이미지 크게 보기

금융당국이 내년부터 금융 분야의 클라우드와 망분리 규제를 완화하기로 했다. 엄격한 금융 보안 규제가 디지털 신기술 도입과 활용 등 혁신을 저해한다는 지적에 따른 것이다.

금융위원회는 23일 정례회의를 열고 이런 내용으로 전자금융 감독규정을 일부 개정했다고 밝혔다.

현재는 금융사 등이 전산설비를 직접 구축하지 않아도 되는 클라우드 서비스를 이용할 때 업무 중요도 평가, 클라우드서비스제공자(CSP) 안전성 평가 등 여러 단계를 거치고 정보보호위원회의 심의·의결을 거친 후 이용계약을 체결한 다음 금융감독원에 사전 보고해야 한다.

핀테크 등 업계에서는 업무 중요도와 무관하게 복잡한 절차를 거쳐야 하고, 중요도 판단 기준이 불명확하며, 보고 절차가 과도하다는 불만이 많았다.

망분리는 금융사와 전자금융업자가 내부 전산자원을 외부 침입에서 보호하기 위해 내부망과 외부망을 분리하는 네트워크 보안기법이다. 대규모 금융전산사고 이후 2013년에 도입된 후 유사 사고가 줄었지만 규제가 기업과 업무와 무관하게 일률적으로 적용돼 개발업무 효율성이 떨어지고 혁신기술 활용에 어려움이 있다는 지적이 있었다.

이에 금융위는 지난 4월 ‘금융분야 클라우드 및 망분리 규제 개선방안’을 마련했고 이날 감독규정을 개정했다.

클라우드 이용업무의 중요도 평가 기준을 구체화해 명시했고 비중요 업무는 CSP의 건전성·안전성 평가, 업무 연속성 계획, 안전성 확보조치 절차를 완화해 수행하도록 했다. CSP의 건전성·안전성 평가 항목도 141개에서 54개로 줄였고, 사전보고는 사후보고로 바꿨다. 제출서류도 간소화했다.

망분리 규제는 연구·개발 분야에 대해서는 예외를 허용하기로 했다. 인공지능(AI), 빅데이터 등이 오픈소스 형태로 제공되고 있어 프로그램 개발 시 인터넷과의 연계가 불가피하다는 요구에 따른 것이다. 앞서 카카오뱅크의 금융기술연구소가 2020년 4월 혁신금융서비스로 지정받아 망분리 규제 특례를 적용받았는데 운영성과와 안전성이 검증된 점을 고려했다.

단 금융사는 망분리 규제를 예외적으로 적용받으면 고유식별정보 또는 개인신용정보를 처리하지 않아야 한다. 자체 위험성 평가를 해 금융감독원이 정한 정보보호통제도 적용해야 한다.

전자금융감독규정 개정안은 내년 1월부터 시행된다. 금융위는 ‘금융분야 클라우드 컴퓨팅서비스 이용 가이드’도 개정해 오는 24일 금융보안원 홈페이지에 공개한다고 밝혔다.