클라우드 사업자 평가항목·망분리 규제 완화

금융당국이 금융분야의 디지털 전환의 안정적인 지원을 위해 클라우드 및 망분리 규제 개선을 추진한다.

금융위원회는 디지털 신기술이 금융분야에 확대 적용할 수 있도록 클라우드 및 망분리 규제에 대한 재검토와 단계적 제도개선을 추진한다고 14일 밝혔다.

그동안 금융업무의 디지털 신기술에 대한 금융권의 수요가 늘었지만, 클라우드, 망분리 등 현행 금융보안 규제가 지나치게 엄격하다는 지적이 이어졌다. 이에 당국은 전문가와 이해관계자 등의 의견을 청취해 디지털 혁신을 위한 클라우드 및 망분리 규제 개선방안을 마련했다.

먼저 클라우드서비스사업자(CSP)의 평가항목을 141개에서 54개로 대폭 축소한다.

금융회사 등은 클라우드 이용 전에 CSP의 건전성·안전성 평가를 수행해야 하는데, 평가항목이 많고 항목 간 중복이 존재해 절차 중 큰 부담으로 작용했다. 이에 절반 이하로 간소화하며, 비중요업무는 그 중 필수항목 16개만 평가하도록 대폭 간소화했다. 또한 CSP 평가 등 절차 개선은 정보보호위원회의 심의·의결을 거치도록해 금융회사 등의 책임성은 확보한다는 계획이다.

금융회사 등의 CSP평가 부담 완화를 위한 대표평가제를 도입한다. 기존에는 특정 금융회사가 특정 클라우드를 이용하기 위해 CSP 평가를 했더라도, 다른 금융회사가 동일한 클라우드를 이용하기 위해서는 별도의 CSP평가를 수행해야 했다. 그러나 개선을 통해 금융보안원이 금융회사를 대표해 CSP를 평가하고, 금융회사는 금융보안원의 평가결과를 활용할 수 있도록 한다.

망분리 규제 부분에서도 개발·테스트분야에서는 예외 적용, 단계적 망분리 규제 완화를 추진 등의 개선방안을 마련했다.

현행 망분리 규제에서는 금융회사 등의 업무범위와는 무관하게 일률적으로 적용됐다. 그러나 이번 개선을 통해 금융회사 등의 책임성 확보, 금보원의 보안관제강화 등을 전제로 망분리 규제의 단계적 완화를 추진한다. 망분리 대상업무를 축소하고, 물리적·논리적 망분리의 선택가능성 등을 금융회사 등에 부여하는 방식을 검토할 계획이다.

이 외에도 규제샌드박스를 활용해 금융거래와 무관하고 고객·거래정보를 다루지 않는 경우에는 망분리의 예외를 허용한다. 특히 비중요업무의 SaaS 이용 시 내부망에서 가능하도록 허용함과 동시에 부가조건으로 정보보호를 위한 보완장치를 마련했다.

금융위원회 관계자는 "제도개선사항을 반영한 전자금융거래법 시행령 및 감독 규정 개정안을 입법예고하고, 조속한 개정을 통해 내년부터 시행될 수 있도록 하겠다"고 말했다.

이영석기자 ysl@