2022년 11월 금융위원회는 금융권의 클라우드 이용 환경 개선과 관련하여 ‘전자금융감독규정’ 일부 개정안을 최종 의결하였다. 이는 앞서 4월 발표한 ‘클라우드 및 망 분리 규제 개선방안’ 예고에 대한 최종 의결로서 공식 법제화되었음을 의미하며 2023년 1월 1일부터 시행한다.
이 발표와 함께 금융권에서의 클라우드 활용 범위를 대폭 확대할 것으로 전망하는 보도가 이어지고 있다. 이에, 본 개정안이 어떤 내용을 담고 있으며 특히 눈여겨보아야 할 부분, 그리고 개정안에서 미처 담지 못한 미흡한 부분은 없는지, 그래서 앞으로 풀어야 할 과제는 무엇인지 살펴보자.
개정안 추진 배경
지난 4월 개정 예고에서 발표한 개정안 추진 배경은 다음과 같다.
- 금융업무의 디지털 전환에 따른 클라우드, 빅데이터, 인공지능 등 신기술에 대한 금융권 수요 증대
- 이러한 수요 증대에도 불구하고 클라우드, 망 분리 등 금융보안 규제가 지나치게 엄격하여 신기술 도입 및 활용을 통한 금융혁신 저해
개정안 이전에도 메일, 메신저와 같은 일부 내부 업무 그리고 고객 상담, 마케팅과 같은 소위 ‘비중요 업무’에서 주로 클라우드를 활용하였으며, 데이터 분석, 시스템 관리, 인터넷/모바일 뱅킹과 같은 ‘중요 업무’의 클라우드 활용 범위도 늘려가는 추세였다. 이에 금융업무에 적용되는 다음과 같은 클라우드 이용 절차를 만들었다.
- 업무 중요도 평가: 고유 식별·개인신용정보 처리 또는 전자금융거래의 안전성 및 신뢰성에 중요 영향을 주는 업무는 중요업무로 분류
- 업무 연속성 계획 수립: 데이터 백업, 재해복구, 침해사고 대응 훈련계획, 출구전략 등을 수립
- 안전성 확보 조치 방안: 계정관리, 접근통제 등 클라우드 이용 시 자체 보안 통제가 구현되도록 안전성 확보 조치 방안을 수립
- 위수탁기준 보완: 위수탁계약의 결정·해지 절차 및 재위탁, 모니터링, 비상 대책, 조사‧ 접근권 확보에 관한 사항을 보완한 업무 위수탁기준 마련
- CSP(Cloud Service Provider) 평가: CSP의 재무 건전성 및 안정성에 대한 평가
- 위 1에서 5까지 업무 수행 결과에 대해 정보보호위원회의 심의·의결을 거친 후 금융감독원에 사전 보고 및 클라우드 이용계약 체결
- 이러한 절차에도 불구하고 중요업무에 대한 불명확한 기준으로 인해 비중요 업무의 경우에도 클라우드 이용 시 지켜야 하는 규제·절차가 중요업무와 사실상 다르지 않았으며, 과도한 사전 보고 절차로 인해 클라우드 수요에 탄력적으로 대응하는 데에도 한계가 있다는 지적이 많았다.
공공 부문 클라우드와 유사하게 적용되는 망 분리 규제도 금융사의 클라우드 활용을 어렵게 하는 주요 요인이다. 우리나라의 망 분리 규제는 내부망에 연결된 시스템과 단말기를 외부망과 물리적으로 완전 분리함으로써 접속을 제한하는 것이다. 이러한 망 분리는 금융권에 대한 외부 보안 침해 시도로부터 시스템을 보호하는 데에는 효과적이지만, 인터넷을 통해 접할 수 있는 최신 기술을 적극적으로 활용하는 데에는 적합하지 않다. 한편 최근 네트워크 및 엔드포인트 보안 기술이 발전하면서 굳이 ‘물리적’ 망 분리를 강제해야 하는가에 대한 의구심도 제기되고 있다. 미국과 유럽연합, 호주 등에서는 금융사의 망 분리 정책을 권고하면서도 ‘논리적’ 망 분리를 허용하고 있다.
