클라우드 도입 규제도 완화…평가방법·기준 분명히 하고 절차 단순화
[데이터넷] 금융기관 망분리 규제가 대폭 개선된다. 금융위원회는 15일 개발·테스트, 비금융업무·SaaS 등에 대해서는 망분리 규제를 예외한다고 밝혔다.
금융위는 과도한 클라우드·망분리 규제로 금융기관이 신기술을 도입·활용하는데 어려움이 있다는 점을 인정하고, 금융분야 디지털 전환을 안정적으로 뒷받침하기 위해 규제 개선을 추진한다고 설명했다.
망분리 예외 적용되는 분야 중 개발·테스트는, 개인신용정보를 보유하지 않고, 전자금융거래 중요도가 낮은 개발·테스트 서버까지 물리적 망분리가 일률적으로 적용되도록 한 것이 개발 업무 효율성을 크게 저해한다는 점을 개선하기 위해 적용됐다. 이미 2020년 4월 규제샌드박스를 통해 신기술 금융서비스 연구·개발을 위한 카카오뱅크 부설 금융기술연구소 망분리 규제 예외 조치를 시행한 바 있다.
개인정보 유출 등 보안사고 발생을 막기 위한 보안조치를 마련, 고객 신용정보·계좌거래 정보 등 개인정보를 다루는 업무는 불가하며, 오픈소스 접속·활용 등에 대한 내부 기준을 수립·이행해야 한다.
금융기관 내부 경영진원 업무로 사용하는 인사·그룹웨어 등 비금융업무와 중요도가 낮은 SaaS 활용 업무도 망분리 규제에서 제외된다. 금융거래와 무관하고 고객·거래정보를 다루지 않는 경우 망분리 예외를 허용하며, 비중요업무 SaaS는 내부망에서 이용할 수 있게 했다.
금융위는 중장기 계획으로 단계적 망분리 규제 완화를 추진한다. 예를 들어 고객정보를 보유하지 않고 자산운용에만 집중하는 자산운용사의 경우, 은행과 동일한 수준의 망분리 규제를 적용하는 것이 합리적이지 않다는 지적을 받아들여 개선할 계획이다. 더불어 물리적·논리적 망분리 선택 가능성을 금융사가 자체 결정하는 등으로 규제를 완화할 방침이다. 이로 인한 보안 문제가 발생하지 않도록 금융보안원 보안관제 강화, 금융사 책임성 확보 등에도 나설 계획이다.
클라우드 이용, 사후보고로 전환
클라우드 이용 규제도 완화해 금융기관의 디지털 전환 속도를 높일 계획이다. 금융권은 클라우드를 내부업무, 고객 서비스 등의 업무에 주로 활용했으며, 최근 데이터 분석, 시스템 관리, 인터넷·모바일 뱅킹 등 핵심업무에도 클라우드 활용도를 높이고 있다.
그러나 핵심 업무에 클라우드를 활용하기 위해서는 ▲업무중요도 평가 ▲업무연속성 계획 ▲안전성 확보조치 방안 수립 ▲업무위수탁기준 보완 ▲클라우드서비스제공자(CSP) 안전성 평가 등을 수행한 후 ▲정보보호위원회 심의·의결을 거쳐 클라우드 이용계약을 체결하고 ▲금융감독원 사전보고 해야 한다.
이처럼 복잡한 클라우드 이용 규제와 불명확한 기준, 과도한 보고 절차 등으로 금융회사 클라우드 수요에 탄력적으로 대응하기 어려웠으며, 비중요 업무에도 지나친 규제·절차가 적용돼 클라우드 이용을 저해하는 측면이 있었다.
그래서 클라우드 이용 시 업무 중요도 평가 기준을 분명히 하고, CSP 건전성·안전성 평가를 141개에서 54개로 축소하며, 비중요업무는 CSP 평가항목 중 일부 면제, CSP 평가 부담 완화를 위한 대표 평가제, SaaS에 대한 별도 평가 기준 마련, 클라우드 이용 보고를 사후 보고로 전환 등이 시행된다.
