금융위원회가 디지털 신기술을 통한 금융혁신을 위해 클라우드, 망분리 등 금융보안 규제를 개선한다.
현행 규제가 지나치게 엄격해 디지털 신기술 도입·활용을 통한 금융업의 혁신을 저해한다는 지적이 제기되자 규제에 대해 전면 재검토에 나선 것이다.
금융위는 전문가 및 이해관계자 등의 의견을 청취해 디지털 혁신을 위한 클라우드 및 망분리 규제 개선방안을 마련했다고 14일 밝혔다.
금융권에서는 현행 클라우드 이용 규제로는 불명확한 기준, 과도한 보고 절차 등으로 금융회사 등의 클라우드 수요에 탄력적으로 대응하는 데 한계가 있다는 지적이 나오고 있다. 또, 비중요업무의 경우에도 클라우드 이용 시 준수해야 하는 규제·절차가 중요업무와 큰 차이가 없다는 점도 문제점으로 꼽았다.
망분리 규제는 기업별·업무별 차이를 고려하지 않고 일률적으로 물리적 망분리 규제가 적용돼 개발업무 등의 효율성이 저해되고 혁신기술의 활용에 어려움이 있다는 지적이 제기됐다.
망분리 규제는 외부의 침입으로부터 내부 전산 자원을 보호하기 위해 내부망과 외부망을 분리하는 네트워크 보안기법의 일종이다. 현행 규제는 금융회사, 전자금융업자가 내부망에 연결된 전산시스템·단말기를 외부망과 물리적으로 분리해 접속을 제한하는 ‘물리적 망분리’를 채택하고 있다.
이 같은 지적에 따라 금융위는 우선 클라우드 이용규제에 대해 클라우드 이용 업무에 대한 중요도 평가 기준을 명확하게 세울 계획이다. 클라우드를 이용하는 경우 해당 업무의 중요도를 평가해야 하나, 중요도의 판단 기준이 명확하지 않았지만, 해외 사례 등을 감안하여 업무 중요도 평가에 대한 구체적 기준을 마련할 예정이다.
또한, 클라우드 이용 전에 수행해야 하는 클라우드서비스사업자(CSP)의 건전성·안전성 평가 항목이 방대하다는 지적에 따라 평가 항목을 141개에서 54개로 축소한다.
이외에도 △업무 중요도에 따른 클라우드 이용절차 차등화 △금융회사 등의 CSP평가 부담 완화를 위한 대표평가제 도입 △새로운 형태의 클라우드(SaaS)에 대한 별도 평가기준 마련 △‘업무위탁 운영기준 보완사항’ 등 제출서류 간소화 △클라우드 이용 시 사전보고를 사후보고로 전환 등을 추진한다.
금융위는 망분리 규제를 개선하기 위해 개발·테스트 분야에 대한 망분리규제를 예외 적용할 예정이다. 전자금융거래의 중요성이 낮은 개발ㆍ테스트 서버까지 물리적 망분리가 일률적으로 적용되고 있어 개발·테스트의 효율성이 저해된다는 지적에 따라 이 같은 규제 완화를 추진하는 것이다.
또한, 비금융업무 및 SaaS에 대한 망분리 예외조치도 적용된다. 금융거래와 무관하고 고객·거래정보를 다루지 않는 운영시스템에 대해 망분리 규제의 완화 필요성이 지속 제기되자 규제샌드박스를 활용해 금융거래와 무관하고 고객·거래정보를 다루지 않는 경우에는 망분리의 예외를 허용하고 비중요업무의 SaaS 이용 시 내부망에서 가능하도록 허용할 예정이다.
금융위는 중장기적으로 금융회사 등의 업무범위 등과 무관하게 일률적으로 적용되고 있는 망분리 규제를 단계적으로 완화할 계획이다. 금융회사 등의 책임성 확보, 금보원의 보안관제강화 등을 전제로 망분리 대상업무를 축소하고 물리적·논리적 망분리의 선택 가능성 등을 금융회사 등에 부여하는 방식을 검토할 예정이다.
금융위는 이달 중 제도개선사항을 반영한 전자금융거래법 시행령 및 감독규정 개정안을 입법예고하고, 조속한 개정을 통해 내년부터 시행할 수 있도록 할 계획이다.
또, 올해 말까지 금융분야 클라우드컴퓨팅서비스 이용 가이드라인도 개정해 전 금융권이 실무적으로 참고할 수 있는 구체적인 절차 및 기준을 마련하도록 한다.
금융위 관계자는 “가이드라인 개정 등 제도개선 사항이 조기에 안착될 수 있도록 다음 달부터 금융위, 금감원, 금보원, 금융협회 합동으로 유권해석반을 운영해 금융회사 등 이해당사자들과 충실히 소통해 나가겠다”라며 “클라우드 및 망분리 제도개선은 금융회사 등의 자율 책임에 따른 내부통제 기준 마련 등이 전제되어야 하는 만큼 올해 하반기 중 금융회사 등의 정보보호심의위원회 구성·운영 현황 등 내부통제시스템을 점검해 나갈 예정”이라고 말했다.