금융당국이 금융사 클라우드·망분리 규제를 단계적으로 완화한다. 클라우드 이용과 관련한 사전보고가 사후보고로 전환되고 획일적으로 적용돼 온 망분리 규제는 개발·테스트 분야 등부터 단계적으로 풀기로했다.

금융위원회는 14일 이같은 내용을 담은 금융분야 클라우드 및 망분리 규제 개선방안을 발표했다. 과도한 클라우드·망분리 규제로 인해 금융권이 디지털 신기술을 도입·활용하는데 어려움이 있다는 지적에 따른 조치다. 클라우드란 전산설비를 직접 구축하는 대신 전문 업체에서 IT자원을 필요한 만큼 탄력적으로 제공받아 사용하는 컴퓨팅 환경이다.

금융사가 클라우드를 이용하려면 ▲업무 중요도 평가 ▲업무 연속성 계획 수립 ▲안전성 확보 조치 방안 수립 ▲업무 위·수탁 기준 보완 ▲클라우드서비스제공자(CSP) 안전성 평가 ▲정보보호위원회 심의·의결 ▲금융감독원 사전보고 등 절차를 거쳐야 하는데 각 단계에 대해 전반적으로 개선책을 마련했다.

금융사가 클라우드 이용 전에 클라우드서비스사업자(CSP)를 대상으로 실시해야 하는 건전성·안전성 평가 항목은 141개에서 54개로 대폭 축소된다. 특히 비중요업무는 이 중 필수항목 16개만 평가하도록 관련 절차가 대폭 간소화된다.

비중요업무에 대해서는 CSP 평가항목 중 일부 면제 등 클라우드 이용절차가 완화된다. 업무 연속성 계획, 안전성 확보조치 등 수립 시에도 비중요업무에 적합한 별도 기준을 제시함으로써 중요업무와 비중요업무간 절차적 차이점을 명확히 하겠다는 설명이다.

금융회사 등의 CSP평가 부담 완화를 위한 대표평가제도 도입된다. 금융보안원이 금융사를 대표해 CSP를 평가하고 금융회사는 금융보안원의 평가결과를 활용할 수 있도록 하겠다는 계획이다. 아울러 금융당국은 클라우드서비스 보안인증제와 유사하게 금융 분야에서도 최근 활용도가 높아지고 있는 서비스형 소프트웨어(SaaS)에 대해 별도 평가기준을 마련하기로 했다.

망분리 규제의 경우 개발·테스트 서버에 대해서는 예외적으로 완화 적용된다. 다만 개인정보 유출 등 보안사고 발생을 최소화하기 위해 보완조치도 마련하겠다고 금융당국은 강조했다.

또한 규제샌드박스를 활용해 금융거래와 무관하고 고객·거래정보를 다루지 않는 경우에는 망분리의 예외를 허용하고 비중요업무의 SaaS 이용 시 내부망에서 가능하도록 허용된다.

금융당국은 이번 달 중 제도개선사항을 반영한 전자금융거래법 시행령 및 감독규정 개정안을 입법예고하고, 조속한 개정을 통해 내년부터 개정안이 시행될 수 있도록 할 예정이다.

금융위 관계자는 "올해 말까지 금융분야 클라우드컴퓨팅서비스 이용 가이드라인도 개정해 전 금융권이 실무적으로 참고할 수 있는 구체적인 절차 및 기준을 마련할 것"이라고 말했다.