금융위원회가 금융권 클라우드 망분리 규제를 완화한다고 14일 밝혔다. 클라우드란 전산설비를 직접 구축하는 대신 전문업체로부터 IT자원을 필요한 만큼 탄력적으로 제공받아 사용하는 컴퓨팅 환경이다.
그동안 클라우드에 대한 금융권 수요가 늘어나고 있는데, 금융보안 규제가 지나치게 엄격해 금융혁신을 저해한다는 지적이 있었다는 게 금융위의 설명이다.
먼저 클라우드 이용규제 개선방안을 보면 총 141개 클라우드서비스사업자(CSP) 평가항목을 54개(필수 16개+대체 38개)로 간소화했다. 특히 비중요업무의 경우에는 그 중 필수항목(16개)만 평가하도록 평가항목을 대폭 간소화했다.
비중요업무의 경우 CSP 평가항목 중 일부 면제 등 클라우드 이용절차를 완화한다. 업무 연속성 계획, 안전성 확보조치 등 수립시에도 비중요업무에 적합한 별도 기준을 제시함으로써 중요업무와 비중요업무간 절차적 차이점을 명확히 한다는 방침이다.
CSP평가 부담 완화를 위한 대표평가제도 도입한다. 금융보안원이 금융회사를 대표해 CSP를 평가하고 금융사는 금융보안원의 평가결과를 활용할 수 있다. 클라우드서비스 보안인증제(CSAP)과 유사하게 금융분야에서도 SaaS(Software as a Service)에 대한 별도 평가기준을 마련한다.
또 금융사 등이 클라우드를 이용하려는 경우 요구되는 사전보고를 사후보고로 전환한다. 중요업무에 대한 계약 체결, 계약 내용의 중대한 변경 등의 경우 3개월 이내에 사후 보고할 수 있도록 한다는 방침이다.
금융위는 망분리 규제 개선방안을 위해 개발·테스트 서버에 대해서는 물리적 망분리 규제를 예외적으로 완화한다. 규제 샌드박스를 활용해 금융거래와 무관하고 고객·거래정보를 다루지 않는 경우에는 망분리의 예외를 허용한다.
금융위는 "이달 제도개선사항을 반영한 전자금융거래법 시행령 및 감독규정 개정안을 입법예고하고, 조속한 개정을 통해 2023년부터 시행될 수 있도록 하겠다"며 "올해 말까지 '금융분야 클라우드컴퓨팅서비스 이용 가이드라인'도 개정해 전 금융권이 참고할 수 있는 구체적인 기준을 마련하겠다"고 밝혔다.