 |
8일 서울 종로구 정부서울청사 내 금융위원회 모습/사진=뉴스1 |
금융회사들이 클라우드 기반 응용소프트웨어(SaaS)를 혁신금융서비스 심사 절차를 거치지 않고도 활용할 수 있도록 관련 규제가 완화된다.
금융위원회는 금융사가 SaaS를 활용할 경우 보안 규율을 준수하는 전제로 망분리 규제 예외를 허용하는 내용의 전자금융감독규정시행세칙 개정안 사전예고를 실시한다고 19일 밝혔다.
SaaS는 △소프트웨어 사업자들이 업데이트·유지보수 등을 지원하고 △클라우드 기반으로 다양한 단말기에서 유연한 사무 업무가 가능하며 △외부 저장공간 활용 등으로 기업 내 전산 시설 관리 부담을 덜 수 있는 등 장점으로 많은 기업의 사무관리·업무지원 용도로 활용도가 높아지고 있다.
SaaS는 외부 클라우드 서버와 금융사 내부 업무용 서버간 데이터 교환이 필요해 금융권에 적용되는 망분리 규제와 상충됐다. 이에 금융당국은 2024년 8월 혁신금융서비스 심사를 통해 충분한 보안조치를 갖춘 서비스에 대해 SaaS 활용을 허용했다. 이후 SaaS 운영과정에서 충분한 사례가 축적된 시점에 규정화를 통해 망분리 규제 예외로 허용할 계획을 마련·추진했다.
금융당국은 2023년 9월부터 총 32개 금융사가 SaaS 관련 85건의 혁신금융서비스(샌드박스)를 허용받아 안정적으로 운영했다는 점에서 충분히 사례가 쌓였다고 판단하고 이번 개정안을 마련했다.
SaaS는 전자금융거래법 제21조·전자금융감독규정 제15조에 따른 망분류 규제를 적용받지 않는다. 다만 개인정보 유출사고 우려 등을 감안해 이용자의 고유식별정보 또는 개인신용정보를 처리하는 경우에는 망분리 예외를 허용하지 않도록 할 예정이다.
망분리 규제 예외가 허용되는 만큼 엄격한 정보보호통제장치 마련을 의무화한다. 금융회사는 △침해사고 대응기관(금융보안원 등) 평가를 거친 SaaS를 이용 △접속 단말기(컴퓨터, 모바일단말 등)에 대해 보호대책 수립·안전한 인증방식 적용·최소권한 부여 등 엄격한 보안관리 △중요정보 입력·처리·유출 여부 모니터링 및 통제 △SaaS 내 데이터의 불필요한 공유·처리 방지나 허용되지 않은 외부 인터넷 접근 통제 △SaaS 이용 네트워크 구간 암호화 수립 적용 등 규율을 마련 운영해야 한다.
또 정보보호통제 이행 여부를 반기에 1회 평가하고 금융사 내 정보보위원회에 보고해야 한다.
이번 개정이 완료되면 금융사는 혁신금융서비스 심사 절차를 거치지 않고도 SaaS 서비스를 업무에 활용할 수 있다. 당국은 금융회사 사무처리·조직·성과관리 등 업무 전반 효율성이 크게 향상되고 해외 지사, 글로벌 그룹사 등과 표준화된 사무처리 시스템을 갖춰 기관 내·외간 협업이 훨씬 용이해질 것으로 봤다. 금융사가 IT 자원을 효율적으로 쓸 수 있어 비용절감 효과도 크다고 봤다.
전자금융감독규정시행세칙 개정안은 오는 20일부터 내달 9일까지 규제개혁위원회 심사 등 절차를 거쳐 신속히 확정·시행될 방침이다. 시행시점에 맞춰 보안위협에 대응하기 위한 상세 대응요령을 담은 보안해설서도 마련해 배포할 예정이다.
금융당국 관계자는 "금융사가 다양한 IT기술을 활용하여 서비스 개선에 매진할 수 있도록 제도개선을 적극적으로 추진하는 한편, 망분리 규제 완화가 자칫 금융권 보안 수준 약화로 이어지지 않도록 금융권이 자율적·체계적으로 보안을 철저히 챙기도록 유도하는 제도 마련도 서두를 계획"이라고 말했다.
이강준 기자 Gjlee1013@mt.co.kr
Copyright ⓒ 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지.
이 기사의 카테고리는 언론사의 분류를 따릅니다.