금융위, 금융사 클라우드·망분리 단계적 완화…개발 분야 예외 허용

[사진=아주경제DB]

금융당국이 금융사 클라우드·망분리 규제를 단계적으로 완화한다. 금융사가 클라우드 이용을 할 수 있는 업무 범위가 명확해지고 이용 절차가 정비되면서 일률적∙획일적으로 적용되어 온 망분리 규제를 개발∙테스트 분야 등부터 단계적으로 풀기로 했다. 

14일 금융위원회는 '금융 분야 클라우드 및 망분리 규제 개선 방안'을 발표했다. 그동안 과도한 클라우드 및 망분리 규제로 인해 디지털 신기술을 도입∙활용하는 데 어려움이 있다는 의견이 지속적으로 제기된 데 따른 것이다. 클라우드란 전산설비를 직접 구축하는 대신 전문 업체에서 IT자원을 필요한 만큼 탄력적으로 제공받아 사용하는 컴퓨팅 환경이다.

금융사가 클라우드를 이용하려면 △업무 중요도 평가 △업무 연속성 계획 수립 △안전성 확보 조치 방안 수립 △업무 위·수탁 기준 보완 △클라우드서비스제공자(CSP) 안전성 평가 △정보보호위원회 심의·의결 △금융감독원 사전보고 등 절차를 거쳐야 하는데, 각 단계에 대해 전반적으로 개선책을 마련했다.

 

[표=금융위원회]

총 141개인 클라우드서비스사업자(CSP) 평가항목을 54개(필수 16개+대체 38개)로 간소화했다. 특히 비중요 업무는 그중 필수항목(16개)만 평가하도록 평가항목을 대폭 간소화했다.

비중요 업무에 대해서는 CSP 평가항목 중 일부 면제 등 클라우드 이용 절차를 완화한다. 업무 연속성 계획, 안전성 확보 조치 등 수립 시에도 비중요 업무에 적합한 별도 기준을 제시함으로써 중요 업무와 비중요 업무 간 절차적 차이점을 명확히 한다는 방침이다.

CSP 평가 부담 완화를 위한 대표평가제도 도입한다. 금융보안원이 금융회사를 대표해 CSP를 평가하고 금융사는 금융보안원의 평가 결과를 활용할 수 있다. 클라우드서비스 보안인증제(CSAP)와 유사하게 금융 분야에서도 SaaS(Software as a Service)에 대한 별도 평가기준을 마련한다.

또한 금융사 등이 클라우드를 이용하려 할 때 요구되는 사전보고를 사후보고로 전환한다. 중요 업무에 대한 계약 체결, 계약 내용의 중대한 변경 등에 대해서는 3개월 이내에 사후 보고할 수 있도록 한다는 방침이다.

금융위는 망분리 규제 개선 방안을 위해 개발·테스트 서버에 대해서는 물리적 망분리 규제를 예외적으로 완화한다. 규제 샌드박스를 활용해 금융거래와 무관하고 고객·거래정보를 다루지 않을 때에는 망분리의 예외를 허용한다.

중장기적으로는 금융회사 등 책임성 확보, 금보원의 보안관제 강화 등을 전제로 망분리 규제를 단계적으로 완화할 방침이다. 망분리 대상 업무를 축소하고, 물리적‧논리적 망분리의 선택 가능성 등을 금융회사 등에 부여하는 방식을 검토할 계획이다.

이번 개선안은 전자금융거래법 시행령과 감독규정 등을 개정해 내년부터 시행에 들어갈 계획이다. 또 연내에 '금융 분야 클라우드컴퓨팅서비스 이용 가이드라인'도 개정해 구체적인 절차와 기준을 마련한다는 방침이다.

금융위는 "이달 제도 개선 사항을 반영한 전자금융거래법 시행령과 감독규정 개정안을 입법예고하고, 조속한 개정을 통해 2023년부터 시행될 수 있도록 하겠다"면서 "올해 말까지 ‘금융 분야 클라우드컴퓨팅서비스 이용 가이드라인’도 개정해 전 금융권이 참고할 수 있는 구체적인 기준을 마련하겠다"고 말했다.