2024-03-19 16:00 (화)
금융위, 클라우드 제도개선 추진...보안문제 개선 등 내년 1월 '전자금융감독규정' 개정
상태바
금융위, 클라우드 제도개선 추진...보안문제 개선 등 내년 1월 '전자금융감독규정' 개정
  • 길민권 기자
  • 승인 2018.07.19 18:23
이 기사를 공유합니다

"보안성 확보한 클라우드 서비스 통해 금융, 핀테크 경쟁력 확보해야"

▲ 금융감독위원회 자료
▲ 금융감독위원회 자료. 금융권 클라우드 이용확대 단계별 추진계획.
금융위원회는 금융분야에서 클라우드를 보다 폭넓게 이용할 수 있는 '금융분야 클라우드 이용 확대방안'을 추진한다고 밝혔다.

추진 배경에는 ICT기술 발전에 따라 금융분야의 디지털화가 폭넓게 확산되면서 디지털 혁명을 대표하는 기술인 A(인공지능, 블록체인, 클라우드, 빅데이터 등이 기술과 금융의 융합을 주도하고 있다.

이 가운데 클라우드는 금융회사 아웃소싱의 하나로 IT자원의 직접 구축없이도 필요한 만큼 빌려쓰는 공유환경을 제공한다. 클라우드 이용자는 다양한 IT서비스를 빌려서 이용하고, 이용량에 따라 비용을 지불하므로 업무생산성 증진과 비용절감이 가능하다.

한편, 최근 AI, 빅데이터 등 신기술과 금융 접목 확대로 금융권 클라우드 활용과 관련한 추가 규제정비의 필요성이 증가했다. 특히, 은행․카드, 핀테크기업 등 각 업권에서 클라우드 규제완화 건의가 지속적으로 제기되어 왔다. 이에 감독기관은 관계기관과 전문가 의견을 수렴해 보안장치, 감독체계 강화를 전제로 금융회사와 핀테크기업이 안정적으로 클라우드를 활용할 수 있도록 제도 개선을 검토해 온 것이다.

◇금융분야 클라우드 이용과 규제 현황

현재 국내 총 38개 금융회사에서 업무처리, 부가서비스 제공 등 목적으로 클라우드 시스템을 이용하고 있다. 주로 개인정보와 관련이 없는 내부업무처리(43.8%), 고객서비스(27.4%), 회사․상품 소개(15.1%) 등에 활용중이다. 국내 클라우드 기업으로는 KT, 네이버, 코스콤 등이며 해외 기업으로는 MS, IBM, 구글, 아마존(AWS) 등이 이용되고 있다.

한편 용도가 제한되어 있는 국내에 비해 해외는 금융회사별 수요에 따라 다양한 방식으로 클라우드 서비스를 이용중이며 일부 금융회사는 내부 지원업무 뿐만 아니라 뱅킹 서비스와 같은 핵심시스템도 클라우드 서비스로 이전해 사용중이다.

규제, 감독 현황을 보면, 금융회사‧전자금융업자는 클라우드 컴퓨팅 이용을 위해 전자금융거래에 미치는 영향이 낮은 시스템을 비중요정보 처리시스템으로 지정해 사용가능하며 다만, 개인신용정보와 고유식별정보를 처리하는 정보처리시스템은 비중요 시스템으로 지정하지 못한다.

또 클라우드는 아웃소싱의 하나로 정보처리 업무위탁에 해당하며, 제공자는 '전자금융보조업자'로서 제한적으로 감독을 받게 된다. 한편 주요 선진국은 클라우드 이용을 직접 규제하지 않고 가이드라인을 통해 자율준수토록 하고있으며 감독 방식은 국가별로 차이가 있다.

"클라우드 이용 범위 확대할 필요있다"

금융위 관계자는 "‘2016년 10월, 금융권 클라우드 도입시 개인신용정보의 민감성 등을 고려해 중요도에 따라 정보를 구분하고, ’비중요정보‘에 한해 클라우드 이용을 허용하면서 안전성을 테스트해왔다"며 "지난 2년간 서버비용 등 절감 효과는 있었으나, 이용 제한으로 금융회사 서비스 적용 및 개발이 제한되었고, 핀테크기업 진입장벽으로 작용했다. 즉 클라우드 이용 제한이 핀테크기업에게 IT설비 구축과 같은 초기 시장진입 비용 부담으로 작용해 새로운 아이디어를 활용한 창업, 서비스 개발에 제약을 가한 것이다. 금융회사와 핀테크기업이 비용절감, 생산성 제고와 동시에 새로운 서비스를 개발할 수 있도록 클라우드 이용범위를 확대할 필요가 있다"고 밝혔다.

