개인신용정보 취급 않는 인사·화상회의 등 업무 대상
금융당국 "보안 우려 불식 위해 엄격한 정보보호 통제장치 의무화"
금융권의 '망분리' 규제가 완화된다. 앞으로 은행·증권·보험 등 금융사는 별도의 심사 절차 없이도 내부 업무망에서 '클라우드 기반 응용 소프트웨어(SaaS)'를 활용할 수 있게 될 예정이다.
금융위원회와 금융감독원은 금융사가 내부 업무망에서 SaaS를 이용할 때 망분리 규제의 예외를 허용하는 내용의 '전자금융감독규정시행세칙' 개정안을 마련하고 오는 20일부터 사전 예고에 들어간다고 19일 밝혔다.
그동안 금융권은 해킹 등 외부 침입을 차단하기 위해 내부 업무망과 외부 인터넷망을 원천적으로 분리하는 망분리 규제를 적용받아 왔다. 이 때문에 외부 서버와 데이터 교환이 필수적인 SaaS를 이용하려면 금융당국으로부터 '혁신금융서비스(규제 샌드박스)' 지정을 받아야 했다.
금융당국은 지난 2023년 9월부터 총 32개 금융사가 85건의 SaaS 관련 혁신금융서비스를 안정적으로 운영해 온 점을 감안, 이를 상시적인 제도로 정착시키기로 했다.
금융당국 관계자는 "충분한 보안 조치를 전제로 SaaS 운영 과정에서 보안성 문제를 해소할 만한 사례가 축적됐다고 판단했다"고 설명했다.
구체적으로, '클라우드컴퓨팅 발전 및 이용자보호에 관한 법률 시행령'에 따른 SaaS가 망분리 규제의 예외 적용을 받게 된다. 주로 문서작성, 화상회의, 가상 업무 공간, 인사·성과 관리 등의 업무지원 도구가 이에 해당한다.
다만, 보안 우려를 고려해 모든 SaaS가 허용되는 것은 아니다. 이용자의 고유식별정보나 개인신용정보를 처리하는 경우에는 예외 없이 기존의 망분리 규제가 유지된다. 고객 정보 유출 사고를 원천 차단하기 위한 조치다.
금융당국은 규제 완화에 따른 보안 공백을 막기 위해 정보보호 통제 장치 의무화라는 안전장치도 마련했다.
금융사는 금융보안원 등 침해사고 대응 기관의 보안성 평가를 통과한 SaaS만 이용해야 하며, 접속 단말기에 대한 보호 대책과 네트워크 구간 암호화 등을 수립해야 한다. 또한 중요 정보의 입력·처리를 모니터링하고, 클라우드 내 데이터의 불필요한 공유를 통제하는 시스템을 갖춰야 한다.
이행 여부에 대한 점검도 강화된다. 금융사는 정보보호 통제 이행 여부를 반기에 1회 평가하고, 이를 정보보호최고책임자(CISO)가 위원장인 정보보호위원회에 보고해야 한다.
금융당국은 이번 SaaS 규제 개선을 시작으로 생성형 인공지능(AI) 도입 등 추가적인 망분리 개선 과제도 속도를 낼 방침이다.
한편, 이번 개정안은 오는 2월 9일까지의 사전예고 기간과 규제개혁위원회 심사를 거쳐 확정·시행되며, 시행 시점에 맞춰 상세 보안 해설서도 배포될 예정이다.
