 떠올려 보라. 원래 그것은 한번 따면 웬만해선 취소되지 않는 안정성의 상징이자, 박봉을 감수하는 명예직의 표식이었다. 그런데 실손보험과 결합해 진료가 상업화되면서, 지금의 면허는 중대한 비리를 저질러도 좀처럼 박탈되지 않는 ‘갑’의 성벽으로 변질됐다. 좋은 뜻으로 세운 보호막이 어느 순간 그 안에 든 자를 지키는 특권으로 굳는 것이다. 약자를 지키려 만든 노동제도가 시간이 지나 가장 센 노조의 특권으로 굳어버린 것과 정확히 같은 경로다. 망분리도 여기서 예외가 아니었다. 국가적 재앙을 막던 방패가, 이제는 그 벽을 세우고 유지·관리하며 먹고사는 대기업집단 계열 IT와 보안 솔루션 업계의 안정적 먹거리이자 진입장벽이 됐다. 새 도전자인 스타트업이나 해외 SaaS는 벽 밖에 묶이고, 벽 안의 익숙한 사업자들끼리 정해진 파이를 나눈다. 벽이 높을수록 안이 안전해서가 아니라, 벽을 파는 쪽이 계속 벌기 때문에 벽은 헐리지 않는다. 그렇게 성벽은 지켜지고, 그 안에서 나라 전체의 IT 경쟁력은 조용히 굳어간다.

쇄국의 교훈, ‘빨리’가 아니라 ‘제대로’ 연 나라가 이겼다

이 그림은 낯설지 않다. 200년 전 동아시아가 겪은 쇄국과 개항의 역사가 거의 그대로 반복되고 있기 때문이다.

쇄국이라는 비유는 사실 과장이 아니다. 업무망을 인터넷에서 물리적으로 끊으라고 법으로 강제한 나라는 한국이 사실상 유일하기 때문이다. 미국·유럽·호주도 내부망 보호를 고민하지만, 망분리를 ‘반드시 해야 할 의무’가 아니라 데이터 중요도에 따라 골라 쓰는 여러 수단 중 하나로 본다. 재량을 줘도 우리처럼 통째로 끊는 곳은 드물다. 그래서 이 규제엔 우리나라에만 있는 ‘갈라파고스 규제’라는 별명이 붙었다. 남들이 대문을 조금 열어두고 손님을 골라 들이는 동안, 우리만 문을 통째로 용접해버린 것이다.

구분한국미국·유럽·호주
규제 성격법으로 강제된 의무권고·자율 (선택 수단의 하나)
적용 방식전 시스템 획일적 물리 분리데이터 중요도에 따른 리스크 기반 차등
기업 재량사실상 없음있음 (각 기관이 스스로 설계)
결과물리 망분리를 통째로 의무화한 사실상 유일한 나라재량을 줘도 통째로 끊는 곳은 드묾

쇄국도 처음엔 옳았다. 밖에서 밀려오는 위협을 막아 안의 질서를 지켰고, 실제로 오랜 평화를 가져왔다. 망분리가 3.20 때 공공기관을 지킨 것과 똑같다. 그러나 빗장을 걸어둔 사이 안은 정체됐고, “우리는 안전하다”는 믿음이 개혁을 미루게 했다. 그리고 어느 날 거부할 수 없는 외부 충격이 문을 두드렸다. 일본에는 흑선이 왔고, 우리에겐 AI가 왔다.

여기서 운명이 갈렸다. 흔히 “일본은 빨리 열어서 이겼다”고 말하지만, 정확하지 않다. 일본이 앞선 진짜 이유는 ‘빨리’가 아니라 ‘제대로’ 열었기 때문이다. 일본은 문을 열자마자 이와쿠라 사절단이라는 정부 최고위 실세들을 서구에 직접 보냈다. 2년간 열두 나라를 돌며 무엇을 받아들이고 무엇을 버릴지 눈으로 확인했고, 돌아와서는 밖으로 눈 돌리기(정한론)를 누르고 신분제 폐지 같은 내부 체질 개혁부터 단행했다. 반면 조선은 “밖은 위험하다”며 버티다가 준비 없이 뒤늦게 강제로 열려, 열강의 각축장이 되고 말았다.

1872년 이와쿠라 사절단의 핵심 5인(가운데 이와쿠라 도모미) - 문을 열자마자 정부 최고위 실세들이 2년간 서구 열두 나라를 직접 돌며 취할 것과 버릴 것을 눈으로 골랐다. '빨리'가 아니라 '제대로' 연 것이 일본을 열강으로 만든 차이였다.

교훈은 분명하다. 무작정 막는 척사파도, 무작정 여는 개화파도 답이 아니었다. 자기 현실을 냉정히 직시하고, 취할 것을 선별하고, 안부터 고친 뒤 주도적으로 연 쪽이 이겼다. 망분리 개방도 정확히 같은 갈림길에 서 있다.

