내년부터 바뀌는 금융 클라우드·망분리 규제

By홍하나

내년부터 금융권에 적용되는 클라우드와 망분리 규제 일부 내용이 바뀐다. 금융당국은 그동안 규제로 인해 신기술 활용에 어려움을 겪은 금융권의 의견을 수렴해 규제를 손봤다. 금융사의 클라우드 서비스 활용 시 사전보고에서 사후보고로 바꾸고, 연구·개발 등 비중요 업무에 망분리 예외조치를 허용하는 내용을 담았다. 

김성웅 금융보안원 금융혁신지원팀장은 15일 금융보안원이 주최한 ‘금융정보보호 컨퍼런스(FISCON) 2022’에서 내년부터 시행되는 전자금융감독규정 개정안 주요 규정을 소개했다. 

앞서 금융위는 올 4월 ‘클라우드 및 망분리 규제 개선방안’을 발표했다. 금융사의 클라우드 활용 시 이용 절차를 간소화하고, 망분리의 경우 개발·테스트 분야부터 단계적으로 완화한다는 내용이다. 금융당국은 이러한 내용을 반영한 전자금융감독규정 개정안을 변경·예고한 바 있다. 새로운 전자금융감독규정 개정안은 내년 1월부터 시행된다. 

김성웅 팀장은 “금융권의 인공지능(AI), 빅데이터, 클라우드 등 신기술 활용이 핵심업무까지 확대되고 있다”며 “신기술을 활용하려면 인터넷 연계가 꼭 필요한데 금융 규제는 망분리, 클라우드 이용 절차가 엄격해 그간 신기술 활용에 어려움이 있다는 이야기가 있었다”며 규제 개선 배경에 대해 설명했다. 

클라우드

그동안 클라우드 서비스 활용 시 금융사가 꼭 해야 했던 업무의 중요도 평가 기준과 업무 연속성 계획, 안전성 확보조치 수립 기준이 모호하다는 지적이 이어졌다. 업무 중요도와 관계없이 이용절차가 일률적으로 규정되어 금융사의 불만을 샀다. 예를 들어 간단한 업무와 핵심 업무에 적용되는 클라우드 규제가 같아 효율이 떨어진다는 의견이 많았다. 

그러나 내년부터 클라우드 이용업무의 중요도 평가 기준이 구체화된다. 업무의 규모, 복잡성 등에 따라 분류가 이뤄진다. 또 업무 연속성 계획, 안전성 확보조치 수립 절차가 명확해진다. 

금융위는 비중요 업무의 경우 업무 연속성 계획, 안전성 확보조치 절차를 완화했다. 중요업무로 분류된 경우 필수사항과 추가사항을 모두 준수해야 하는 반면, 비중요 업무로 분류된 경우 필수사항만 준수할 수 있다. 

김성웅 팀장은 “클라우드 서비스 이용절차를 명료화, 간소화해 절차 준수에 대한 부담을 완화했다”고 말했다. 

또 클라우드컴퓨팅서비스제공자(CSP)에 대한 평가를 개선했다. 지금까지 금융사마다 CSP의 건전성, 안전성 평가를 별도 수행해야 했다. 예컨대 A 금융사가 특정 CSP에 대한 평가를 했어도 B금융사가 동일한 클라우드 서비스를 이용하려면 다시 동일한 평가를 수행해야 했다. 

이뿐만이 아니다. CSP 건전성, 안전성 평가 항목이 비슷하고 중복되는 문제점이 있었다. 업무 중요도, 클라우드 유형에 대한 고려 없이 평가항목을 규율한 점도 꾸준히 지적된 사항이다.  

결국 금융위는 침해사고대응기관이 CSP를 평가하고 해당 결과를 금융사 등이 활용하는 대표평가제를 도입한다. CSP 건전성·안전성 평가항목을 간소화하고 평가기준·항목을 명시적으로 규정에 포함한다. 비중요 업무나 새로운 형태의 클라우드 서비스(SaaS)에 대한 차등평가 기준도 마련한다. 

아울러, 사후보고와 제출서류를 간소화했다. 기존에는 중요업무의 클라우드 서비스 이용 시 7영업일 전 금융감독원장에게 의무적으로 사전 보고해야 했다. 여기에 보고 시 제출해야 하는 자료의 범위가 과도하다는 의견이 많았다.

금융위는 사전보고에서 사후보고로 전환했다. 사후보고를 해야 하는 사례도 규정했다. 클라우드컴퓨팅서비스 이용계약을 신규 체결한 경우, CSP의 중대한 변경사항이 발생할 경우, CSP가 서비스 품질 유지나 안전성 확보 등 중요한 계약 사항을 이행하지 않은 경우 3개월 이내에 금감원장에게 사후보고 하는 내용이다. 

망분리

금융위는 금융사가 연구·개발을 목적으로 하는 경우 망분리를 예외조치하기로 했다. 그간 개인신용정보 등을 처리하지 않는 연구·개발 분야까지 물리적 망분리 규제가 적용된다는 비난을 수용했다. 

이때 말하는 ‘연구·개발 목적’은 금융회사가 전자금융서비스 등 업무 수행에 필요한 프로그램, 정보처리 시스템 등을 제작하는 것을 의미한다.

금융위가 제시하는 이상적인 내부망과 물리적으로 분리된 연구개발망 구축 방안

금융위는 연구·개발 목적일 때 금융회사 등이 자체 위험성 평가를 실시하고, 금감원장이 정한 망분리 대체 정보보호 통제를 적용한 경우 망분리 규제를 완화하기로 했다. 다만 이 과정에서 실제업무를 처리하거나 고객대상 서비스인 경우는 금지된다. 

또 비중요 업무의 서비스형소프트웨어(SaaS) 이용 시 망분리 조치를 예외한다. 규제샌드박스를 활용해 금융거래와 무관하고, 고객·거래정보를 다루지 않았다면 내부망에서 비중요 업무의 SaaS 이용이 가능하다. 다만, 금융위는 금융사의 책임성을 확보하고 금융보안원의 보안관제강화를 전제로 단계적으로 완화할 방침이다.

글. 바이라인네트워크

<홍하나 기자>0626hhn@byline.network

작은 것이라도 지나치지 않겠습니다. 0626hhn@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다