금융당국이 핀테크 업계의 숙원이었던 개발·테스트 분야의 망분리 규제 예외를 적용키로 했다. 전 금융권에 대해 중장기에 걸쳐 단계적으로 망 분리 규제를 완화한다. 클라우드서비스 사업자(CSP)에 대한 건전성·안전성 평가 기준을 대폭 축소하는 등 금융권이 클라우드를 확대 적용할 수 있도록 기반도 마련한다. 금융위원회는 내년 망분리·클라우드 규제 완화 시행을 위해 이달 중 전자금융거래법 시행령과 감독규정 개정안 입법에 나선다고 밝혔다. 올 연말까지 금융분야 클라우드컴퓨팅 서비스이용 가이드라인도 개정해 구체 절차와 기준을 마련하기로 했다.
◇핀테크 숙원에 '칼 뽑은 당국'
금융위는 핀테크 업권 요구대로 개발·테스트 서버에 물리적 망 분리 규제를 예외로 하기로 했다. 업계에서는 개발 업무 효율성이 심각하게 저해된다며 개발·테스트 단에서라도 망 분리 규제를 예외해 달라고 지속 건의해왔다. 금융위는 보안사고 발생을 최소화하기 위해 망분리 규제 완화 조건을 내걸었다. 고객 개인 신용와 계좌거래정보를 활용하지 않아야 하며 오픈소스 접속·활용 등에 대한 내부기준을 수립·이행하는 방안 등을 마련하도록 했다. 경영지원 등 비금융 업무와 서비스형 소프트웨어(SaaS)에 대해서도 망분리 규제 예외를 추진한다. 금융권에서 상대적으로 민감도가 덜한 업무에 대해 클라우드 형태의 SaaS를 적용하는 추세인데 망분리 규제가 예외없이 적용돼 개선이 필요하다는 요구가 제기돼왔다.
금융위는 규제샌드박스를 활용해 금융거래와 무관하고 고객정보나 거래정보를 다루지 않는 경우에 한해 망분리 예외를 허용키로 했다. 비중요 업무에서 SaaS를 이용할 때는 내부망에서 이용할 수 있도록 허용한다. 중장기로는 금융보안원의 보안관제 강화, 금융사의 책임성 확보 등을 전제로 망분리 규제를 단계적으로 완화할 방침이다.
◇CSP 대표평가제, '숨통 트인' 금융 클라우드
금융권이 과도한 보고 절차와 불명확한 기준으로 클라우드를 탄력적으로 적용하기 어려웠던 문제 해소에도 나섰다. 금융위는 그동안 금융사 각자로 수행했던 클라우드서비스제공자(CSP) 평가를 금융보안원이 대표 평가하도록 개편하기로 했다. 각 금융사가 금보원 평가결과를 활용해 동일한 CSP에 대해 금융사별로 중복 평가하는 비효율이 해결될 전망이다. 현행 141개에 달하는 CSP 평가항목은 54개로 대폭 축소한다. 특히 비중요 업무의 경우 필수항목 16개만 평가해 항목을 대폭 축소한다. 중요·비중요 업무를 구분해 비중요 업무에 대해서는 CSP 평가항목 중 일부를 면제해 클라우드 이용 절차를 완화한다.
금융위는 현재 CSP 평가항목이 SaaS 평가에 일부 적합하지 않다고 보고 클라우드서비스 보안인증제(CSAP)와 유사하게 금융 분야 별도 평가 기준을 마련할 방침이다. 또 클라우드에서 중요 업무를 수행할 때 사전보고 의무를 사후 보고로 전환하도록 변경한다. 금융위 관계자는 “가이드라인 개정 등 개선 사항이 조기 안착하도록 5월부터 금융위, 금감원, 금보원, 금융협회 합동으로 유권 해석반을 운영해 이해당사자들과 소통하겠다”고 말했다. 당국의 망분리·클라우드 규제 완화 방안에 대해 금융권과 핀테크 업권에서는 환영하는 분위기다.
업계 한 관계자는 “이미 핀테크에 이어 금융사에서도 서비스 기획·개발·수행을 하나의 조직에서 수행하는 형태가 확산되고 있어 망분리 규제 완화 실효성이 얼마나 클지 지켜봐야 한다”며 “하지만 시장 흐름에 맞춰 큰 폭의 규제 완화에 나선 것은 분명 의미가 크다”고 말했다.
배옥진기자 withok@etnews.com
