[사진=게티이미지뱅크]
한국 금융권이 중국을 제외한 아시아태평양지역 주요 11개국 가운데 퍼블릭클라우드 도입 시 두 번째로 까다로운 규제를 갖고 있는 것으로 분석됐다. 까다롭다는 건 해당 국가의 금융 규제가 클라우드 사용 시 데이터의 물리적 위치나 외부 접근가능성 등을 제한해, 아마존웹서비스(AWS), 마이크로소프트(MS), 구글클라우드 같은 외국 업체의 현지 시장 진입을 가로막거나 어렵게 할 수 있다는 의미다. 금융 분야 클라우드 규제가 가장 까다로운 나라는 인도네시아였고, 가장 제약이 덜한 곳은 싱가포르였다.
17일 업계에 따르면 아시아클라우드컴퓨팅협회(ACCA)는 최근 이같은 내용을 담은 '금융서비스와 기술도입 보고서: 아태지역 금융서비스 클라우드에 대한 개선'의 2021년도 개정판 보고서를 발간했다. 이 보고서는 아태지역 11개국의 금융부문에서 도입되는 클라우드와 기술 수준을 분석하고, 금융 당국이 ACCA가 제시하는 클라우드 관련 10대 규제완화 권고사항을 얼마나 수용·시행하고 있는지를 기준으로 각국 금융 클라우드 시장을 평가한 결과를 담고 있다.
퀸트 사이먼 ACCA 부회장은 "클라우드 기반 도구가 치열한 재택근무기간 동안 전 세계의 소통과 협업을 위한 새로운 수단으로 급속히 도입됐다"라며 "이 덕분에 클라우드 컴퓨팅을 도입하지 않았다면 훨씬 더 까다롭고 비용이 많이 들었을 수 있는 기능을 지닌 금융사 기술시스템에 대한 비즈니스 효율성이 높아졌고 스트레스의 위험이 완화됐다"고 주장했다. 사이먼 부회장은 세계 클라우드서비스 시장 1위 업체인 AWS의 아태·일본 공공정책 총괄 임원이다.
바버라 나바로 ACCA 재무담당자는 "많은 규제기관들이 금융 분야에서 클라우드 도입을 수용하는 수준을 넘어서 금융사들이 클라우드의 이점을 고려하도록 적극 장려하는 조치를 취하고 있어 반갑게 생각한다"라고 말했다. 그는 세계 클라우드서비스 시장의 3위 업체인 구글클라우드의 대관업무·공공정책 담당 디렉터이기도 하다.
에릭 휘 ACCA 회장은 "이 보고서의 분석 결과 주요 시장이 우리의 모든 권고를 이행하진 못했지만 대부분은 달성한 것으로 나타났다"라면서 "호주·필리핀·싱가포르·일본의 금융 규제당국은 금융사가 클라우드를 도입하는 것을 명확하게 지지하거나 지침을 통해 강력하게 긍정적인 입장을 취하고 있다"라고 평가했다.
메이안 림 ACCA 전무는 "금융사의 클라우드 도입과 기술 혁신을 저해하는 규제 요구사항 때문에 클라우드로의 전환이 어려운 시장도 있다"라며 "이 보고서는 이런 시장별 미묘한 차이를 더 자세히 알아볼 수 있는 심층 분석을 제공한다"라고 설명했다.
10대 규제완화 권고사항, 한국 점수는 '60점 만점에 29점'
한국의 퍼블릭클라우드 관련 금융 규제 개선권고 이행 수준 평가결과. [자료=아시아클라우드컴퓨팅협회 보고서]
ACCA는 "아태지역 각국 금융 분야에서 규제기관, 금융사, 클라우드사업자들 간의 지속적인 협의와 이익의 증진이 나타나고 있지만 규제 측면의 시장 조건은 동등하지 않다"고 지적하면서, 금융 서비스의 디지털 전환을 가속화하고 위험을 완화하기 위해 금융규제를 개선하고 클라우드 서비스 도입을 촉진할 수 있는 10가지 권고사항을 제시했다. 한국 금융클라우드 시장에서 이 10가지 권고사항의 이행 정도는 총 60점 만점에 29점으로, 다른 국가 대비 낮게 평가됐다.
