금융사 클라우드 응용서비스, 망분리 규제 상시 예외 허용

[금융위원회 제공]

[헤럴드경제=김은희 기자] 앞으로 금융회사가 클라우드 기반의 사무관리·업무지원용 응용 소프트웨어를 별도의 혁신금융서비스 심사 없이 활용할 수 있도록 망분리 규제가 완화된다.

금융위원회와 금융감독원은 오는 20일부터 다음달 9일까지 금융회사가 내부 업무망에서 클라우드 기반 응용소프트웨어(SaaS)를 활용할 경우 일정한 보안 규율을 준수하는 전제로 망분리 규제 예외를 허용하는 내용의 ‘전자금융감독규정시행세칙’ 개정안을 사전예고한다고 19일 밝혔다.

SaaS 서비스의 활용도가 빠르게 높아지고 있지만 외부 소프트웨어 업체가 운영하는 클라우드 서버와 금융사의 내부 서버간 데이터 교환 등이 필수적이라 금융권의 망분리 규제와 상충되는 측면이 있었다.

이에 금융당국은 혁신금융서비스 심사를 통해 충분한 보안조치 등을 갖춘 서비스에 대해 SaaS 활용을 허용하되 SaaS 운영 과정에서 보안성 문제를 해소할 만한 충분한 사례가 축적된 시점에 망분리 규제의 예외로 허용할 계획을 추진해 왔다.

2023년 9월부터 현재까지 총 32개 금융회사가 SaaS 관련 총 85건의 혁신금융서비스를 허용받아 안정적으로 운영해 왔다. 이에 금융당국은 SaaS 서비스의 망분리 예외를 상시 운영할 수 있는 사례가 축적됐다고 판단, 이번 개정안을 마련했다.

우선 SaaS 서비스를 망분리 규제 예외 사유로 명시한다. 다만 개인정보 유출사고 우려 등을 감안해 이용자의 고유식별정보 또는 개인신용정보를 처리하는 경우에는 망분리 예외를 허용하지 않을 예정이다.

정보보호 통제를 위한 제도적 장치 마련은 의무화된다.

금융회사는 ▷침해사고 대응기관 평가를 거친 SaaS 이용 ▷접속 단말기에 대해 보호대책 수립, 안전한 인증방식 적용 등 엄격한 보안관리 ▷중요정보 입력·처리·유출 여부 모니터링 및 통제 ▷SaaS 내 데이터의 불필요한 공유·처리 방지나 허용되지 않은 외부 인터넷 접근 통제 ▷SaaS 이용 네트워크 구간 암호화 수립 적용 등 규율을 마련해 운영해야 한다. 각 사는 정보보호통제 이행 여부를 반기에 1회 평가하고 사내 정보보호위원회에 보고해야 한다.

이번 개정이 완료되면 금융사는 혁신금융서비스 심사 절차를 일일이 거치지 않고도 다양한 SaaS 서비스를 업무에 활용할 수 있게 된다. 금융사 업무 전반의 효율성 향상과 대내외 기업과의 협업 확대, 정보기술(IT) 자원의 비용절감 등의 효과가 예상된다.

개정안은 사전예고, 규제개혁위원회 심사 등을 거쳐 신속히 확정·시행될 예정이다. 시행시점에 맞춰 보안위협 대응 상세요령을 담은 보안해설서도 마련해 배포할 계획이다.

금융당국 관계자는 “망분리 규제 완화가 자칫 금융권 보안 수준 약화로 이어지지 않도록 금융권이 자율적·체계적으로 보안을 철저히 챙기도록 유도하는 제도 마련도 서두르겠다”고 전했다.

당국은 생성형 인공지능(AI) 등 추가 망분리 개선 과제에 대해서도 금융권과 협의해 나갈 방침이다.