금융사 SaaS 망분리 규제 완화…혁신금융서비스 심사 면제

앞으로는 금융회사가 내무 업무망 내에서 클라우드 기반 응용소프트웨어(SaaS)를 활용하는 경우 혁신금융서비스 지정 철차 없이도 외부 서비스를 이용할 수 있게 된다.

금융위원회는 이같은 내용을 포함한 '전자금융감독규정시행세칙' 개정안을 19일 사전예고했다. 일정한 보안 규율을 준수하는 것을 전제로, 금융회사가 SaaS 서비스를 활용해 비용을 절감하고 유연한 사무 업무가 가능하도록 지원하기 위함이다.

SaaS 서비스는 인터넷을 통해 외부 소프트웨어 업체가 제공하는 서비스를 활용할 수 있도록 하는 클라우드 기반 모델이다. 도입 시 별도의 프로그램 개발에 필요한 인력 및 비용이 절감되며, 이미 검증된 모델을 도입하는 형태로 업무 체계의 신속한 개선도 가능하다.

그러나 SaaS 서비스는 이용 시 외부 소프트웨어 업체가 운영하는 클라우드 서버 접속이 필수적이었던 만큼, 금융회사는 '망분리 규제'에 따라 SaaS 서비스 접근이 어려웠다. 이에 금융당국은 '혁신금융서비스' 지정을 통해 충분한 보안조치를 갖춘 서비스에 한해 SaaS 활용을 허용해 왔다.

지난 2029년 9월부터 현재까지 총 32개 금융회사가 85개의 SaaS 관련 혁신금융서비스를 허가받아 안정적으로 운영하고 있다. 금융당국은 SaaS 서비스 도입 및 운영과정에서 보안성 문제를 해소할 만한 충분한 사례를 확보했다는 판단에 따라, 혁신금융서비스 심사 절차를 거치지 않고도 접근할 수 있도록 규제를 완화한다.

다만 개인정보 유출사고 우려 등을 감안해 이용자의 고유식별정보 또는 개인신용정보를 처리하는 경우에는 망분리 예외를 허용하지 않도록 규정한다.

또한 망분리 규제 예외가 허용되는 만큼, 이를 보완하기 위한 엄격한 정보보호통제장치 마련을 의무화한다. 구체적으로 금융회사는 ▲침해사고 대응기관 평가를 거친 SaaS를 이용 ▲접속 단말기에 대해 보호대책 수립, 안전한 인증방식 적용 ▲최소권한 부여 ▲중요정보 입력·처리·유출 여부 모니터링 및 통제 ▲SaaS 내 데이터의 불필요한 공유·처리 방지나 허용되지 않은 외부 인터넷 접근 통제 ▲SaaS 이용 네트워크 구간 암호화 수립 적용 등 규율을 마련해야 한다.

이번 '전자금융감독규정시행세칙 개정안'은 오는 2월 9일까지 예고 기간을 거치며, 규제개혁위원회 심사 등의 절차를 걸쳐 신속히 확정 및 시행할 예정이다. 시행시점에 맞춰 보안위협에 대응하기 위한 상세 대응요령을 담은 보안해설서도 마련해 배포할 예정이다.

금융위원회는 "AI기술·데이터 활용 등을 통해 금융서비스의 본질적 혁신을 이루어 나가야하는 중대한 시기지만, 일련의 해킹사고 등으로 침해사고 등에 대한 우려도 높은 상황"이라며 "금융회사가 서비스 개선에 매진할 수 있도록 제도개선을 적극적으로 추진하되, 규제 완화가 자칫 보안 수준 약화로 이어지지 않도록 제도 마련도 서두르겠다"라고 취지를 밝혔다.