금융권 ‘망분리 빗장’ 풀렸다…샌드박스 심사 없이도 내부망 SaaS 전면 허용

앞으로 금융사들이 샌드박스 신청을 하지 않고 자체적으로 정보보호 툴을 내부망에 도입할 수 있게 됐다. 금융사가 내부 업무망에서도 클라우드 기반 소프트웨어(SaaS)를 사용할 수 있도록 '망 분리 규제' 예외가 허용되는 것이다. 그동안 보수적인 보안 정책에 가로막혀 있던 금융권의 디지털 전환(DX) 시계가 빨라질 전망이다. 금융위원회는 20일 금융사가 내부 업무망에서 예외적으로 SaaS를 이용할 수 있도록 허용하는 내용을 담은 '전자금융 감독규정시행세칙' 개정안을 의결했다. 이는 낡은 보안 규제가 금융산업의 글로벌 경쟁력을 저해한다는 현장의 목소리를 수용한 조치다. 이번 조치의 핵심은 '절차의 간소화'다. 기존에는 금융사가 내부망에서 외부 클라우드 서비스에 접속하려면 까다롭고 시일이 오래 걸리는 혁신금융서비스 지정 절차를 거쳐야만 했다. 하지만 개정 세칙에 따라 일반 사무용 및 관리업무 지원용 SaaS는 전금법상 망분리 규제 대상에서 명시적으로 제외된다. 즉 별도의 규제 샌드박스 심사 없이도 금융사 자체의 정보보호 통제 기준만 충족하면 그룹웨어나 협업 툴 등을 내부망에 즉각 도입할 수 있게 된 것이다. 당국은 빗장을 풀면서도 보안에 대한 고삐는 더욱 단단히 쥐었다. 무분별한 데이터 개방이 대형 금융보안 사고로 이어지는 것을 원천 차단하기 위한 조치다. 망분리 예외가 적용되는 금융사는 그에 상응하는 강력한 정보보호 통제 의무를 지게 된다. 공신력 있는 침해 사고 대응 기관의 평가를 통과한 SaaS만을 이용해야 한다. 클라우드에 접속하는 내부 단말기에 대한 강력한 보호 대책을 수립해야 한다. 정보보호 통제 이행 여부를 반기별로 1회 이상 평가해 사내 정보보호위원회에 보고해야 한다. 업계에서는 이번 규제 완화가 금융권의 업무 효율성을 획기적으로 끌어올릴 것으로 내다봤다. 클라우드 기반 협업 도구의 도입으로 본점과 영업점, 글로벌 지사 간의 실시간 문서 공유와 프로젝트 통합 관리가 가능해지기 때문이다. IT 운영에 소요되는 천문학적인 비용과 인력 부담을 줄이고 관리 체계를 고도화하는 효과도 기대된다. 금융위 관계자는 "고도화되는 사이버 위협에 대응하고 AI 기반 혁신을 주도하려면 외부 전산 자원의 활용이 필수적인 상황"이라며 "생성형 AI 서비스 도입과 관련해서도 신속히 망분리 예외를 적용받을 수 있는 방안을 추진 중"이라고 말했다. 주형연 기자 jhy@dt.co.kr