현행 금융 보안 규정은 금융회사 등이 클라우드 서비스를 이용할 때 업무 중요도 평가와 클라우드서비스제공자(CSP) 안전성 평가 등의 단계를 수행한 후 정보보호위원회의 심의·의결을 거쳐 이용계약을 체결하고, 금융감독원에 사전 보고토록 요구하고 있다.
이에 대해 금융 및 핀테크 업계 등에서는 중요도 판단 기준이 불명확하고 141개에 이르는 CSP 평가 항목, 과도한 보고 절차 등으로 기업의 부담이 너무 무겁다는 불만을 제기해 왔다.
또 내부망과 외부망의 전산시스템·단말기를 별도로 두는 '물리적 망분리' 의무화 규제도 인터넷과 연계가 불가피한 신기술 개발의 효율성과 혁신기술 활용도를 저하하는 것으로 지적돼 왔다.
금융당국은 이에 따라 클라우드 이용이 가능한 업무범위를 명확히 하고 중복되거나 유사한 이용절차를 정비하며, 사전보고를 사후보고로 전환하는 개선방안을 추진하기로 했다.
CSP 평가의 항목을 141개에서 54개로 축소하고, 특히 비(非)중요업무는 54개 중에서 필수항목(16개)만 평가하도록 간소화한다. 국내외 보안인증을 획득한 CSP에 대해선 인증 때 평가한 항목을 제외한 항목만 평가해도 된다.
또, 동일한 CSP에 대해서는 금융보안원이 대표로 CSP를 평가하고, 금융회사는 이를 활용할 수 있도록 하는 '대표평가제'를 도입하기로 했다.
아울러 개인신용정보를 보유하지 않거나 금융거래 관점에서 중요성이 낮은 개발·테스트 서버에는 물리적 망분리 규제가 예외적으로 완화된다. 다만 개인정보 유출 같은 보안사고 발생 우려를 최소화하기 위해 개인신용정보나 계좌거래정보 활용을 금지하는 내부기준을 운영하게 할 방침이다.
금융위는 이러한 클라우드·망분리 규제 개선방안을 반영한 전자금융거래법 시행령과 감독규정 개정안을 이르면 이달 안에 입법예고하고, 내년부터 시행할 계획이다.