금융위원회는 2022. 4. 14. 보도자료를 배포하여 그 동안 금융회사 또는 전자금융업자(이하 “금융회사 등”)가 디지털 신기술을 도입·활용하는 데 어려움으로 작용했던 클라우드 및 망분리 규제에 대한 개선방안(이하 “본 개선방안”)을 밝혔습니다. 

본 개선방안에 따라 그 동안 금융혁신을 저해한다고 평가되었던 클라우드 및 망분리 규제가 상당 부분 완화될 것으로 예상되는바, 본 개선방안의 주요 내용 및 금융회사 등이나 클라우드서비스제공자(Cloud Service Provider, 이하 “CSP”)의 실무에 미칠 영향을 구체적으로 살펴보면 다음과 같습니다.

클라우드 규제 개선

1.   클라우드 이용 업무에 대한 중요도 평가기준 명확화    

현행 규정상 클라우드를 이용하는 경우 금융회사 등은 클라우드를 통하여 “개인신용정보/고유식별정보를 처리하는 경우” 또는 클라우드 이용이 “전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미치는 경우”(이하 클라우드가 위 두 경우 중 어느 하나에 해당하는 경우를 “중요 시스템”이라 하며, 그 외의 경우를 “비중요 시스템”이라 함)에는 금융감독원 보고의무 등 엄격한 클라우드 이용절차를 거쳐야 합니다. 그런데 “전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미치는 경우”에 해당하는지 여부의 판단을 위한 중요도 평가기준이 명확하지 않아 금융회사가 중요 시스템을 비중요 시스템으로 잘못 판단하고 클라우드를 이용하여 향후 제재를 받을 리스크가 있었습니다.

금융위원회는 본 개선방안에서 중요도 평가기준을 구체적으로 마련하겠다고 하였는바, 향후 클라우드 이용절차가 더욱 명확해져 금융회사 등은 중요 시스템 여부를 잘못 판단함으로 인한 제재 리스크가 감소될 수 있고, 비중요 시스템임에도 불필요한 보고의무를 이행하는 사례가 줄어들 수 있을 것으로 예상됩니다.
 

2.   업무 중요도에 따른 클라우드 이용절차 차등화    

현행 규정상, 클라우드 이용 대상 정보처리시스템이 비중요 시스템으로 판단되어도 클라우드 이용보고가 필요 없게 된다는 점 외에는 클라우드 이용절차 및 준비 서류가 중요 시스템인 경우와 동일합니다(전자금융감독규정 제14조의2제1항, 제2항, 제5항).

본 개선방안을 통하여, 비중요 시스템일 경우 업무 연속성 계획, 안전성 확보조치 관련 별도의 기준이 제시되는 등 클라우드 이용 시 절차적 차이점이 명확해질 것으로 예상됩니다.
 

3.   클라우드 이용 시 사전보고를 사후보고로 전환 및 서류 간소화    

현행 규정에 따르면, 중요 시스템을 클라우드로 이용할 경우 7영업일 이전에 금융감독원에 보고하여야 하는데, 이러한 사전보고 과정이 원활하게 진행되지 않아 클라우드 도입이 지연되는 문제점이 있었습니다.

본 개선방안을 통하여, 사전보고가 3개월 이내 사후보고로 전환되면 클라우드 이용에 적시성을 확보할 수 있게 될 것으로 기대됩니다. 아울러, 클라우드 이용보고 시 제출해야 하는 서류에 있어서도 유사·중복되는 사항을 간소화할 예정이므로 서류 작성 및 제출 부담도 완화될 것으로 예상됩니다.
 

4.   CSP 평가항목 축소    

현행 클라우드 이용절차 중 가장 큰 부담으로 작용하고 있던 CSP 건전성·안전성 평가(이하 “CSP평가”) 항목이 총 141개에서 54개(필수항목 16개+대체항목 38개)¹로 대폭 간소화될 예정입니다. 불필요하거나 과도한 평가항목이 간소화됨으로써 평가가 보다 합리적·효율적으로 진행될 것으로 예상됩니다.
 

5.   SaaS 형태의 클라우드 서비스에 대한 별도 평가기준 마련    

현재의 CSP 평가항목은 서버·저장장치 등을 이용하는 형태의 클라우드 서비스(IaaS)를 기준으로 마련되어 있어, 소프트웨어 형태의 클라우드 서비스(Software-as-a-Service, 이하 “SaaS”)의 CSP를 평가하기에는 적합하지 않은 측면이 있고, 잘못된 기준 설정은 부적합한 평가로 이어질 수 있다는 문제점이 제기되어 왔습니다.

금융위원회는 SaaS에 대하여서는 클라우드 서비스 보안인증제(CSAP)와 유사하게 별도 평가 기준을 마련하겠다고 밝혔는바, 평가 기준의 정비를 통하여 합리적인 평가가 진행될 수 있을 것으로 예상됩니다.
 

6.   대표평가제 도입    

현행 규정상, 클라우드를 이용하는 금융회사 별로 CSP 평가를 수행하여야 하는 평가절차의 중복 문제를 개선하기 위해 2021. 6월부터는 동일한 CSP를 통해 클라우드를 이용하려는 금융회사 중 대표 금융회사를 선정하여, 대표 금융회사가 CSP평가를 주도하고 금융보안원이 지원하는 방식(합동평가제)이 실무상 이용되고 있습니다.

