금융위원회는 2022. 4. 14. ‘금융분야 클라우드 및 망분리 규제 개선방안’(이하 “규제 개선방안”)을 발표하여 그동안 금융회사 또는 전자금융업자(이하 “금융회사 등”)가 디지털 신기술을 도입·활용하는 데 어려움으로 작용했던 클라우드컴퓨팅서비스(이하 “클라우드”) 및 망분리 규제를 일부 완화하겠다고 밝혔습니다. 그리고 2022. 4. 29. 이러한 규제 개선방안을 담은 ‘전자금융감독규정’ 일부개정규정안(이하 “개정(안)”)을 변경 예고하였습니다. 개정안은 규제개혁위원회 심사, 금융위원회 의결 등을 거쳐 2023. 1. 시행을 목표로 하고 있습니다.
현행 클라우드 및 망분리 규제는 금융회사 등의 디지털 신기술 도입·활용에 있어 상당한 제약으로 작용하였는데, 개정안은 비중요업무에 대한 클라우드 이용절차를 간소화하고 클라우드 이용 시 금융회사 등의 사전보고를 사후보고로 전환하는 등 금융회사 등의 클라우드 이용과 관련된 규제 준수 부담을 상당부분 완화하였고, 연구·개발 분야에서 망분리 규제의 예외를 인정하여 현행 규제로 인해 이용이 어려웠던 신기술 및 오픈소스 등이 효율적으로 활용될 수 있도록 하였습니다.
이하에서는 개정안의 주요 변경내용을 간략히 소개합니다.
1. 클라우드 이용 규제 변경
-
중요도 판단 기준의 명확화·구체화
현재는 금융회사 등이 클라우드를 통하여 개인신용정보·고유식별정보를 처리하는 경우 또는 클라우드 이용이 전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미치는 경우가 중요도 판단기준으로 규정되어 있어(현행 제14조의2제3항), 개인신용정보·고유식별정보를 처리하면 일률적으로 이용보고 대상이 되고, 안전성 및 신뢰성에 중대한 영향을 미치는 경우의 기준이 불명확한 문제가 있었습니다.
개정안에서는 규모, 복잡성 등 처리되는 업무의 특성, 클라우드 중단 시 영향, 전자적 침해행위 발생 시 고객에게 미치는 영향, 클라우드컴퓨팅서비스 제공자(Cloud Service Provider, 이하 “CSP”)에 대한 종속 위험, 금융회사 등의 내부통제 역량 등을 종합적으로 판단하여 중요도를 결정할 수 있도록 하였습니다(안 제14조의2제1항제1호). -
클라우드 이용업무 중요도에 따른 이용절차 차등화
현행 규정에 따르면 클라우드 이용업무가 비중요업무로 판단되어도 클라우드 이용보고를 요하지 않는다는 점 외에는 비중요업무의 클라우드 이용절차 및 준비 서류가 중요업무인 경우와 동일했습니다(전자금융감독규정 제14조의2제1항, 제2항, 제5항). 그러나 개정안에서는 CSP평가(안 <별표2의2>), 업무 연속성 계획(안 <별표2의3>), 안전성 확보조치(안 <별표2의4>), 클라우드 위수탁 계약서 주요 기재사항(안 <별표2의5>)에 대하여 비중요업무와 중요업무에 차등을 두어, 비중요업무의 경우 클라우드 이용절차를 대폭 간소화하였습니다. -
사후보고로의 전환 및 비중요업무의 보고의무 부여
현재는 금융회사 등이 중요업무 처리를 위하여 클라우드 이용하려면 실제 이용하려는 날의 7영업일 이전에 금융감독원에 보고해야 합니다. 그러나 개정안에서는 사유가 발생한 날로부터 3개월 이내 사후보고로 전환하여 클라우드 이용에 적시성을 확보할 수 있게 되었습니다(안 제14조의2제4항).
