국가사이버안보기본지침 개정과 망분리 정책의 방향성: 지침 변화 속 미완의 실행력

정부가 5월 5일 국가사이버안보기본지침을 개정해 공공분야 망분리(인터넷망-업무망 분리) 정책에 전환점을 맞았다. 이번 지침은 지난 10년 이상 이어진 강경 망분리 기조에 유연성을 부여하고, 현실적 운영도 고려할 수 있도록 제도적 근거를 마련했다는 점에서 의미가 있다. 다만 정부 내 주요 관계자들의 말을 종합하면, 지침의 방향은 분명해졌지만 실질적 실행 체계와 세부 이행안을 둘러싼 불안요인은 여전히 남아 있다.

이번 국가사이버안보기본지침의 핵심 변화는 전면적 망분리 의무 대신 기관 특성과 보안 위험 평가에 따라 차등 적용이 가능해졌다는 데 있다. 예를 들어 생명·안전 관련 기관이나 핵심 인프라처럼 보안 위험이 높은 부문에는 망분리를 더 엄격히 적용하고, 기타 부처나 지방자치단체, 공공기관 등은 자율 혹은 부분적 해제도 허용할 수 있도록 권한을 이양했다. 정부 고위 관계자에 따르면, “실제 망분리 실행이 각 기관 실정에 맞추도록 조정된 것은 이번이 처음”이라며, “불필요한 비용을 줄이고 AI·클라우드 등 신기술 도입 활성화라는 시대적 변화도 반영된 결정”이라고 설명했다.

국제적으로 망분리 정책에 대해 명확한 정답이 없는 가운데, 한국은 그간 물리적 분리 위주의 강경 모델을 운영해 왔다. 이 때문에 업무 효율성 저하, 클라우드 확산 역행, 공무원 불만 등 여러 지적이 지속적으로 제기되어 왔다. 이번 지침 개정은 정책적 요구와 현장 목소리, 그리고 첨단 기술·보안 현황을 균형적으로 고려한 결과물로 볼 수 있다. 하지만 중앙정부·지방정부 각 기관이 실제로 어떻게 기준을 적용하고, 안전성과 효율 간 균형을 확보할지는 또 다른 문제다. 현장의 세부 지침 해석, 보안 취약점 발견 시 대응, 실시간 감시·리포팅 체계 마련 등에 대한 구체적 실행 계획이 부족하다는 점은 지속적 우려를 낳고 있다.

여전히 국내외 사이버 공격의 정교화와 그 피해 규모 확대에도 주목할 필요가 있다. 관계부처에 따르면, 올해 상반기만 해도 주요 공공기관을 겨냥한 랜섬웨어·해킹 시도가 전년 대비 30% 이상 증가했다. 이런 현실에서 “일원화된 엄격한 망분리가 아닌 유연한 본위 적용이 위험요인 분산에 효과적일 것”이란 기대와 동시에, “자율적 관리라는 이름 아래 허술한 보안 점검이 만연해져 오히려 공격자가 노릴 틈이 넓어진다”는 지적이 혼재한다.

정부는 지침 개정과 병행해 보안 취약점 점검 로드맵, 관련 예산 투입, 인재 지원 강화 등 후속 조치를 마련할 계획이다. 정책실 관계자는 “망분리 완화가 곧 보안 수준 하락을 의미하는 것은 아니다”라며, “실제 효율성은 현장 혼선이나 구멍 없는 관리, 그리고 각 기관장의 보안 책임의식에 좌우된다”고 설명했다. 실제로 영국, 싱가포르 등 선진국 역시 기관별 망분리 기준을 차등화하며, 보안 교육 강화·긴급 공조 훈련을 주기적으로 병행하는 방식을 갖추고 있다. 한국도 전통적 보안관제 시스템과 AI기반 이상징후 탐지, 그리고 실시간 협업체계를 접목해 점진적 모델 전환에 나서야 한다는 게 전문가들의 중론이다.

경제적 비용 절감도 이번 정책 변화의 중요한 동기다. 최근 감사원 자료에 따르면 1~2급 망분리시스템 신규 및 유지보수에 매년 수천억원의 세금이 투입되고 있으며, 업무중복과 불필요한 ‘이중 전산업무’가 오히려 정책 생산성과 공공서비스 질 저하로 이어졌다는 분석도 있다. 따라서, “업무효율과 보안이라는 두 마리 토끼를 얼마나 현실성 있게 잡느냐”가 향후 정책 성공의 중요한 관건으로 작용한다.

결국 이번 개정은 한국 정보보호 체계의 근본 전환점이 될 수 있으나, 정책 실효성 확보를 위한 각 기관의 의지, 세부 실행방안, 인식 제고, 그리고 사후 점검 체계가 동반 추진될 때 비로소 진정한 변화로 이어질 것이라는 점을 명확히 할 필요가 있다. ‘지침은 바뀌었지만, 실행 체계는 아직 불안’하다는 평가가 결코 단순한 부정론에 그치지 않도록, 관련 부처와 현장 실무자 모두의 진지한 실행 노력이 요구되는 시점이다.

— 박지호 ([email protected])