개인정보보호 측면에서 보면, 클라우드는 금융회사가 IT자원을 빌려 사용하는 것으로 개인정보의 제공 및 유통과는 관련이 없다. 금융회사는 개인정보를 클라우드 내에서만 저장․활용할 뿐, 제공․유통하지 않아 개인정보 남용․침해 문제는 발생하지 않았다.

현재 개인정보보호 법령상 클라우드 활용을 금지하는 규정은 없으며, 금융권 아닌 다른 분야에서는 클라우드를 제한없이 활용중이다. 이에 금융권은 개인정보보호법, 신용정보법을 기준으로 보호조치를 강화하되 전자금융감독규정에만 존재하는 클라우드 제한 규정에 대한 정비가 필요하다는 의견을 내고 있다.

◇클라우드와 금융보안

경제적 이익을 목표로 한 사이버침해 공격이 계속 발생하고 있기 때문에 방대한 정보를 보유하고 있는 금융기관의 경우 유출시 피해규모 등 파급효과가 큰 점을 고려해야 한다. 이에 클라우드 이용범위를 확대하되, ‘중요정보’에 대한 보호장치를 강화하고 금융권 자율 보안수준을 향상시킬 필요가 있다.

한편 클라우드 서비스 제공자는 전자금융보조업자로서 감독을 받으나 금융당국의 직접 감독대상은 아니다. 이에 클라우드 이용확대 조치와 함께 클라우드 서비스 제공자에 대한 금융당국의 감독방안을 보강할 필요가 있다는 목소리도 높다.

금융위 측도 "지난 2년간 금융권의 클라우드 활용 경험, 클라우드를 활용한 기술․금융융합 추세 가속화 등을 종합적으로 감안해 클라우드 이용 확대 방안을 마련하고 있다"며 "클라우드 이용 확대 추진시 금융권의 보안수준 및 관리체계를 강화해 보안문제 우려를 해소하고 해외사례와 같이 관리, 감독체계를 보다 효과적으로 구축해 나갈 것"이라고 전했다.

◇금융권 클라우드 활성화를 위한 제도개선 방안

금융권 클라우드 활성화를 위한 제도개선 방안에 대해 전문가들은 개인신용정보, 고유식별정보를 처리하는 중요정보 처리시스템도 클라우드를 활용할 수 있도록 규제를 개선해야 한다. 현재 전자금융감독규정에만 존재하는 클라우드 제한 규정을 정비해 이용범위를 확대해야 한다고 강조하고 있다.

또 사고 발생시 법적분쟁, 소비자 보호․감독 관할, 개인정보보호 등의 문제로 국내 소재 클라우드에 한해 우선 허용하고 해외 기업 서비스는 중장기 검토가 필요하다. 금융회사가 사용하는 클라우드 기반 시스템이 해외에 위치할 경우 사고발생시 사고조사 및 대응이 어려우며 감독․검사 또한 제대로 이루어지지 못할 우려가 있기 때문이다.

다만, 개인신용정보․고유식별정보는 클라우드 활용 여부와 상관없이 개인정보보호법․신용정보법 등 개인정보보호 법령에 따라 보호․관리되어야 한다.

즉 금융권의 중요정보도 클라우드를 이용할 수 있도록 하고 안전성을 확보하기 위해 클라우드 이용․제공시 기준을 마련해 운영해야 하며 금융회사를 통한 간접 감독을 강화하는 한편, 법령개정을 통해 전자금융보조업자에 대한 감독․조사 근거를 마련해야 한다는 것이다.

금융위 측은 "제도 개선을 통해 핀테크기업들이 특별한 제약없이 클라우드를 활용해서 적은 비용으로 쉽게 개발할 수 있는 여건을 마련하고 보안성을 확보한 클라우드를 통해 핀테크기업은 초기 시스템 구축․관리 비용 부담을 덜고, 핀테크 서비스 안전성은 향상시켜 나가야 한다. 또 금융권은 클라우드 플랫폼을 이용해서 빅데이터 및 인공지능 기술을 보다 자유롭게 테스트하고 혁신적인 서비스를 출시해 복잡해지는 국내외 금융규제 환경변화에도 빠르고 유연하게 대응할 수 있는 경쟁력을 확보할 수 있길 기대한다"고 전했다.

현재 금융권 클라우드 제도개선 TF는 7월에 구성됐으며 금융감독원, 금융보안원, 금융회사, 클라우드 서비스 업체, 전문가 등이 참여하고 있다. 오는 8월 경, 감독규정 개정안이 마련되면 업계 및 전문가 의견을 수렴해 9월까지 제도개선 효과 등을 종합 검토해 제도개선안을 확정하고 내년 1월경 '전자금융감독규정' 개정을 추진한다는 계획이다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★