[서울파이낸스 김현경 기자] 금융당국이 디지털 신기술이 금융분야에 확대 적용될 수 있도록 클라우드 및 망분리 규제를 전면 재검토한다. 금융혁신기술 개발·활용 속도가 가속화되는 가운데, 획일적인 클라우드·망분리 규제가 디지털 신기술 도입을 가로막는다는 지적이 나오면서다.
금융위원회는 금융분야의 디지털 전환을 안정적으로 뒷받침하기 위해 클라우드 및 망분리 규제 개선을 추진한다고 14일 밝혔다.
먼저, 클라우드의 경우 이용 가능한 업무범위를 명확히 하고, 중복되거나 유사한 이용절차를 정비한다. 기존에 금융권은 클라우드 이용 업무에 대한 중요도 평가, 안정성 확보조치 방안 수립, 업무위수탁기준 보완 등을 수행한 후 정보보호위원회 심의·의결을 거쳐 클라우드 이용계약을 체결하고 금융감독원에 사전보고해야 했다.
정보 유출 등에 대비하기 위함이었지만 업무 중요도 등에 대한 기준이 불명확하고 보고절차가 과도해 금융회사가 클라우드 수요에 탄력적으로 대응하는데 한계가 있다는 지적이 있었다.
이에 따라 금융위는 불명확한 업무중요도 평가기준을 명확히 하고, 클라우드서비스사업자(CSP) 건전성·안전성 평가항목을 141개에서 54개로 축소한다. 또 업무 중요도에 따라 비중요업무의 경우 CSP 평가항목 중 일부를 면제하는 등 이용 절차를 완화한다. 금융회사의 CSP평가 부담을 완화하기 위해 금융보안원이 금융회사를 대표해 CSP를 평가하고, 평가결과를 금융회사가 활용할 수 있도록 하는 방안도 도입된다.
아울러 현재의 CSP 평가항목은 최근 활용도가 높아지고 있는 SaaS(Software as a Service)를 평가하기에 적합하지 않은 만큼 별도 평가기준도 마련한다. 또 금융회사 등이 클라우드를 이용하려는 경우 요구되는 사전보고를 사후보고로 전환한다.
망분리 규제의 경우 개인신용정보를 보유하고 있지 않고 전자금융거래 중요성이 낮은 개발·테스트 서버까지 일률적으로 적용되고 있어 개발·테스트의 효율성이 저해된다는 지적이 잇따랐다.
이에 앞으로 개발·테스트 서버에 대해서는 물리적 망분리 규제를 예외적으로 완화한다. 다만, 개인정보 유출 등 보안사고 발생을 최소화하기 위해 보완조치도 마련한다.
아울러 비금융업무와 SaaS에 대한 망분리 예외조치도 마련한다. 규제샌드박스를 활용해 금융거래와 무관하고 고객·거래정보를 다루지 않는 경우 망분리 예외를 허용한다.
아울러 현행 망분리 규제가 금융회사 등의 업무범위와 무관하게 일률적으로 적용되고 있는 만큼 단계적 망분리 규제 완화를 추진한다. 망분리 대상 업무를 축소하고, 물리적·논리적 망분리 선택가능성 등을 금융회사에 부여하는 방식이 검토된다.
금융위는 이달 중 제도개선 사항을 반영한 전자금융거래법 시행령 및 감독규정 개정안을 입법예고하고, 내년부터 시행될 수 있도록 개정을 추진한다. 아울러 올해 말까지 금융분야 클라우드컴퓨팅서비스 이용 가이드라인을 개정해 전 금융권이 실무적으로 참고할 수 있는 구체적인 절차 및 기준을 마련하도록 한다.
금융위 관계자는 "가이드라인 제도개선 사항이 조기에 안착될 수 있도록 다음달부터 금융위, 금감원, 금융보안원, 금융협회 합동으로 유권해석반을 운영할 것"이라며 "클라우드 및 망분리 제도개선은 금융회사의 자율 책임에 따른 내부통제 기준 마련 등이 전제돼야 하는 만큼 올해 하반기 중 금융회사 정보보호심의위원회 구성·운영현황 등 내부통제시스템을 점검할 예정"이라고 말했다.