다만, 개정안에서는 “클라우드 이용계약을 신규로 체결하는 경우”를 보고사유로 규정하고 있어, 이용업무의 중요도와 상관없이 모든 클라우드 이용에 대하여 보고(사후보고)의무가 부여되었다는 점을 참고하시기 바랍니다. -
정보처리 위탁 보고와의 관계
현행 규정은 금융회사등이 전자금융감독규정상 클라우드 이용보고(사전보고)를 한 경우에는 ‘금융회사의 정보처리 업무 위탁에 관한 규정’(이하 “정보처리 위탁규정”)에 따른 보고(반기보고 제외)를 이행한 것으로 간주하였습니다(현행 제14조의2제3항 단서). 그러나 개정안은 모든 클라우드 이용계약 신규 체결 시 보고(사후보고) 의무를 부담하도록 하면서 정보처리 위탁규정에 따른 보고와의 관계에 대해서는 별도 규정을 두지 않았는바(현행 제14조의2제3항 삭제), 클라우드 이용보고와 정보처리 위탁보고의 관계에 대하여서는 추후 개정안의 시행 및 유권해석을 유의하여 살펴볼 필요가 있을 것으로 보입니다. -
CSP 평가 정비
본 개정을 통해 현행 클라우드 이용절차 중 가장 큰 부담으로 작용하고 있던 CSP 평가항목이 크게 간소화되었고, 소프트웨어 형태의 클라우드 서비스(Software-as-a-Service, 이하 “SaaS”)의 CSP에 대한 별도 평가기준이 마련되었습니다(안 제14조의2제1항제2호 <별표2의2>). 또한 금융회사 등이 금융보안원이 대표로 수행한 CSP평가 결과를 활용할 수 있게 되었는바(안 제14조의2제3항), CSP평가에 대한 부담이 감소될 수 있을 것으로 기대됩니다.
2. 망분리 규제 완화 – 연구·개발 목적의 경우 망분리 규제 예외 적용
다양한 신기술 및 오픈소스 등을 이용한 개발을 위해서는 인터넷 연결이 필수적이나 현행 망분리 규제 하에서는 이러한 연결에 제한이 있었습니다. 개정안은 ‘금융회사 등이 자체 위험성 평가를 실시한 후 금융감독원장이 정한 망분리 대체 정보보호통제를 적용한다는 조건 하에’ 이용자의 고유식별정보 또는 개인신용정보를 처리하지 않는 연구·개발 목적의 경우 망분리 규제를 적용받지 않을 수 있도록 하였습니다(안 제15조제1항제3호 및 안 제15조제1항제5호).
3. 향후 일정
금융위원회는 본 개정안 시행으로 인한 혼란을 최소화하기 위하여 금융위원회·금융감독원·금융보안원·금융협회로 구성된 유권해석반을 2022. 5. 9.부터 약 3개월 간 운영하고, 유권해석 내용 등을 반영하여 8월에서 10월까지 ‘금융분야 클라우드 가이드라인’ 개정을 진행할 예정이라고 밝혔습니다. 이와 더불어 본 규제 개선으로 개인정보보호 등 내부통제시스템의 저하가 발생하지 않도록 금융회사 등의 보안시스템 점검 및 컨설팅 등도 실시할 예정이라고 하였습니다.
본 개정안은 그동안 금융분야에서 적극적인 디지털 신기술 도입·활용을 가로막던 클라우드 및 망분리 규제에 대한 완화의 일환이라는 측면에서 의미가 있습니다. 특히 연구·개발 분야에서 다양한 혁신기술이 활용될 수 있을 것으로 예상되며, 금융회사 등의 클라우드 도입에 대한 부담이 경감되어 클라우드 이용이 보다 활성화될 수 있을 것으로 예상됩니다.
금융회사 등은 규제 개선방안 및 개정안과 관련된 구체적인 해석·설명이 필요한 사항 등에 대해 유권해석을 신청할 필요가 있고, 규제 개선방안 및 개선안이 실효적인 클라우드 규제 완화가 될 수 있도록 의견을 제출할 필요가 있겠습니다.
한편, 금융위원회가 규제 개선방안에서 밝힌바와 같이, SaaS 등 클라우드 이용에 대한 망분리 규제는 본 개정안에 포함되지 않고 규제 샌드박스를 통하여 완화될 예정이므로, 규제 샌드박스의 개별 지정 사례에 대해서도 지속적으로 유의하여 살펴볼 필요가 있습니다.
관련 이슈