본 개선방안을 통하여, 전문 평가기관인 금융보안원이 주도하여 CSP를 평가하고 각 금융회사는 금융보안원의 평가결과를 활용할 수 있도록 하는 방식(대표평가제)이 도입될 예정으로, 금융회사 등의 CSP평가 부담이 크게 줄어들게 될 것으로 예상됩니다.

망분리 규제 개선
 

1.   개발·테스트 분야에 대한 망분리 규제 예외 적용    

다양한 신기술 및 오픈소스 등을 이용한 개발을 위해서는 인터넷 연결이 필수적이나, 현행 망분리 규제 하에서는 이러한 연결에 제한이 있어 금융회사 등의 혁신 서비스 개발에 저해가 되고 있습니다.

전자금융감독규정의 개정을 통하여, 개인신용정보 등이 저장되지 않고 전자금융거래의 중요성이 낮은 개발·테스트 서버에 대해서는 물리적 망분리 규제가 완화될 예정인바, 금융회사 등은 망분리 규제로 인해 이용이 어려웠던 신기술 및 오픈소스 등을 효율적으로 이용할 수 있게 될 것으로 예상됩니다. 다만, 개발·테스트 서버에 고객의 개인신용정보 또는 거래정보 등의 활용 금지, 오픈소스 접속·활용에 대한 내부기준 수립·이행 의무화 등 보완조치도 함께 마련될 예정인바, 이러한 망분리 규제 완화에 따른 보완조치를 준수하여야 한다는 점은 유의하시기 바랍니다.
 

2.   비금융업무 및 SaaS에 대한 망분리 예외조치 적용    

금융회사 등이 인사관리 등 후선업무에 서비스로서의 소프트웨어(SaaS)를 이용하려는 경우에도 망분리 규제가 적용되는데, SaaS는 인터넷 구간에 위치하는 경우가 많아 망분리 예외가 적용되는 경우에만 사용이 가능하였습니다.

본 개선방안에서는 규제 샌드박스를 활용하여 비금융업무 및 SaaS에 대한 망분리 규제 예외를 허용하겠다고 밝혔는바, 규제 샌드박스를 통하여 SaaS의 이용이 좀 더 활성화될 수 있을 것으로 예상됩니다. 다만, 규제 샌드박스를 통하여 허용되는 SaaS의 종류, SaaS 접속 방안 등은 규제 샌드박스 심사 결과에 따라 달라질 수 있어 향후 사례들을 지켜 보아야 할 것으로 보입니다.
 

3.   단계적 망분리 규제 완화 추진    

금융위원회는 중장기적으로 보안 리스크에 대비하여 금융회사의 책임성 확보, 금융보안원의 보안관제 강화 등 대체방안을 전제로, 망분리 대상 업무를 축소하고, 금융회사가 업무에 따라 물리적·논리적 망분리를 선택할 수 있도록 하는 방식도 고려하는 등 망분리 규제를 단계적으로 완화 및 개선할 계획이라는 점을 밝혔습니다.

향후 금융회사는 회사의 특성 및 업무의 중요도에 따라 망분리 규제 적용 방식을 선택할 수 있을 것으로 전망되고, 이에 따라 효율적인 내부통제 운영이 가능할 것으로 예상됩니다. 이에 대하여서는 향후 법령 및 규정의 개정 과정을 유의하여 살펴보아야 할 것으로 생각됩니다.
 

향후 계획
 

금융위원회는 본 개선방안이 제도적으로 안착될 수 있도록 2022. 4월 중 이번 발표의 내용을 반영한 ‘전자금융거래법 시행령 및 감독규정 개정안’을 입법예고하고, 금융보안원이 2019. 1월 배포한 ‘금융분야 클라우드컴퓨팅서비스 이용 가이드’도 2022년 말까지 개정하여 전 금융권이 실무적으로 참고할 수 있는 구체적인 절차 및 기준을 마련할 계획입니다.
 

시사점
 

본 개선방안은 그동안 금융분야에서 적극적인 디지털 신기술 도입·활용을 가로막던 클라우드 및 망분리 규제에 대한 완화의 초석을 마련하였다는 측면에서 의미가 있습니다. 특히 개발·테스트 분야에서 신기술 도입이 활성화될 것으로 예상되며, 그 외에도 클라우드 이용에 관한 절차의 완화를 통하여 금융회사등의 클라우드 도입에 대한 부담이 경감될 것으로 예상됩니다. 금융위원회는 단계적으로 제도 개선을 추진할 예정이라고 그 기본 방향을 밝혔는바, 올 4월 ‘전자금융거래법 시행령 및 감독규정’ 개정뿐만 아니라 향후 법령 및 규정의 개정 과정을 지속적으로 모니터링 할 필요가 있습니다.

한편, 비금융업무 및 SaaS에 대한 망분리 규제는 법령 및 규제의 개정 방법을 취하지 않고, 규제 샌드박스를 활용하여 실질적인 규제 완화가 이루어질 예정이므로 규제 샌드박스의 개별 지정 사례에 대해서도 지속적으로 유의 깊게 살펴 볼 필요가 있습니다.

[영문] FSC Announced Plans to Improve Cloud Computing Regulations and Network Separation Requirements