[헤럴드경제=김성훈 기자] 금융사가 클라우드 이용을 할 수 있는 업무 범위가 명확해지고 이용절차가 정비되는 등 규제가 개선된다. 망분리 규제도 단계적으로 완화된다.
금융위원회는 14일 이같은 내용의 '금융분야 클라우드 및 망분리 규제 개선방안'을 밝혔다.
금융업무의 디지털 전환 가속화로 클라우드, 빅데이터 등 디지털 신기술에 대한 금융권 수요가 늘어나고 있지만 현행 금융보안 규제가 지나치게 엄격해 혁신을 저해한다는 지적이 제기되자 개선방안을 마련한 것이다.
금융사가 클라우드를 이용하려면 ①업무중요도 평가 ②업무연속성 계획 수립 ③안전성 확보조치 방안 수립 ④업무위수탁기준 보완 ⑤클라우드서비스제공자(CSP) 안전성 평가 ⑥정보보호위원회 심의·의결 ⑦금융감독원 사전보고 등의 절차를 거쳐야 하는데, 각 단계에 대해 개선이 이뤄진다.
금융위는 클라우드 이용 업무에 대한 중요도 평가기준을 명확화하기로 했다. 중요도 평가 결과 비중요업무로 분류되는 경우 규제 부담을 완화해 준다. 또 CSP 평가항목은 141개에서 54개로 간소화하고, 비중요업무는 필수항목 16개만 평가하도록 간소화할 방침이다. CSP 평가는 대표평가제를 도입해 금융보안원(금보원)이 금융사를 대표해 평가하고 금융사는 그 결과를 활용할 수 있도록 한다. 새로운 형태의 클라우드(SaaS)에 대해서는 CSP와는 다른 별도의 평가기준을 마련할 계획이다. 이밖에 서류 작성 및 제출 부담을 완화하고, 금감원에 대한 보고도 클라우드 이용 계약 후 3개월 이내에 할 수 있도록 변경한다.
망분리 규제와 관련해서는 개발·테스트 서버에 대해서는 물리적 망분리 규제를 예외적으로 완화한다. 개인신용정보 등을 보유하고 있지 않고 전자금융거래의 중요성이 낮은 개발·테스트 서버까지 물리적 망분리가 일률적으로 적용되고 있어 개발·테스트의 효율성이 저해된다는 지적을 감안한 것이다. 다만 개인정보 유출 등 보안사고 발생을 최소화하기 위해 보완조치를 마련하겠다는 방침이다.
금융거래와 무관하고 고객·거래정보를 다루지 않는 운영시스템의 경우에는 망분리의 예외를 허용한다. 또 비중요업무의 SaaS 이용시 내부망에서 가능하도록 허용한다.
중장기적으로는 금융회사 등의 책임성 확보, 금보원의 보안관제강화 등을 전제로 망분리 규제를 단계적으로 완화할 방침이다. 망분리 대상업무를 축소하고, 물리적‧논리적 망분리의 선택가능성 등을 금융회사 등에 부여하는 방식을 검토할 계획이다.
이번 개선안은 전자금융거래법 시행령과 감독규정 등을 개정해 내년부터 시행에 들어갈 계획이다. 또 연내 '금융분야 클라우드컴퓨팅서비스 이용 가이드라인'도 개정해 구체적인 절차 및 기준을 마련한다는 방침이다.
금융위는 "클라우드 및 망분리 제도개선은 금융회사 등의 자율 책임에 따른 내부통제 기준 마련 등이 전제되어야 하는 만큼, 금년 하반기 중 금융회사 등의 정보보호심의위원회 구성·운영 현황 등 내부통제시스템을 점검해 나갈 예정"이라고 밝혔다.
paq@heraldcorp.com