클라우드 이용 사후보고로 전환
획일적 망분리 단계적 완화 추진
금융권에 적용 돼 온 클라우드·망분리 규제가 해소된다. 클라우드 이용과 관련한 사전보고가 사후보고로 전환되고, 획일적으로 적용돼 온 망분리 규제는 개발·테스트 분야 등부터 단계적으로 완화된다.
금융위원회는 14일 이같은 내용을 담은 금융분야 클라우드 및 망분리 규제 개선방안을 발표했다. 이는 과도한 클라우드·망분리 규제로 인해 금융권이 디지털 신기술을 도입·활용하는데 어려움이 있다는 지적에 따른 조치다.
금융위 관계자는 "금융 분야의 디지털 전환을 안정적으로 뒷받침하기 위해 클라우드 및 망분리 규제 개선을 추진한다"고 설명했다.
우선 클라우드 이용 업무에 대한 중요도 평가기준이 명확해진다. 해외 사례 등을 감안해 업무 중요도 평가에 대한 구체적 기준을 마련하겠다는 방침이다.
금융사 등이 클라우드를 이용하려 할 때 요구돼 온 사전보고는 사후보고로 전환된다. 중요업무에 대한 계약 체결, 계약 내용의 중대한 변경 등의 경우 3개월 이내에 사후보고할 수 있도록 하겠다는 계획이다.
금융사가 클라우드 이용 전에 클라우드서비스사업자(CSP)를 대상으로 실시해야 하는 건전성‧안전성 평가 항목은 141개에서 54개로 대폭 축소된다. 특히 비중요업무는 이 중 필수항목 16개만 평가하도록 관련 절차가 대폭 간소화된다.
비중요업무에 대해서는 CSP 평가항목 중 일부 면제 등 클라우드 이용절차가 완화된다. 업무 연속성 계획, 안전성 확보조치 등 수립 시에도 비중요업무에 적합한 별도 기준을 제시함으로써 중요업무와 비중요업무간 절차적 차이점을 명확히 하겠다는 설명이다.
금융회사 등의 CSP평가 부담 완화를 위한 대표평가제도 도입된다. 금융보안원이 금융사를 대표해 CSP를 평가하고 금융회사는 금융보안원의 평가결과를 활용할 수 있도록 하겠다는 계획이다. 아울러 금융당국은 클라우드서비스 보안인증제와 유사하게 금융 분야에서도 최근 활용도가 높아지고 있는 서비스형 소프트웨어(SaaS)에 대해 별도 평가기준을 마련하기로 했다.
망분리 규제의 경우 개발·테스트 서버에 대해서는 예외적으로 완화 적용된다. 다만, 개인정보 유출 등 보안사고 발생을 최소화하기 위해 보완조치도 마련하겠다고 금융당국은 강조했다.
또 규제샌드박스를 활용해 금융거래와 무관하고 고객·거래정보를 다루지 않는 경우에는 망분리의 예외를 허용하고, 비중요업무의 SaaS 이용 시 내부망에서 가능하도록 허용된다.
이밖에 금융사 등의 책임성 확보, 금보원의 보안관제강화 등을 전제로 망분리 규제의 단계적 완화가 추진된다. 망분리 대상업무를 축소하고, 물리적·논리적 망분리의 선택가능성 등을 금융회사 등에 부여하는 방식이 검토될 계획이다.
금융당국은 이번 달 중 제도개선사항을 반영한 전자금융거래법 시행령 및 감독규정 개정안을 입법예고하고, 조속한 개정을 통해 내년부터 개정안이 시행될 수 있도록 할 예정이다.
금융위 관계자는 "올해 말까지 금융분야 클라우드컴퓨팅서비스 이용 가이드라인도 개정해 전 금융권이 실무적으로 참고할 수 있는 구체적인 절차 및 기준을 마련할 것"이라고 말했다.