 |
금융위원회와 금융감독원은 금융회사가 내부 업무망에서 SaaS를 활용할 경우 일정한 보안 요건을 충족하는 전제 하에 망분리 규제 예외를 허용하는 내용의 ‘전자금융감독규정 시행세칙’ 개정안을 20일부터 사전예고한다고 19일 밝혔다. 사전예고 기간은 2월 9일까지다.
그동안 금융권에서는 문서 작성, 화상회의, 협업 도구, 인사·성과관리 등 다양한 업무 영역에서 SaaS 활용 수요가 증가해 왔지만 외부 클라우드 서버와 내부 업무망 간 데이터 연계가 필요하다는 점에서 망분리 규제와 구조적으로 충돌해 왔다. 이에 따라 금융회사가 SaaS를 도입하려면 혁신금융서비스 지정 절차를 거쳐야 하는 부담이 있었다.
금융당국은 2023년 9월 이후 SaaS 관련 혁신금융서비스 85건을 승인해 운영 상황을 점검해 왔으며 보안 사고 없이 안정적으로 운영된 사례가 축적됐다고 판단했다. 이를 바탕으로 망분리 예외를 제도화하는 방향으로 규정 개정을 추진했다.
개정안에 따르면 ‘클라우드컴퓨팅 발전 및 이용자보호에 관한 법률 시행령’에 따른 SaaS는 원칙적으로 망분리 규제 적용 대상에서 제외된다. 다만 이용자의 고유식별정보나 개인신용정보를 처리하는 SaaS는 예외 적용 대상에서 제외된다. 개인정보 보호 리스크를 고려한 조치다.
망분리 예외가 허용되는 만큼 금융회사에는 강화된 정보보호 통제가 의무화된다. 금융회사는 침해사고 대응기관의 평가를 통과한 SaaS만 사용해야 하며 접속 단말기 보호 대책 수립, 안전한 인증 방식 적용, 최소 권한 관리 등을 이행해야 한다.
또한 중요 정보 처리 모니터링, SaaS 내 데이터 공유 통제, 허용되지 않은 외부 인터넷 접속 차단, 네트워크 구간 암호화, 로그 수집 및 상시 관리 체계 구축도 요구된다. 이러한 정보보호 통제 이행 여부는 반기 1회 자체 평가해 정보보호위원회에 보고해야 한다.
이번 개정이 시행되면 금융회사는 개별 서비스마다 혁신금융 심사를 거치지 않고도 SaaS를 업무에 활용할 수 있게 된다. 금융당국은 이를 통해 사무 처리 효율화, 글로벌 그룹사 및 해외 지사와의 협업 환경 개선, IT 인프라 운영 비용 절감 효과가 나타날 것으로 보고 있다.
개정안은 사전예고 이후 규제개혁위원회 심사 등을 거쳐 확정·시행될 예정이다. 시행 시점에 맞춰 보안 위협 대응 지침을 담은 해설서도 별도로 배포할 계획이다.
금융위·금감원은 “AI 기술과 데이터 활용을 통해 금융서비스 혁신이 요구되는 동시에, 최근 해킹 사고 등으로 보안 우려도 커지고 있다”며 “금융회사가 다양한 IT 기술을 활용해 서비스 개선에 나설 수 있도록 제도 개선을 추진하는 한편, 망분리 규제 완화가 보안 수준 저하로 이어지지 않도록 관리 체계도 함께 마련하겠다”고 밝혔다. 이어 “생성형 AI 등 추가적인 망분리 개선 과제도 금융권과 협의를 통해 추진할 계획”이라고 덧붙였다.
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.
