금융당국이 클라우드와 망분리 규제를 일부 완화한다. 금융업계의 디지털 전환을 지원한다는 취지다.금융위원회는디지털 신기술이 금융 분야에 확대 적용될 수 있도록 클라우드 활용에 관한 규제와 망분리 규제 개선을 추진한다고 14일 밝혔다.

그 일환으로 클라우드 이용이 가능한 업무범위를 명확히 하고 중복되거나 유사한 이용절차를 정비하며, 사전보고를 사후보고로 전환하는 개선방안을 추진하기로 했다.

현행 금융 보안 규정에 따르면 금융회사 등이 클라우드 서비스를 이용할 때 업무 중요도 평가와 클라우드서비스제공자(CSP) 안전성 평가 등 복잡한 단계를 수행한 후 정보보호위원회의 심의·의결을 거쳐 이용계약을 체결하고, 이를 금융감독원에 사전 보고해야 한다.

그러나 불명확한 중요도 판단 기준, 141개에 이르는 CSP 평가 항목, 과도한 보고 절차 등으로 클라우드 서비스를 이용할 때마다 기업의 부담이 너무 무겁다는 지적이 끊이지 않았다.

이에 따라 클라우드 이용 전에 수행해야 하는 클라우드서비스사업자(CSP)의 건전성·안전성 평가 항목을 141개에서 54개로 간소화하고, 비중요업무는 그중 필수항목 16개만 수행하도록 한다. 동일한 CSP에 대해 여러 금융회사가 평가를 중복하는 비효율을 개선하고자 금융보안원이 대표로 CSP를 평가하고, 금융회사는 이를 활용할 수 있도록 하는 ‘대표평가제’를 도입할 방침이다.

또 금융사들이 클라우드 서비스를 이용하기 위해 금감원에 사전보고해야 했던 규제를 사후보고로 전환하고, 제출 서류도 간소화하기로 했다.

획일적으로 적용돼온 망분리 규제도 손질한다. 개인신용정보를 보유하지 않거나 금융거래 관점에서 중요성이 낮은 개발·테스트 서버에는 물리적 망분리 규제가 예외적으로 완화될 예정이다.

다만 개인정보 유출 같은 보안사고 발생 우려를 최소화하기 위해 개인신용정보나 계좌거래정보 활용을 금지하는 내부기준을 운영하게 할 방침이다.

한편 망분리는 외부 침입으로부터 내부 전산자원을 보호하고자 내부망과 외부망을 분리하는 네트워크 보안기법이다. 우리나라는 내부망과 외부망의 전산시스템·단말기를 별도로 두는 ‘물리적 망분리’를 채택해 운영하고 있다.

그러나 기업·업무의 유형을 고려하지 않은 물리적 망분리 의무화가 적용되면서 인터넷과 연계가 불가피한 신기술 개발의 효율성 및 혁신기술 활용도가 떨어지고 기업에 과중한 부담이 된다는 지적이 업계에서 제기돼왔다.

금융위는 이같은 클라우드·망분리 규제 개선방안을 반영한 전자금융거래법 시행령과 감독규정 개정안을 이르면 이번달 안에 입법예고하고 내년부터 시행할 계획이다.

이와 함께 중장기로는 망분리 대상업무를 축소하고 ‘논리적 망분리’에 대한 선택권을 부여하는 방안도 검토할 예정이다.