AI라는 흑선, 빗장을 흔든 건 보안이 아니라 돈이었다

망분리가 완벽한 정답이 아니라는 지적은 사실 오래전부터 있었다. 그런데도 20년 가까이 꿈쩍하지 않던 이 제도가, 최근 갑자기 흔들리기 시작했다. 무엇이 바꿨나. 보안 전문가들의 오랜 경고가 아니었다. AI였다.

AI를 업무에 쓰면 효율이 오르고, 사람을 덜 뽑아도 된다. 기업 입장에서 이건 거부할 수 없는 유혹이다. 그런데 클로드나 GPT 같은 대형 언어모델은 대부분 인터넷 너머의 클라우드에 있다. 인터넷이 막혀 있으면 쓸 수가 없다. 그러자 이번엔 정부가 아니라 기업들이 먼저 목소리를 냈다. “망분리 좀 풀어달라.” AI가 등장하지 않았다면, 이 빗장은 지금도 굳게 닫혀 있었을 것이다.

빗장은 실제로 열리기 시작했다. 2024년 8월, 금융위원회가 금융분야 망분리 개선 로드맵을 발표했다. 핵심 목표는 노골적으로 AI였다. 생성형 AI 활용을 허용하고, 클라우드(SaaS) 이용 범위를 넓히겠다는 것이다. 인터넷 차단이라는 큰 틀은 유지하되 AI만은 쓸 수 있게 물꼬를 트는, 단계적 완화였다. 규제를 만든 당국 스스로 물러선 것이라 상징적이다. 김병환 금융위원장은 망분리 의무화 규정은 “시대적 소임을 다했다”고 했다.

그리고 2025년 9월, 국정원이 공공 부문의 판을 바꾸는 국가 망 보안체계(N2SF) 보안가이드라인을 정식 공개했다. 발상의 전환은 이렇다. 과거에는 업무용 컴퓨터를 전부 내부망에 몰아넣어 획일적으로 고립시켰다. N2SF는 대신 시스템을 기밀(Classified)·민감(Sensitive)·공개(Open) 세 등급으로 나눠, 등급마다 보안 통제를 다르게 적용한다. 공개 등급은 인터넷을 쓰게 열어주고, 진짜 지켜야 할 기밀만 강하게 틀어막는 것이다. 그 정교함의 대가로 보안 통제 항목은 기존 170여 개에서 260여 개로 세분화됐다. 국정원이 18년간 밀어붙인 물리적 망분리에서 스스로 방향을 튼 셈이다. 말뿐인 선회도 아니다. 국정원은 2026년 공공기관 사이버보안 평가에서 기존 ‘망분리 시행’ 지표 자체를 N2SF 적용으로 갈아치웠다. 기관을 채점하던 잣대를 바꾼 것이라, 공공 부문 전체가 등급제로 끌려가게 된다.

여기까지의 20여 년을 한 줄기로 세우면 이렇게 된다. 재앙이 빗장을 낳았고, 빗장이 스스로를 정당화했으며, 그 빗장이 뚫린 뒤에도 20년을 버티다, 결국 AI가 문을 밀었다.

시점사건의미
20031.25 인터넷 대란열린 네트워크의 위험 - 망분리의 씨앗
2007~공공기관 망분리 의무화 시작빗장을 걸다
20133.20 사이버 테러망분리한 공공기관만 생존 - 빗장의 정당화, 금융권까지 확산
2016국방망 해킹가장 완벽하다던 격리가 접점 하나로 뚫림 - 완벽론의 붕괴
2024.8금융위 망분리 개선 로드맵AI를 위해 빗장을 풀기 시작
2025.9국정원 N2SF 정식 공개획일적 격리에서 등급별 차등으로 전환

그래서 어떻게 끝낼 것인가, 없애기가 아니라 ‘효과적인 망분리’로

오해를 먼저 걷어내자. 망분리를 끝내자는 건 빗장을 뽑아 던지고 아무나 드나들게 하자는 뜻이 아니다. 지금의 망분리가 체계 없이 모든 걸 한 방에 몰아넣은 무식한 방식이라는 것이고, 이걸 등급에 따라 지킬 것은 더 강하게 지키고 열 것은 여는 정교한 망분리로 바꾸자는 것이다. N2SF의 3등급 체계가 그 그릇이다.

