금융 클라우드, ‘자율보안’ 적용한다
– 보안인증제 보단 자율통제 강화, 계약서에 법적책임 명확히 하고 감독 강화
내년 1월부터 개인신용정보, 고유식별정보를 처리하는 금융사 정보시스템도 클라우드 서비스를 이용할 수 있게 된다. 금융당국은 그동안 비중요정보처리시스템을 대상으로 제한적으로 허용해온 금융 클라우드 이용 확대 방안을 마련하고, 전자금융감독규정 개정을 추진하고 있다.
금융 클라우드 이용 확대를 앞두고 그동안 가장 관심을 모았던 것이 바로 클라우드 이용·제공 기준이다. 금융위원회는 클라우드 안전성을 확보하기 위해 자율통제와 금융 클라우드 보안인증제 두 가지 방안을 검토해왔다.
보안인증제는 보안성 평가를 통과한 사업자를 통해 서비스를 제공하는 방식으로 현재 공공 부문에서 운영되고 있다. 공공기관은 반드시 안전성을 평가해 인증을 획득한 민간 클라우드 서비스만 이용할 수 있다.
금융위는 인증제보다는 금융사가 스스로 안전성을 평가해 내부통제를 강화할 수 있는 자율보안을 채택할 것으로 보인다. 다만 금융당국은 금융 클라우드 안전성 기준을 제시하고 이용현황을 보고 받아 감독하게 된다.
주홍민 금융위원회 전자금융과 과장은 24일 열린 ‘금융정보보호 컨퍼런스(FISCON) 2018’에서 금융권 클라우드 이용 확대 방안과 전자금융감독규정 개정 추진 현황 등을 소개하면서 금융 클라우드를 활용할 금융사들의 ‘자율보안’ 강화를 강조했다.
주 과장은 “금융분야에서 개인신용정보, 고유식별정보와 같은 중요정보도 클라우드에서 이용 가능하도록 범위를 확대해 금융회사와 핀테크 기업이 혁신적인 상품과 서비스를 개발할 수 있도록 추진한다”라면서 “규제를 완화하는 대신에 클라우드를 활용하는 금융회사는 자율보안을 강화해야 한다. 자율적으로 활용하되 그에 따른 책임이 수반되게 된다는 의미”라고 밝혔다.
금융위는 금융 분야의 특수성을 반영한 클라우드 서비스 안전성 기준을 제시할 예정이다. 자율보안 강화 방침에 맞춰 금융 클라우드 이용·제공 기준과 현행 ‘금융권 클라우드 서비스 이용 가이드’를 개정하고 있다.
금융권 클라우드 감독·검사체계도 보완한다. 정보의 중요도에 따라 클라우드 이용 현황을 감독당국에 보고하고 금융사와 클라우드 서비스 제공자의 책임을 명확히 하도록 할 계획이다.
주 과장은 “클라우드 아웃소싱의 하나로 정보처리 업무위탁에 해당돼 클라우드 서비스 제공자는 전자금융보조업자로 제한적으로 금융감독을 받고 있다”라면서 “금융사는 정보의 중요도에 따라 클라우드 이용현황을 감독당국에 보고하고 클라우드 제공자의 법적 책임 등을 명시하도록 보완하고 있다”고 말했다.
감독당국은 금융회사에 정보처리업무 위탁계약 시정·보완 요구권과 보조업자에 대한 수탁계약서·부속자료 등의 제출요구권을 보유하고 있다. 보조업자는 직접 감독하지 않는다.
만일 금융사와 계약돼 있는 보조업자, 즉 클라우드 서비스 제공자의 과실이 생길 경우엔 금융사의 과실로 간주된다. 금융회사가 보안대책을 수립운영하고 보조업자에 대한 보안점검을 실시해야 한다.
금융 클라우드 감독·검사체계와 관련해 주 과장은 “일차적으로는 법적 계약서에 금융사와 클라우드 제공자의 책임을 명시하도록 할 것”이라며 “간접적으로 감독하면서도 부담을 주지 않는 방향에서 실효성 있는 방안을 고민하고 있다”고 설명했다.
전자금융감독규정 개정안 금융권 클라우드 이용·제공 기준으로는 안전성 조치를 위해 위험평가 관리, 침해사고 예방과 대응, 암호화와 데이터 보호 조치 등 기본 보호조치와 함께 금융부문 추가보호조치 사항이 담겼다. 전산시스템 가동기록 보존(1년 이상) 등 안전성 확보와 이용자 보호를 위한 방안과 금융 관련법령 준수 사항이 포함돼 있다.
안전성 강화를 위한 클라우드에 대한 내부통제는 금융회사가 자율적으로 수행한다.
주 과장은 “클라우드 서비스 이용·제공 기준이 담긴 가이드를 바탕으로 클라우드 서비스 건전성과 안전성 자율평가하게 된다”라면서 “자율보안 강화 방침으로 세밀하게 감독규정을 명시하지는 않을 것”이라고 전했다.
클라우드를 활용하려는 금융사는 자체적으로 이용대상 시스템 중요도를 평가해 금융보안원의 지원을 받아 클라우드 서비스 안전성 평가를 수행한 뒤 자체 정보보호위원회 심의·의결을 통해 관리·감독하고 클라우드 이용계약을 체결하면 된다. 계약시에는 클라우드 제공자와 금융회사의 법적책임 과 금융사·감독당국의 조사·접근권을 계약서에 명시해야 한다.
금융사는 중요정보를 클라우드에서 이용할 경우 안전성 확보조치, 계약 내용 등을 감독당국에 보고해야 한다.
이용 가능한 금융 클라우드 서비스는 국내 소재 클라우드만 우선 허용된다. 외국계 클라우드 서비스의 경우 한국에 리전(데이터센터)을 갖고 있는 경우 가능하다. 주 과장은 “해외 소재 클라우드 허용 여부는 운영을 해본 뒤 평가해 추가적으로 검토할 예정이다”라면서 “대신에 물적시설 요건은 ‘보유’에서 ‘갖출 것’으로 표현을 개정해 완화한다”고 말했다.
전자금융감독규정 개정안은 입법예고 중으로 10월 말 완료되면 법제처와 규제개혁위원회 심사를 거치게 된다. 금융위 의결을 거쳐 2019년 1월 1일 시행할 예정이다.
한편, FISCON은 금융보안원이 금융정보보호협의회, 금융보안포럼과 공동으로 개최하는 연례 행사로, 올해에는 ‘테크핀 시대, 금융혁신과 정보보호’라는 주제로 데이터 활성화와 정보보호, 클라우드 이용 확대, 블록체인 활용 등 디지털 금융혁신과 금융보안 이슈 등을 다뤘다.
김영기 금융보안원 원장은 개회사에서 “국민의 재산과 금융정보를 관리하는 금융 산업은 신뢰를 필수 기반으로 하며 다른 어떤 산업분야 보다도 정보보호가 중요하다”며, “지금 금융당국과 금융회사가 추진하고 있는 디지털 혁신이 성공하기 위해서는 안전한 금융보안 환경이 반드시 전제돼야 한다”고 강조했다.
윤석헌 금융감독원 원장은“핀테크 기술을 통한 금융산업 혁신 이면에는 각종 규제 사각지대나 정보보호 등 많은 리스크가 존재한다”라며, “기술혁신이 금융 발전과 금융소비자 편익증진으로 이어지기 위해서는 금융회사와 핀테크 기업 상호간 생산적 경쟁관계의 구축, 금융감독당국의 유인(incentive)과 지원(support)을 통한 규제완화, 지속적인 보안 리스크 관리강화가 필수”라고 언급했다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network