이에 클라우드 이용 절차 및 망 분리 규제에 대한 개정 필요성이 대두되었다.
개정안 내용 및 분석
개정안에 담긴 규제 개선은 클라우드 이용 및 망 분리와 관련된 규제 개선을 모두 포함하고 있다. 이번 개정안은 전자금융감독규정 제14조의2(클라우드컴퓨팅서비스 이용절차 등)와 제15조(해킹 등 방지대책)에 명시되어 있다.
1. 클라우드 이용업무의 중요도 평가 기준 명확화
이번 개정에서 가장 중요한 두 가지를 들면 첫째 이용업무 중요도에 대한 기준 제시, 둘째, CSP 평가항목 정비이다. 이 중 첫째 업무 중요도 기준과 이에 따른 절차 차등화를 먼저 살펴본다. 새로 마련된 이용업무 중요도 평가 기준은 다음과 같다.
- 규모, 복잡성 등 클라우드컴퓨팅서비스를 통해 처리되는 업무의 특성
- 클라우드컴퓨팅서비스 제공자로부터 제공받는 서비스가 중단될 경우 미치는 영향
- 전자적 침해행위 발생 시 고객에게 미치는 영향
- 여러 업무를 같은 클라우드컴퓨팅서비스 제공자에게 위탁하는 경우 해당 클라우드컴퓨팅서비스 제공자에 대한 종속 위험
- 클라우드컴퓨팅서비스 이용에 대한 금융회사 또는 전자금융업자의 내부 통제 및 법규 준수 역량
- 그 밖에 금융감독원장이 정하여 고시하는 사항
개정 전에는 고유식별정보 또는 개인신용정보 처리 시 모두 중요업무로 취급하며, 그 외에 고유식별정보나 개인신용정보를 직접 처리하지 않아도 전자금융거래의 안정성 및 신뢰성에 중대한 영향을 미치는 경우 중요업무로 취급하였다. 반면, 본 개정안에서는 위 6개 사항에 대해 ‘종합적’으로 판단하여 중요도를 결정하도록 하였다. 2번과 3번은 일반적으로 보안 관점에서의 등급을 결정할 때 반드시 챙겨야 하는 중요한 기준이므로, 금융업무에서도 중요도 결정 시 집중적으로 고려하여야 할 기준이다. 4번은 업무의 중요도 보다는 CSP 선정 시 고려해야 할 사항으로 봐야 하며, 따라서 업무 중요도 기준으로 넣기에는 적당해 보이지 않는다. CSP 선정 체크리스트에 포함되는 것이 더 합리적이다.
5번이 좀 특이한 기준인데, CSP에 업무를 위탁하는 금융회사 내부의 현황을 업무 중요도 평가 기준에 넣는 것이 좀 어색해 보인다. 그러나 이를 나름대로 해석해 보면 통상 비중요 업무라 할지라도, 만일 금융회사의 내부통제 역량이 떨어진다면 중요업무로 분류될 만큼 취약성이 높을 수 있다는 가설에서 나온 것이 아닐까 추측해본다. 하지만 클라우드컴퓨팅서비스를 안전하게 이용하기 위한 내부 역량이란 과연 무엇인가 하는 질문이 남을 수밖에 없다.
이번 개정안에서 중요업무와 비중요 업무 기준을 명확하게 정의하고자 하는 취지와 이를 위해 몇 개의 기준을 제시한 것은 진일보한 것이나, 열거된 기준을 “종합적으로 판단하여 결정”으로 다소 모호하게 마무리한 것은 아쉽다. 싱가포르 은행 연합(ABS: Association of Banks in Singapore)이 2019년 발표한 ‘클라우드컴퓨팅 구현 가이드’에서는 클라우드컴퓨팅을 통한 아웃소싱 업무 카테고리를 좀 더 구체적으로 명시하였다. (아래 표 참고) 우리나라 전자금융감독규정에도 추가 별표 또는 별지로 ABS와 유사하게 기준 적용 방식과 예를 구체화하는 것이 필요하다.
