금융사 클라우드 이용 쉬워진다...망분리 규제도 완화
2022.11.23 17:40
수정 : 2022.11.23 17:40기사원문
금융위원회는 23일 정례회의를 열고 금융사의 클라우드 이용절차 합리화하고 망분리 규제를 개선하는 '전자금융감독규정 개정안'을 의결해 내년 1월 1일부터 시행한다고 밝혔다.
우선 금융위는 클라우드 이용업무의 중요도 평가 기준을 마련하고 업무 중요도에 따라 이용절차가 차등화했다.
그간 금융사는 업무 중요도와 관계없이 동일한 클라우드 이용절차를 준수해왔다. 이에 업계에서는 업무 중요도와 관계없이 복잡한 절차를 거쳐야 하고 중요도 판단 기준이 불명확하다는 지적이 잦았다.
이에 클라우드 이용업무의 중요도 평가 기준을 구체화해 명시하고 비중요 업무에 대해서는 클라우드서비스제공자(CSP)의 건전성 및 안전성 평가, 업무 연속성 계획, 안전성 확보조치 절차를 완화해 수행할 수 있도록 개선했다. CSP의 건전성과 안전성 평가항목도 정비했다. 141개에서 54개로 평가항목을 정비하고 소프트웨어 형태의 클라우드(SaaS)의 완화된 평가 기준을 마련했다.
아울러 클라우드 이용 시 사전보고를 사후보고로 전환하고 제출서류도 간소화했다. 현재 금융사는 중요업무에 대해 클라우드를 이용할 때 7영업일 이전에 금융감독원장에 사전보고해야 하는 불편함을 겪어 왔다. 이제 클라우드 이용계약을 신규로 체결하거나 계약 내용의 중대한 변경 등이 있는 경우 3개월 이내에 금융감독원장에 사후보고하면 된다.
연구·개발 분야의 망분리 규제도 완화된다. 그간 업계에서는 프로그램 개발 등을 위해 오픈소스 등을 활용해야 하는 금융사의 연구·개발 분야에도 물리적 망분리 규제가 일률적으로 적용돼 혁신을 저해한다는 지적이 제기됐다.
금융당국은 지난 2020년 4월 금융규제 샌드박스를 통해 카카오뱅크의 '금융기술연구소'를 혁신금융서비스로 지정해 망분리 규제 특례를 부여한 바 있다. 금융위는 이같은 사례로 운영성과 및 안정성 등이 검증된 만큼 이용자의 고유식별정보 또는 개인신용정보를 처리하지 않는 것을 전제로 연구·개발 분야에 대해서는 망분리의 예외를 허용하기로 했다.
다만 금융사는 고유식별정보 또는 개인신용정보를 처리하지 않아야 망분리 예외를 적용받을 수 있다. 자체 위험성 평가도 실시해 금융감독원이 정한 정보보호통제도 적용해야 한다.
이번 전자금융감독규정 개정안은 내년 1월부터 시행된다. 금융위는 오는 24일 ‘금융분야 클라우드 컴퓨팅서비스 이용 가이드’도 개정해 금융보안원 홈페이지에 공개할 예정이다.
eastcold@fnnews.com 김동찬 기자