금융권 클라우드 확대 시행⋯무엇을 준비해야 할까?

기사승인 2018.09.04  09:25:17

공유

- 보안이 완벽하게 준비된 신뢰할 수 있는 클라우드 서비스 기반 중요

ad44

[CCTV뉴스=법무법인 율촌 김선희 변호사] 올해 7월 금융위원회가 ‘금융권 클라우드 이용 확대 방안’을 발표하였다. 금융위원회가 발표한 바에 의하면, 금융회사들의 클라우드 이용범위를 확대하여 개인신용정보, 고유식별정보가 포함된 ‘중요정보 처리시스템’도 클라우드를 활용할 수 있도록 한다는 것이고, 이를 위해 연내에 전자금융감독규정을 개정안을 마련하여 내년 1월부터 시행할 계획이다.

전자금융감독규정은 은행, 보험사 등 전통적인 금융회사뿐만 아니라 전자금융업자·전자금융보조업자(예를 들면, 각종 간편결제 서비스)에게도 적용되므로 이번 제도개선으로 인해 많은 금융회사들과 핀테크 기업들이 다양한 사업 개발을 위해 클라우드를 활용할 수 있을 것으로 기대된다. 

법무법인 율촌 김선희 변호사

클라우드 활용으로 혁신적 상품 개발 기대

그간 정부는 금융권 클라우드 활성화를 위해, 2016년에 전자금융감독규정을 개정하고, ‘클라우드 서비스 이용 가이드’를 마련하였는데, 개인신용정보나 고유식별정보가 포함되지 않은 ‘비중요정보’에 한해 물리적 망 분리(두 대의 PC를 이용해 업무망과 인터넷망을 물리적으로 완전히 분리시키는 것을 의미) 등의 예외를 허용하여 클라우드 이용을 1차적으로 허용한 바 있다.

이와 같은 조치에 의하면 개인신용정보가 포함된 시스템은 클라우드 사용이 허용되지 않는데, ‘개인신용정보’의 범위는 상당히 광범위하다. 신용정보보호법에 의하면 신용정보주체의 거래내용과 신용도를 판단할 수 있는 정보뿐만 아니라 특정 신용정보주체를 식별할 수 있는 모든 정보(예를 들면, 이름, 연락처, 성별, 국적 등)도 모두 ‘개인신용정보’에 해당한다.

따라서 현재 국내 금융회사들은 주로 개인정보와 관련이 없는 내부 업무처리, 회사·상품 소개 등에 한정되어 클라우드를 사용하고 있다. 반면, 해외 금융회사들은 핵심 업무를 포함하여 다양한 방식으로 클라우드 서비스를 이용하고 있다.

예를 들면, 스페인의 한 은행은 클라우드를 이용하여 신용 리스크 시뮬레이션에 걸리는 시간을 23시간에서 20분으로 단축한 것으로 알려져 있다. 클라우드를 이용하여 신속하게 업무를 처리하면 고객만족도가 높아질 뿐만 아니라 IT 자원을 보다 혁신적인 상품 개발에 집중할 수 있게 되므로 더욱 경쟁력을 강화할 수 있게 되는 상승작용이 있을 것으로 기대된다.

클라우드 보안 안전장치 가장 중요

이번 2단계 조치에 의하여, 금융권의 클라우드 이용 범위를 더욱 확대하는 것은 국내 금융·핀테크 산업의 경쟁력을 강화하는 데 큰 기여를 할 것으로 기대된다. 다만, 이를 위해서는 클라우드 서비스의 품질과 성능에 대한 신뢰가 확보되어야 할 것이며, 특히 보안에 대한 우려 해소가 그 무엇보다 중요할 것으로 예상된다.

클라우드 시스템에는 수많은 기업의 정보가 공존하기 때문에 해커들의 주요 공격목표가 되고 있는데, 특히 금융회사들은 고객들이 신용정보 등 민감한 정보를 대량 보유하고 있기 때문에 취약점이 발견될 경우 심각한 개인정보 유출사고로 이어질 수 있다.

우선 금융위원회는 소비자 보호, 감독 관할 등을 고려하여 국내 소재 클라우드에 한해 ‘중요정보’ 처리를 허용하되, 국외는 중장기적으로 검토한다는 방침이다. 참고로, 국내 소재 요건은 ‘중요정보 처리시스템’에 적용되는 제약사항이며, ‘비중요정보 처리시스템’은 기존과 같이 국외 소재 클라우드를 사용할 수 있는 것으로 해석된다.

또한, 중요정보 처리시스템의 안전성을 확보하기 위해 클라우드 이용·제공시 적용되는 클라우드 서비스 기준이 마련될 예정인데, 금융의 특수성을 반영해 기존 금융권 전산시스템과 유사한 수준의 보안이 요구될 것으로 예상된다. 따라서 금융권과 협업하고자 하는 클라우드 서비스 공급자들은 전자금융감독규정에서 요구하는 수준의 해킹 방지대책, 취약점 분석·평가, 보안관제 등에 필요한 제반 환경을 지원할 수 있도록 준비를 하여야 할 것으로 보인다.

한편 클라우드를 이용하고자 하는 금융회사와 핀테크 기업들은 “금융회사의 정보 처리업무 위탁에 관한 규정”에 따른 금융감독원 보고, “정보통신망 이용촉진 및 정보보호 등에 관한 법률”에 따른 이용자의 동의 또는 고지 등 클라우드로 전환하기 위해 필요한 법적 절차를 꼼꼼히 확인할 필요가 있다.

또한, 클라우드 공급자와 체결하는 SLA(Service Level Agreement)에 필수적인 보안요구사항의 충족과 접근권, 감사권, 감사결과에 따른 개선환경 구성 등이 적절히 반영될 수 있도록 하여야 한다. 나아가, EU 시장에 진출하여 EU 이용자들의 개인정보를 처리하고 있는 기업이라면 GPDR(General Data Protection Regulation) 등 EU 법령도 충족할 수 있는 클라우드 공급자를 찾는 것이 중요할 것으로 보인다.

신뢰할 수 있는 클라우드 서비스의 활성화를 기반으로 국내 금융기관들과 핀테크 기업들의 혁신적인 발전을 기대해 본다.

신동훈 기자 sharksin@cctvnews.co.kr

<저작권자 © CCTV뉴스 무단전재 및 재배포금지>
ad41
default_news_ad4

인기기사

포토

1 2 3
set_P1

섹션별 인기기사 및 최근기사

조이뉴스 인기기사

#top
default_bottom_notch