2022년 4월 14일 금융위원회는 「금융분야 클라우드 및 망분리 규제 개선방안」을 배포하였습니다. 이러한 규제 개선방안은 금융 분야에서 과도한 클라우드 및 망분리 규제로 인해 디지털 신기술을 도입·활용하는데 어려움이 있다는 업계의 의견을 반영하고 금융 분야의 디지털 전환을 안정적으로 뒷받침하기 위하여 마련된 것으로, 이를 통해 금융 분야의 혁신이 보다 가속화될 것으로 전망됩니다.

 

1. 주요 내용

- 클라우드 이용규제 개선방안

(CSP 평가항목 축소, 대표평가제 도입, SaaS에 대한 별도 평가기준 마련) 금융권에서 클라우드를 이용하기 위해서는 사전에 클라우드서비스사업자(CSP)에 대한 건전성·안전성 평가(“CSP 평가”)를 수행하여야 하는데, 평가 항목이 141개로 너무 많고 또 일부는 서로 중복되기도 하여 사업자 입장에서는 상당한 부담으로 작용하였습니다. 그리고 다른 금융회사가 이미 어느 클라우드에 대하여 CSP 평가를 수행하였다고 하더라도 그 클라우드를 새로 이용하고자 하는 금융회사는 다시 별도로 CSP 평가를 수행하여야 하며 또한 CSP 평가항목이 최근 활용도가 높아지고 있는 Saas(SaaS, Software as a Service)를 평가하기에 적합하지 않다는 문제 제기가 있어 왔습니다. 

이에 금융회사들을 대표하여 금융보안원이 CSP에 대한 평가를 수행하고 개별 금융회사들은 금융보안원의 평가결과를 활용할 수 있도록 하였으며, CSP 평가항목도 대폭 간소화하여 54개로 축소하고, 클라우드서비스 보안인증제(CSAP)와 유사하게 금융분야에서도 SaaS에 대한 별도 평가기준을 마련할 계획입니다.

(클라우드 이용업무에 대한 중요도 평가기준 명확화 및 업무 중요도에 따른 클라우드 이용절차 차등화) 금융권에서 클라우드를 이용하는 경우 클라우드를 이용하는 업무에 대한 중요도를 평가하여야 하는데, 중요도의 판단 기준이 불명확하고 또 중요도 평가 결과 비중요업무에 해당하더라도 중요업무와 동일한 클라우드 이용절차를 준수해야 하는 문제가 있었습니다. 이러한 문제를 개선하고자 업무 중요도 평가에 대한 구체적 기준을 마련하고 비중요업무의 경우 CSP 평가항목을 필수항목(16개)만으로 더욱 축소하는 등 클라우드 이용절차를 완화하겠다는 방침을 표명하였습니다.

(제출서류 간소화 및 사후보고 전환) 금융권에서 클라우드를 이용하는 경우 제출해야 하는 서류가 과도하고 또 중복되기도 하며, 중요업무의 경우 클라우드를 이용하려는 날의 7영업일 이전에 금융감독원에 보고하도록 되어 있어 적시성 측면에서 바람직하지 않다는 의견이 제기되었습니다. 이러한 의견을 반영하여 제출 서류 중 유사·중복되는 사항을 간소화하고, 사전보고를 사후보고로 전환하여 부담을 완화하겠다고 밝혔습니다.

- 망분리 이용규제 개선방안

(개발·테스트 분야, 비금융업무 및 SaaS에 대한 망분리규제 예외적용) 개인신용정보 등을 보유하지 않고 전자금융거래의 중요성이 낮은 개발·테스트 서버에 대해서도 물리적 망분리 규제가 일률적으로 적용되어 개발·테스트의 효율성이 저해된다는 지적이 있고, 금융거래와 무관하고 고객·거래정보를 다루지 않는 운영시스템에 대해서도 망분리 규제가 적용되어 불편하다는 의견이 있었습니다. 이에 개발·테스트 서버에 대해서는 물리적 망분리 규제를 완화하고, 금융거래와 무관하고 고객·거래정보를 다루지 않는 운영시스템의 경우에는 규제샌드박스를 활용하여 망분리의 예외를 인정하고, 비중요업무에 대해 SaaS를 활용하는 경우 내부망에서 가능하도록 허용하겠다는 입장을 밝혔습니다.

(단계적 망분리 규제 완화 추진) 중장기적으로는 금융회사 등의 책임성 확보, 금융보안원의 보안관제강화 등을 전제로, 망분리 대상업무를 축소하고 금융회사가 물리적 망분리와 논리적 망분리 중에서 선택할 수 있도록 하는 등 금융회사 등에 부여하는 등 현행 망분리 규제를 단계적으로 완화하는 방안을 추진하겠다고 밝혔습니다.

 

2. 향후 계획 및 전망

금융위원회는 2022년 4월 중 위와 같은 제도개선사항을 반영한 「전자금융거래법」 시행령 및 「전자금융감독규정」 개정안을 입법예고하고 2023년부터 시행될 수 있도록 조속히 개정 작업을 추진할 것이라고 밝혔습니다. 또한 금년 말까지 「금융분야 클라우드컴퓨팅서비스 이용 가이드라인」을 개정하여 이러한 개정 법규정과 관련된 구체적인 절차 및 기준을 마련하여 금융권 담당자들이 실무적으로 참고할 수 있도록 하겠다는 방침입니다.

이와 같은 단계적인 규제 완화를 통하여 금융 관련 디지털 신기술의 도입과 활용이 폭넓게 이루어지고 이에 따라 새로운 혁신적인 금융 서비스가 창출되고 금융회사와 핀테크 기업 간 협력 또한 보다 활발해 질 것으로 기대됩니다. 따라서 금융회사 및 전자금융업자, 핀테크 관련 사업을 영위하거나 계획 중인 사업자는 이에 대해 지속적으로 모니터링할 필요가 있을 것으로 보입니다.