서울 종로구 정부서울청사내 금융위원회 모습.(사진=연합뉴스)
클라우드 기반의 다양한 사무관리·업무지원용 응용 소프트웨어(SaaS)는 소프트웨어 사업자들이 업데이트·유지보수 등을 지원하고 클라우드 기반으로 다양한 단말기에서 유연한 사무 업무가 가능하다는 장점이 있다. 또 외부 저장공간을 활용해 기업 내 전산 시설 관리 부담도 덜 수 있다. 이 때문에 많은 기업에서 사무관리·업무지원 용도로 활용이 늘어나고 있었다.
다만 금융회사는 업무의 보안을 위해 외부 인터넷망과 내부 업무망을 분리하는 ‘망분리 규제’를 적용받기 때문에 SaaS를 이용하려면 별도의 혁신금융서비스 심사 절차를 거쳐야 했다. 금융위·금감원은 혁신금융서비스 심사를 통해 충분한 보안조치를 갖춘 서비스에 대해 SaaS 활용을 허용했다.
2023년 9월부터 현재까지 총 32개 금융회사가 SaaS 관련 총 85건의 혁신금융서비스를 허용받아 운영해 왔다. 금융위·금감원은 해당 서비스를 망분리 규제의 예외로 적용해 상시적으로 운영할 수 있다고 판단해 이번 개정안을 마련했다.
개정안에 따르면 응용프로그램 등 소프트웨어를 사용하는 서비스(SaaS)는 전자금융감독규정에 따른 망분리 규제를 적용받지 않는다. 다만 개인정보 유출사고 우려 등을 감안해 이용자의 고유식별정보 또는 개인신용정보를 처리하는 경우 망분리 예외를 허용하지 않도록 할 예정이다.
망분리 규제 예외가 허용되는 만큼 이를 보완하기 위해 엄격한 정보보호통제장치 마련도 의무화한다. 구체적으로 금융회사는 침해사고 대응기관(금융보안원 등) 평가를 거친 SaaS를 이용해야 한다. 또 접속 단말기(컴퓨터, 모바일단말 등)에 대해서는 △보호대책 수립 △안전한 인증방식 적용 △최소권한 부여 등 엄격한 보안관리를 실시해야 한다. 이밖에도 중요정보 입력·처리·유출 여부를 모니터링하고 SaaS 내 데이터의 불필요한 공유·처리 방지나 허용되지 않은 외부 인터넷 접근은 통제해야 한다. SaaS 이용 네트워크 구간 암호화 수립 적용 등 규율을 마련해야 하며 이 같은 정보보호통제 이행 여부를 반기에 1회 평가하고 금융사 내 정보보호위원회에 보고해야 한다.
이번 개정안을 통해 금융사가 심사를 거치지 않고 SaaS를 활용할 수 있게 되며 업무 전반에 효율성이 향상될 것으로 보인다.
금융위·금감원은 “AI기술·데이터 활용 등을 통해 금융서비스의 본질적 혁신을 이뤄나가야 하는 중대한 시기인 한편, 최근 일련의 해킹사고 등으로 침해사고 등에 대한 우려도 높은 상황”이라고 진단하며 “금융회사가 다양한 IT 기술을 활용해 서비스 개선에 매진할 수 있도록 제도개선을 적극적으로 추진하는 한편 망분리 규제 완화가 자칫 금융권 보안 수준 약화로 이어지지 않도록 금융권이 자율적·체계적으로 보안을 철저히 챙기도록 유도하는 제도 마련도 서두를 계획”이라고 밝혔다.
이번 사전예고는 내달 9일까지 실시한다.