2. 클라우드 이용업무 중요도에 따른 이용절차 차등화
기존 규정에 따르면 이용업무가 비중요 업무로 구분되어도 중요업무와 같은 클라우드 이용 절차를 준수해야 했다. 비중요 업무의 경우 업무 연속성 계획 수립, 안정성 확보 조치 수립에서는 금융회사가 자율적으로 일부 항목을 조정할 수 있으나 실제로는 중요업무와 유사한 수준으로 수행하고 있었다. 특히 CSP 평가 기준이 업무 중요도와 관계없이 일괄 적용되었던 점이 클라우드 활용의 큰 걸림돌이었다.
개정안에서는 우선 CSP의 건전성 및 안정성 평가항목을 대폭 정비하였다. 기존 141개 항목에서 54개 항목으로 줄임으로서 유사하거나 중복된다고 판단되는 항목을 제거하고, 아울러 SaaS 도입이 좀 더 쉽도록 완화된 평가 기준을 마련했다. CSP 평가항목 정비와 함께 업무 중요도에 따른 절차도 차등화했다. 새로 정비된 CSP 평가 기준은 필수 항목 16개, 대체 항목 38개로 구성되어 있는데 비중요 업무의 경우 대체 항목 38개에 대한 평가는 생략할 수 있다. 또한, CSP가 국내외 보안 인증 등을 취득한 때도 대체 항목에 대한 평가를 생략할 수 있게 하였다. 여기서 구체적으로 어떤 국내외 인증인지 명시하지는 않았지만, 우리나라의 경우 공공부문 클라우드 서비스를 위한 CSAP 인증받은 CSP가 대체 항목 면제 기준에 해당하는 것으로 짐작해 볼 수 있다.
CSP 평가 이외에도 이용 절차상 준비해야 하는 클라우드컴퓨팅서비스 이용과 관련한 업무 연속성 계획 및 안전성 확보 조치에서도 필수 사항과 추가 사항을 두어 중요업무는 모든 사항을 준수하여야 하나 비중요 업무의 경우 필수 사항만 준수할 수 있게 하였다. 한편 클라우드컴퓨팅서비스 위수탁 계약서에 포함해야 하는 18개 항목을 12개의 기본 사항과 6개의 추가 사항으로 구분해 비중요 업무의 경우 추가 사항에 명시되어 있는 항목은 위수탁 계약서에 포함하지 않아도 된다.
이번 개정안에서 클라우드컴퓨팅서비스 이용절차 준수를 위해 필요한 준비 자료를 정비하고, 이를 업무 중요도별로 차등화함으로써 금융회사에서 클라우드 도입 시 겪는 혼선을 많이 줄일 수 있을 것으로 보인다. 또한, 기존 중요업무에 대해 금융감독원장에 사전 보고할 의무를 해제하고, 대신 신규 계약, 또는 중대한 계약 내용의 변경이 있는 경우 3개월 이내 사후 보고할 수 있도록 변경한 것도 클라우드 서비스 도입 속도를 높이는데 긍정적인 요인으로 작동할 것이다.
3. 망 분리 규정 완화
금융회사 등의 망 분리 요건이 적용되는 경우는 다음과 같다.
- 내부 통신망과 연결된 내부 업무용 시스템은 인터넷(무선통신망 포함) 등 외부 통신망과 분리·차단하여 접속 금지
- 전산실 내에 있는 정보처리시스템과 해당 정보처리시스템의 운영, 개발, 보안 목적으로 직접 접속하는 단말기에 대해서는 인터넷 등 외부 통신망으로부터 물리적으로 분리
이번 개정안에서는 위 두 가지 경우 모두에 대해 다음과 같은 예외 사항을 두었다.