각 권고사항의 평가 점수는 최고 6점에서 최저 0점까지다. 한국의 경우 '규정을 통해 정부가 클라우드사업자의 시설에 무제한의 물리적인 감사 접근 권한을 갖게 해선 안 된다'는 여덟 번째 권고사항 이행 수준이 0점을 기록했다. 금융사와 클라우드사업자 간 계약을 통해 규제기관에 이들을 감사할 권한을 부여하도록 요구하는 전자금융감독규정과 클라우드발전법 등에 따라, 금융보안원과 과학기술정보통신부가 이들을 감사·조사할 권한을 갖고 있기 때문이었다.
여섯 번째 권고사항인 '지리적 제약(Geographic Restrictions)' 부문은 1점이었다. 이 권고사항은 '(a)국경 간 데이터 전송을 허용할 것'과 '(b)특정 지역에 데이터 저장을 요구하지 않을 것'으로 나뉘었다. 한국은 고유개인정보와 개인신용정보를 국내에서만 처리하고 덜 핵심적인 개인정보만 해외에서 처리할 수 있게 해, 대체로 국경 간 데이터 전송을 허용하지 않는다는 이유로 a 항목에 1점을 맞았다. 그리고 금융 소비자의 중요 정보를 반드시 국내에 저장하도록 하고 있어 b 항목에 0점을 맞았다.
첫 번째 '정부가 금융사의 퍼블릭클라우드 도입(이 가능함)을 공개적으로 선언하는 것', 일곱 번째 '규정에서 클라우드 계약상의 조건을 제시하지 않을 것', 아홉 번째 '규정과 규제기관이 외국과 국내 클라우드사업자에 중립적일 것' 등 세 권고사항의 이행수준은 2점씩을 받았다. 관련 한국 규정은 클라우드의 이점을 인식하나 퍼블릭클라우드에 대한 얘기는 없고, 규정에 클라우드 계약과 관련된 요구사항이 과도하게 상세하며, 국내 사업장 주소 요구 등 일부 규정이 외국 클라우드사업자에 불리하다는 평가를 받았다.
긍정적인 평가도 물론 있었다. 두 번째 '금융사가 클라우드 도입 시 수행해야 할 규정상 절차가 명확하고 그게 과도한 부담을 주지 않을 것', 세 번째 '각 워크로드에 대한 클라우드를 구현 시 규제 당국의 사전 승인을 요구하지 않을 것', 네 번째 '규정이 위험기반(risk-based)이며 물질·비물질적 작업에 대한 적용 가능성을 명확히 구별하고 비물질적 요구사항을 최소화할 것', 열 번째 '금융사가 효과적인 운영 복원에 대한 위험기반 접근방식을 장려할 것' 등 네 권고사항에 각각 4점씩을 받았다.
6점 만점을 받은 부분은 '규정에서 데이터 통제(control)와 처리(processing)를 명확하게 구분할 것'을 제시한 다섯 번째 권고사항 하나뿐이었다. 한국이 데이터의 통제를 수행하는 주체와 처리를 수행하는 주체를 법령에서 명확하게 구분한 덕분이다. 이는 개인정보 수집활동을 직·간접적으로 수행하는 개인, 조직, 법인, 공공기관 등을 아울러 '개인정보처리자'로 정의하고, 이 업무를 외부에 맡길 경우 그 통제 주체를 위탁자(outsourcer), 처리 주체를 수탁자(outsourcee)로 명시한 '개인정보보호법'의 체계다.
아태 11개국 중 '뒤에서 2등' 한국, 좋거나 나쁜 것 아니다
아태지역 11개국의 퍼블릭클라우드 관련 금융 규제 개선권고 이행수준 평가결과 비교 그래프. [자료=아시아클라우드컴퓨팅협회 보고서]
ACCA 보고서의 분석 결과에서 단순히 특정 국가의 평가 점수가 '낮으면 나쁘고, 높으면 좋은 것'은 아니다. 각국의 규제가 해외 퍼블릭클라우드 사업자에게 얼마나 책임을 덜 부과하고 많은 재량을 허용하느냐가 이 보고서 평가의 핵심 기준이기 때문이다. 이 보고서의 평가로 높은 점수를 얻은 해외 시장이 현재 한국 금융 클라우드 수요를 공략하고 있는 국내 퍼블릭클라우드 사업자들의 진출에도 유리할 것이라고 단정할 수는 없다.
