국내에서 사이버 보안을 위한 망 분리 정책은 2009년 국가정보원이 공공기관을 대상으로 인터넷망·내부 업무망 분리 지침을 내리면서 시작해 2014년까지 대부분 금융권이 이를 완료했다. 이후 통신·에너지·교통 등 사회 기반 시설로 확대되며 망 분리는 보안의 기본 틀로 자리 잡았다. 특히 2016년에는 북한이 우리 도시철도 관제 시스템을 겨냥해 사이버 공격을 시도했다는 논란이 불거지며 도시철도 핵심 운영망을 외부 인터넷과 단절하는 망 분리가 추진됐다. 필자는 도시철도 시스템 보안을 위해 망 분리를 직접 도입한 경험이 있다.
그러나 AI(인공지능)와 클라우드가 일상화된 지금 망 분리만으로는 현실에 맞지 않는 문제가 드러났다. 완전 폐쇄망은 외부 침입을 차단하는 대신 신기술 도입과 업무 혁신을 가로막는다. 생성형 AI와 클라우드 서비스는 외부 연결이 전제돼 물리적으로 망을 끊으면 활용이 불가능하다. 그래서 정부는 지난해 ‘망 분리 개선 로드맵’을 제시하며 금융·공공 분야의 규제 완화를 추진한다. 보안 패러다임이 ‘단절’에서 ‘지능형 통합 관리’로 이동하는 것이다.
이러한 정책 논의가 활발한 와중에도 우리 통신 인프라의 취약성은 여러 사건으로 드러나고 있다. 소액 결제 해킹 사건이 대표적이다. 불법 펨토셀(초소형 기지국)을 차량에 싣고 다니며 단말기를 속여 인증과 결제 정보를 빼냈다. 해외 통신사들이 오래전부터 장비 등록제, SIM 기반 인증, 화이트리스트 관리 등 기본 수칙을 적용해 온 것과 대조적이다. AI 보안 패러다임을 논하기 전에 기초적인 장비 관리부터 허점을 드러냈다.
해저케이블 보안도 마찬가지다. 세계 금융 거래 99%가 해저케이블로 이동하는데 부산은 동북아 국제망의 핵심 거점이다. 만약 부산 인근에서 케이블이 절단된다면 국내 금융기관은 순식간에 거래 마비에 빠진다. 케이블은 이중화돼 있지만 여러 줄이 동시에 끊기면 복구에 며칠이 걸리고 그 사이 금융 거래의 초 단위 지연만으로도 막대한 손실이 발생한다. 핀란드는 정전이나 케이블 두절 상황에서도 결제를 유지할 수 있는 비상 시스템을 준비하고 있지만 한국에는 ‘플랜 B’가 사실상 없다.
유무선망 전반도 안전하지 않다. 5G 확산과 함께 설치되는 스몰셀과 분산 안테나 시스템은 관리가 부실하면 펨토셀처럼 가짜 기지국 공격에 악용될 수 있다. 가정과 사무실의 공유기는 업데이트가 늦어지면 대규모 봇넷 공격의 발판이 되고, 산업용 IoT 게이트웨이가 뚫리면 발전소·철도·스마트 팩토리 등 국가 기반 시설 전체가 위험에 처한다. Open RAN 장비도 호환성을 장점으로 내세우지만 보안 표준이 미흡하면 오히려 침투 경로가 될 수 있다.
따라서 지금 필요한 것은 다층 방어와 통합 관리 체계다. 모든 망 접속 장비는 출고 단계에서 등록되고, SIM이나 공개 키 기반 인증을 거쳐야 한다. 트래픽은 암호화 터널을 통해 전송돼야 하며 펌웨어 무결성은 원격에서 검증돼야 한다. 장비는 허가된 위치에서만 작동하도록 제한하고, 망 차원에서는 비인가 기지국 탐지 시스템을 상시 운영해야 한다. 해저케이블은 감시와 복구 역량을 강화하고 금융권은 케이블 두절을 가정한 비상 대응 절차를 마련해야 한다. 이 모든 과정은 여러 겹의 방어망이 상호 보완하는 다층 보안 체계 위에서 실행될 때만 효과를 발휘한다.
통신망 보안은 국가 안보와 금융 안정의 문제다. 작은 장비 하나, 케이블 한 줄의 취약성이 전체 시스템을 무너뜨릴 수 있다. 펨토셀 사건은 작은 단절이 큰 파국을 부른다는 교훈을 준다. 이제 AI 시대에 걸맞은 새로운 보안 패러다임이 필요하다. 위기는 준비하지 않은 자에게는 재앙이지만, 준비한 자에겐 통제 가능한 리스크다. 보이지 않는 인프라를 지켜내는 일이 곧 우리의 미래를 지키는 일이다.