등급담는 정보인터넷 연결통제 강도
기밀 (C, Classified)유출 시 국가안보·조직에 치명적인 핵심 기밀차단 (강한 격리 유지)최고
민감 (S, Sensitive)대부분의 일반 업무 정보·내부 자료통제 하에 조건부 허용중간
공개 (O, Open)대외 공개 가능하거나 인터넷 활용이 필요한 업무허용기본

요컨대 과거엔 모든 방을 금고로 취급해 통째로 잠갔다면, N2SF는 진짜 금고만 금고로 지키고 나머지 방은 문을 열어 사람과 도구가 드나들게 한다. 벽을 없애는 게 아니라, 지킬 곳과 열 곳을 나누는 것이다.

같은 시스템을 획일적 망분리와 N2SF 등급제가 어떻게 다르게 취급하는지 - 과거엔 12개 시스템을 한 덩어리로 잠가 인터넷·AI 활용이 0%였지만, C·S·O 등급으로 나누면 핵심 기밀 25%는 더 강하게 격리하면서 나머지 75%(민감 조건부 + 공개 개방)에 인터넷이 열린다. 개방과 보안은 맞바꾸는 게 아니라 갈라서 동시에 얻는 것이다. (이미지 클릭 시 인터랙티브 버전)

그런데 그릇을 바꾸는 일이 생각보다 어렵다. 등급을 나누려면 먼저 방 안에 무엇이 있는지 알아야 하는데, 대부분의 조직이 이걸 모른다. 담당자조차 자기 회사에 어떤 시스템이 있는지 몰라, 컨설턴트가 찾아주면 “이거 어디에 쓰던 거죠?”라고 되묻는 일이 흔하다. 관리되지 않고 방치된 서버와 장비가 곳곳에 쌓여 있다. 국정원이 N2SF를 내민 진짜 메시지는 이것이다. “AI를 쓰고 싶으면, 밀린 숙제부터 하고 와라.” 실제로 N2SF는 준비-등급분류-위협식별-대책수립-평가의 5단계 절차로 짜여 있는데, 두 번째 단계인 ‘등급분류’를 하려면 조직이 가진 시스템을 하나도 빠짐없이 꺼내 목록화해야 한다. 등급제라는 그릇이 자산 실사라는 숙제를 구조적으로 강제하는 셈이다.

그렇다면 이 개방에서 이와쿠라 사절단에 해당하는 것은 무엇인가. 사람들은 멋진 신기술 도입을 떠올리지만, 사절단의 본질은 신문물 수입이 아니라 자기 현실을 직시하고 선별한 것이었다. 그 본질을 망분리로 옮기면 셋이다.

첫째, 경영진이 직접 하는 자산 실사다. 무엇이 우리에게 치명적인지 판단하는 건 기술이 아니라 경영의 몫이다. 이걸 외주에 던지는 순간 사절단은 견학으로 전락한다. 진짜 사절단은 화려한 곳이 아니라 아무도 하기 싫어하는 그 지루한 자산 목록화 안에 있다.

둘째, 책임 구조부터 바꾸는 일이다. 사절단이 돌아와 체질 개혁을 먼저 한 것처럼, 기술을 들이기 전에 “뚫리면 담당자 개인 책임”이라는 규칙부터 폐기해야 한다. “감수하기로 한 위험은 조직이 진다”로 바꾸지 않으면, 아무리 좋은 체계를 깔아도 아무도 쓰지 않는다. 20년을 못 움직인 진짜 빗장이 바로 이 책임 구조이기 때문이다.

셋째, 저위험 영역부터 여는 파일럿이다. 사절단이 나라 전체를 한꺼번에 바꾸지 않았듯, 공개 등급의 한 부서·한 업무부터 열어보고 계측한다. 다행히 이 길을 먼저 간 이들이 있다. 미국은 2021년 행정명령으로 경계보안을 버리고 제로트러스트로 전환했고, 그 성숙도 모델을 통째로 공개해뒀다. 금융위가 규제 샌드박스로 실패해도 처벌받지 않는 실험장을 마련한 것도 같은 장치다.

마지막으로 한 가지 경고가 남는다. 개항은 한 번 열면 되지만, 사이버 위협은 상시적이다. 그래서 방치되던 온실 속 화초를 갑자기 밖에 꺼내는 지금이, 역설적으로 가장 위험한 과도기일 수 있다. 문을 여는 것으로 끝이 아니라, 담장 대신 접근 하나하나를 상시 검증하는 제로트러스트 체제로 이어져야 한다. 개항이 아니라 ‘개항 후 상비군’까지가 한 세트다.

망분리는 틀려서 버려지는 게 아니라, 너무 잘 들어서 낡았다. 빗장은 밖의 적을 막아준 대가로 안을 썩게 했고, 이제 그 문을 여는 일은 적을 막던 때보다 더 어려운 질문, 곧 “누가 책임질 것인가”의 문제가 됐다.

이 기사는 저작권자의 CC BY 4.0 라이센스를 따릅니다.

© nahz. 일부 권리 보유