이 10대 규제완화 권고사항은 영국을 모델로 삼았다. 영국과 동등한 수준으로 금융 분야 클라우드 도입이 자유로운 국가는 이 보고서의 평가 기준으로 60점 만점을 받을 수 있다. 실제 평가 대상인 아태지역 11개국(싱가포르, 일본, 필리핀, 호주, 홍콩, 태국, 인도, 미얀마, 대만, 한국, 인도네시아) 중 최고 점수는 싱가포르의 56점이었고, 최하 점수는 인도네시아의 27점이었다. 금융사가 퍼블릭클라우드를 쓰기에 인도네시아가 가장 까다롭고, 29점을 기록한 한국이 그다음으로 까다롭다는 얘기다.
시장이 폐쇄적인 건 아니다. 금융권을 공략하려는 퍼블릭클라우드 사업자들에게 한국의 금융정책을 총괄하는 금융위원회와 정책을 시행하는 금융감독원이 핵심 규제기관이 되는데, 2019년부터 시행된 개정 전자금융감독규정은 고유개인정보와 개인신용정보까지 클라우드 사용을 허용할 만큼 금융사의 클라우드 도입을 허용하고 장려한다. 보고서에 따르면 한국의 퍼블릭클라우드 시장 규모는 오는 2023년에 지난 2018년 대비 두 배 수준인 30억 달러 규모로 증가할 만큼 성장 가능성도 높다.
다만 데이터 현지화와 세부사항 보고 요구, 정보통신망법의 글로벌 ICT기업에 대한 '국내 대리인 지정' 의무는 부담이다. 규제가 강화되는 경향도 있다. 예를 들면 감사자는 '보완적 통제(compensatory controls)' 방식을 고려하지 않고 정확하게 법령상 요건을 따라야 한다. 또한 이 규정들은 자주 변경된다. ACCA 측은 "이런 조치가 누적돼 국내 클라우드 시장 성장을 둔화시킬 수 있다"라며 "금융위가 금융 분야 클라우드 규제를 완화할 계획이지만 구체적인 일정은 아직 나오지 않았다"라고 지적했다.
전 세계 금융 분야 클라우드 수요는 확대될 전망이다. ACCA는 "코로나19 팬데믹(세계적 대유행) 기간에 금융사들은 비즈니스 중단을 최소화하면서 디지털 방식으로 전환해야 할 필요성이 크게 높아졌다"라며 "금융 분야의 복원력은 온라인·모바일 앱으로 거래를 지원하고 안전하게 원격 신원확인이나 다른 유형의 고객확인(KYC) 절차 요구를 지원하는 클라우드 기술을 통해 높아졌고 이를 통해 물리적인 상호작용과 가상의 연결 간 균형을 유지하는 새로운 관계 관리 방법을 마련했다"라고 진단했다.
- 기자 정보
- 임민철
- imc@ajunews.com
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[포토] 거수경례하는 해병대 예비역 연대 회원들](https://image.ajunews.com/content/image/2024/05/02/20240502161139935009_388_136.jpg)
![[포토] 이태원특별법 본회의 통과](https://image.ajunews.com/content/image/2024/05/02/20240502160618363300_388_136.jpg)
![[포토] 시흥 교량붕괴 합동감식](https://image.ajunews.com/content/image/2024/05/02/20240502120508946247_388_136.jpg)
![[포토] 연정훈·한가인 부부, 행사장에서도 꽁냥꽁냥](https://image.ajunews.com/content/image/2024/05/02/20240502115800363114_388_136.jpg)
![[금투세 폐지 논란] 코리아 디스카운트 심화...韓증시 불확실성 높여](https://image.ajunews.com/content/image/2024/01/03/20240103150426112900_388_136.jpg)
