심사 완화·범위 확대 등 금융사 요구 ‘불수용’
금융사들의 숙원 사업 중 하나였던 클라우드 기반 업무용 소프트웨어(SaaS·Software as a Service) 규제 완화가 금융 당국의 규제 심의를 통과했다. 금융사들은 SaaS 심사 완화와 제도 적용 범위 확대 등 여러 의견을 전달했으나, 금융 당국이 모두 수용하지 않기로 결론내리면서 “반쪽짜리 규제완화”라는 불만도 나온다.
17일 금융권에 따르면 금융 당국은 최근 규제심사위원회를 열고 금융사가 내부 업무망에서 SaaS를 활용할 경우 망 분리 규제 예외를 허용하는 내용의 ‘전자금융감독규정 시행세칙’ 개정안을 통과시켰다.
일러스트=손민균
SaaS는 문서 작성, 협업 툴, 화상회의, 인사·성과 관리처럼 클라우드 서버로 제공되는 응용 소프트웨어다. SaaS 서비스는 외부 소프트웨어 업체가 운영하는 클라우드 서버와 금융사의 내부 업무용 서버 간 데이터 교환 등이 필수적이다. 금융권은 해킹 등 사이버 위협을 막기 위해 외부 인터넷망과 내부 업무망을 물리적으로 분리하는 망 분리 규제를 받기 때문에 SaaS를 도입하는 데 제약이 있었다.
금융 당국은 2023년부터 ‘혁신 금융 서비스’ 제도를 통해 제한적으로 SaaS 활용을 허용해 왔고, 이번에 상시 허용으로 완화하기로 했다. 개정안이 규제 심사를 통과한 만큼 이르면 다음 달 중 시행될 전망이다.
개정안 입법 예고 기간 동안 금융사들은 20여 건의 의견을 금융 당국에 전달한 것으로 전해진다. 대표적으로 SaaS를 통해 고유식별정보나 개인신용정보 처리를 허용해 달라는 것이다. 금융사들은 SaaS를 제대로 활용하기 위해선 가공되지 않은 개인정보신용정보가 필요하다고 보고 있다. 현재는 암호화한 가명 정보만 이용 가능하다.
보안 수준이나 보고 의무에 대한 완화 의견도 있었다. 개정안에 따르면 금융사는 금융보안원 등 침해 사고 대응 기관의 평가를 통과한 SaaS만 사용해야 한다. 금융사들은 과도한 규제라는 의견을 제시했지만 받아들여지지 않았다.
서울 종로구 정부서울청사 내 금융위원회. /뉴스1
SaaS를 도입한 금융사들은 엄격한 정보 보호 통제를 갖추고 보안 조치 이행 여부를 반기마다 점검해 내부 정보 보호 위원회에 보고해야 한다. 금융사들은 보고 주기를 늘려달라고도 건의했다. 허용된 SaaS 서비스 외 다른 외부 인터넷 접근을 엄격히 차단하는 규정에 대해서도 시스템 업데이트 등을 고려해 완화할 필요가 있다는 의견이 있었으나, 해킹 사고 등을 이유로 불수용 결정이 내려졌다.
금융권에선 SaaS 망 분리 규제 완화를 환영하면서도 ‘반쪽짜리’라는 불만도 나온다. 개인정보 활용이 필요한 인사·성과 관리 등 기업의 핵심 업무에는 SaaS 이용에 제약이 생기기 때문이다. 금융 당국은 향후 생성형 인공지능(AI)에 대한 망 분리 규제도 추진할 계획인데, 금융사들은 개인정보 이용이 필요하다는 입장이다.
금융권 관계자는 “기술 혁신과 견고한 보안이 균형을 맞춰서 가야 하는 것은 맞지만, 규제 완화에 대한 체감도가 낮은 것은 사실”이라고 했다.