금융위원회·금융감독원은 오는 20일, 금융회사가 내부 업무망에서 SaaS를 활용할 경우 일정한 보안 규율을 준수하는 전제로 망분리 규제 예외를 허용하는 내용의 '전자금융감독규정시행세칙' 개정안 사전예고를 실시한다고 19일 밝혔다.
SaaS 서비스 사용자가 소프트웨어를 직접 구매해 설치하는 방식이 아닌 인터넷을 통해 원격으로 접속해 사용하는 소프트웨어 서비스로, MS 오피스 365·슬랙·드롭박스 등의 다양한 SaaS 서비스가 많은 기업의 사무관리·업무지원 용도로 활용되고 있다.
하지만 SaaS 서비스는 외부 소프트웨어 업체가 운영하는 클라우드 서버와 금융회사의 내부 업무용 서버간 데이터 교환 등이 필수적인 점에서 금융권에 적용되는 '망분리 규제'와 상충되는 측면이 있었다.
이에 금융당국은 혁신금융서비스 심사를 통해 충분한 보안조치 등을 갖춘 서비스에 대해 SaaS 활용을 허용하되, SaaS 운영과정에서 보안성 문제를 해소할만한 충분한 사례가 축적된 시점에 규정화를 통해 망분리 규제의 예외로 허용할 계획을 마련·추진해 왔다.
금융당국은 2023년 9월부터 현재까지 총 32개 금융회사가 SaaS 관련 총 85건의 혁신금융서비스를 허용받아 안정적으로 운영해 왔다는 점에서 동 서비스를 망분리 예외로 상시적으로 운영할 수 있는 충분한 사례 축적이 이뤄졌으며 이러한 운영사례를 바탕으로 개정안을 마련했다고 설명했다.
개정안에서는 '클라우드컴퓨팅 발전 및 이용자보호에 관한 법률 시행령' 제3조제2호에 따른 '응용프로그램 등 소프트웨어를 사용하는 서비스(SaaS)'는 전자금융거래법 제21조 및 전자금융감독규정 제15조에 따른 망분리 규제를 적용받지 않도록 명시된다.
다만, 개인정보 유출사고 우려 등을 감안하여 이용자의 고유식별정보 또는 개인신용정보를 처리하는 경우에는 망분리 예외를 허용하지 않도록 할 예정이다.
망분리 규제 예외가 허용되는 만큼 이를 보완하기 위한 엄격한 정보보호통제장치 마련도 의무화한다.
금융회사는 △침해사고 대응기관 평가를 거친 SaaS 이용 △접속 단말기에 대해 보호대책 수립, 안전한 인증방식 적용, 최소권한 부여 등 엄격한 보안관리 △중요정보 입력·처리·유출 여부 모니터링 및 통제 △SaaS 내 데이터의 불필요한 공유·처리 방지나 허용되지 않은 외부 인터넷 접근 통제 △SaaS 이용 네트워크 구간 암호화 수립 적용 등 규율을 마련, 운영해야 한다.
또한 정보보호통제 이행 여부를 반기에 1회 평가하고 금융사 내 정보보호위원회에 보고해야 한다.
금융댱국은 이번 개정안을 통해 금융사는 혁신금융서비스 심사 절차를 일일이 거치지 않고도 다양한 SaaS 서비스를 업무에 활용할 수 있게 되면서 금융회사 업무 전반에 효율성이 크게 향상되고 해외 지사, 글로벌 그룹사 등과의 협업이 훨씬 용이해질 것으로 기대하고 있다.
개정안은 2월 9일까지 20일간의 사전예고 이후 규제개혁위원회 심사 등의 절차를 걸쳐 신속히 확정·시행 될 예정이며 시행시점에 맞춰 보안위협에 대응하기 위한 상세 대응요령을 담은 보안해설서도 마련해 배포할 예정이다.
[소비자가만드는신문=이철호 기자]
