금융당국, '클라우드·망분리 규제' 완화 검토 중요성 낮은 개발·테스트 서버 부담 덜어주고 클라우드는 사후보고 등 관리 절차 개선키로
금융위원회는 지난 19일 출범한 '금융규제혁신위원회'를 중심으로 금산분리, 비금융정보 활용 등을 비롯한 전방위적 혁신 논의에 돌입했다. 업권간 경계가 허물어지는 '빅블러' 현상이 가속화하는 가운데 금융권 내 신기술 투자를 독려하기 위함이다.
특히 금융위는 핀테크 업계의 요구사항을 두루 반영해 망분리·클라우드 규제 개선도 핵심 과제로 제시했다.
망분리 규제 완화는 핀테크 업계의 숙원이라 할 수 있다. 이는 해킹 등으로부터 시스템을 보호하고자 금융회사와 전자금융업자의 업무망과 인터넷망 분리를 의무화한 정책인데, 업무범위와 무관하게 일률적으로 적용되는 측면이 있어 소규모 업체엔 부담이 큰 탓이다.
가령 소비자 개인정보를 보유하지 않고 자산운용에만 집중하는 회사도 은행과 동일한 수준의 망분리 규제를 따라야 한다는 게 업계의 고민거리였다.
클라우드 규제도 마찬가지다. 현행 금융보안 규정에선 금융사가 클라우드 서비스를 이용할 때 업무 중요도와 클라우드서비스제공자(CSP) 안전성을 평가하고 정보보호위원회 심의·의결, 금융감독원 사전 보고 등을 거치도록 한다. 그러나 평가 항목이 과도하게 많은 데다 보고 절차도 복잡하다는 지적이 많았다.
이에 핀테크 업계는 업무 효율화 차원에서 이를 개선해줄 것을 정부에 요구해왔다. 무엇보다 무거운 규제가 업무 효율성을 떨어뜨리고 개발자 등 인력 유출을 부추긴다고 이들은 주장했다. 따라서 관련 규제가 완화되면 핀테크의 부담이 경감되면서 업권 내 신사업 창출과 투자가 활발해질 것으로 보인다.
금융위는 지난 4월 망분리 규제 개선을 위한 대략적인 가이드라인을 제시했다. 금융보안의 대원칙을 유지하면서도 업무 성격과 개인정보 취급 여부 등을 고려해 이를 완화하는 게 골자다. 일례로 개인신용정보를 보유하지 않거나 금융거래 관점에서 중요성이 낮은 개발·테스트 서버엔 부담을 덜어주기로 했다. 소비자 정보를 다루지 않는 운영시스템, 비중요업무용 '클라우드 방식 소프트웨어(SaaS)'에도 망분리 예외를 허용한다.
실제 2020년 4월에도 카카오뱅크가 규제 샌드박스제도를 활용해 부설 금융기술연구소에 대한 망분리 예외 혜택을 받은 바 있다.
물론 금융위는 개인정보 유출 등 보안사고 우려를 감안해 개인신용정보나 계좌거래정보 활용을 금지하는 내부기준을 운영토록 한다는 방침이다.
동시에 금융위는 클라우드와 관련해서도 이용 가능한 업무범위를 명확히 하고 중복되는 절차를 정비한다. 사전보고도 사후보고로 바꾼다.
세부적으로 클라우드서비스(CSP) 평가 항목을 141개에서 54개로 줄이고, 비(非)중요업무는 필수항목(16개)만 평가하도록 한다. 국내외 보안인증을 획득한 CSP에 대해선 인증 때 평가한 항목을 제외한 항목만 들여다볼 수 있게 할 예정이다. 아울러 같은 CSP에 대해 여러 금융회사가 중복 평가하는 부분을 개선하고자 금융보안원이 대표로 CSP를 평가하고, 금융사가 그 내용을 활용하는 제도도 도입한다.
앞서 금융위 측은 제도개선사항을 반영한 전자금융거래법 시행령과 감독규정 개정안을 입법예고하고, 조속한 개정을 통해 2023년부터 시행될 수 있도록 하겠다고 예고했다.
그러면서도 클라우드와 망분리 제도개선은 금융회사 등의 자율책임에 따른 내부통제 기준 마련이 전제돼야 하는 만큼 정보보호심의위원회 구성‧운영 현황 등 내부통제시스템을 점검하겠다고 덧붙였다.
뉴스웨이 차재서 기자
sia0413@newsway.co.kr
저작권자 © 온라인 경제미디어 뉴스웨이 · 무단 전재 및 재배포 금지
댓글