내년부터 금융권이 클라우드에서 고객 개인신용정보와 고유식별정보 등을 처리할 수 있게 된다. 데이터센터를 세울 여력이 없는 핀테크 업체에 대한 진입장벽이 대폭 낮아진다.
대신 클라우드 장애로 인한 피해 책임 소재는 명확히 해야 한다. 장애 발생 시에도 서비스를 이용할 수 있도록 이중화·백업체계도 구축해야한다.
금융위원회는 5일 정례회의에서 '전자금융감독규정 개정안'을 심의·의결했다고 7일 밝혔다.
이로써 내년부터 금융권 클라우드 컴퓨팅에서 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호 등을 다루는 것을 허용한다.
앞서 금융당국은 2016년 10월에도 한 차례 규제를 완화했으나 클라우드에서 '비중요 정보'만 이용할 수 있게 한 바 있다.
이번 개정안에서는 사고 발생 시 책임 소재를 위해 개인신용정보 처리는 국내 소재 클라우드에 한해서만 우선 허용했다. 아마존이나 마이크로소프트처럼 해외 업체라도 국내에 전산센터가 있으면 사용 가능하다.
'금융권 클라우드 서비스 안전성 기준'도 마련했다. 크게 데이터보호, 서비스장애 예방·대응 관련 기준을 제시했다. 특히 주요 전산장비 이중화 및 백업체계를 구축, 장애 발생 시에도 연속적인 서비스를 제공하도록 명시했다.
클라우드에 대한 내부통제와 클라우드 이용 관련 보고 의무 등 감독도 강화했다. 내부통제 일환으로 금융사가 클라우드 서비스 안전성을 평가하고, 자체 정보보호위원회 심의·의결을 거치도록 했다.
금융사와 클라우드 제공자간 법적 책임도 명확히 했다.
사고예방을 위해 클라우드 제공자는 금융사에 데이터 물리적 위치를 알리고, 정보보호 의무를 준수하며 서비스 장애 방지 대책을 마련해야한다. 사고 발생 시 비상대응을 위해 국내 전산센터에 필수 운영인력도 상주시켜야한다.
손해배상 관련, 고객 피해 발생 시 금융사가 직접 배상하고 클라우드 제공자는 연대 배상책임을 부담해야한다. 고의·과실로 인한 서비스 품질 저하나 장애 등 금융사 피해는 클라우드 제공자가 책임져야한다.
금융위는 미국 정부가 '해외정보이용법(CLOUD법)'에 따라 미국 클라우드 서비스 업체에 저장된 우리 국민 정보에 접근할 수 있다는 우려에는 “국내 클라우드 시스템은 미 정부 데이터 제공 요청에 반드시 따라야하는 것은 아니다”라며 “미국 CLOUD법은 외국인에 대해서는 정보 접근 예외가 인정된다”고 답했다.
범죄 수사를 위한 외국 정부의 정보 제공 요청 시 국내법 위반 소지가 있으면 국내 클라우드 업체는 정보 제공을 거부할 수 있다.
함지현기자 goham@etnews.com