- 이용자의 고유식별정보 또는 개인신용정보를 처리하지 않는 연구·개발 목적의 경우(단, 금융회사 또는 전자금융업자가 자체 위험성 평가를 한 후 금융감독원장이 정한 망 분리 대체 정보보호 통제를 적용한 경우에 한한다)
- 업무상 불가피한 경우로서 금융감독원장의 확인을 받은 경우
연구·개발 목적에만 인터넷 접속을 허용한다는 것이 이번 개정안에 포함된 내용이다. 이와 같은 개정의 근거로 금융규제 샌드박스를 통해 망 분리 제약 없이 운영한 카카오뱅크의 금융기술연구소 사례를 들었다. 기계 학습을 위한 데이터 접근, 오픈소스 기반의 최신 기술 확보, 외부 연구·개발 커뮤니티와의 협업 등을 위해서는 인터넷 접속이 불가피하며, 이에, 카카오뱅크 부설 연구소 망을 내부 업무망과 물리적으로 분리하여 인터넷 접속을 허용한 것이다.
물론 이 정도 예외 조항을 둔 것도 기존 망 분리 정책 대비 발전한 것은 맞지만, 이로 인해 클라우드 도입이 가속화될 것으로 기대하기는 어렵다. 연구·개발 망 분리 자체가 클라우드컴퓨팅서비스 이용과는 깊은 관계가 없기 때문이다. 이번 개정안 의결 발표가 나온 직후 한 금융회사 CIO(Chief Information Officer)와 깊은 대화를 나눈 바 있는데, 이 CIO 역시 연구·개발 목적의 망 분리는 별로 영향을 주지 않을 것이란 의견을 피력했다. 연구·개발 망을 별도로 분리하여 새로 만들어 운영하는 자체가 시스템 운영 관점에서는 피하고 싶은 일이라고도 했다.
향후 과제
앞서 금융회사 CIO와의 대화는 향후 금융권 클라우드 활용 방향에 대해 많은 것을 시사하고 있다. 우선, 금융권에서의 업무 현대화를 위해 가장 필요한 것은 SaaS(Software As A Service; 서비스로서의 소프트웨어) 활용의 확대라고 강조했다. 세상의 쓸 만한 도구는 대부분 SaaS 방식으로 서비스되고 있으며, 기존 온-프레미스 서비스도 점차 SaaS로 전환되고 있는 상황인데 이를 금융 내·외부 업무에서 쓸 수 없으니 최신 기술을 활용하기가 어렵다는 것이다.
어쩔 수 없이 주요 서비스의 경우 온-프레미스 버전을 설치 운영하여야 하는데 이를 위한 비용 및 노력은 차치하고라도 새로운 기술과 서비스를 적용하는 데 드는 시간과 노력을 쓸데없이 소모한다는 것이다. 또한, 금융권의 소프트웨어 현대화에서 중요한 한 축은 오픈소스를 활용을 확대하는 것이라 했다. 쿠버네티스 기반 컨테이너화를 통해 퍼블릭 클라우드로의 확장 가능성도 로드맵에 있지만, 현재와 같은 규제환경에서는 요원하다는 의견도 덧붙였다.
이 CIO와의 대화 내용과 필자의 생각을 합해 정리하면 금융권에서의 클라우드 확산의 필요성은 다음과 같이 요약될 수 있다.
- 금융 내부 업무의 현대화
- 개발·연구를 위한 최신 기술 접근 확대 및 프로세스 현대화
- 금융 서비스 현대화
이 중 가장 시급한 것은 SaaS 기반 금융 내부 업무 현대화, 그리고 이로 인한 내부 업무 생산성을 높이는 것이다. 금융위에서도 이번 개정안 의결 발표를 하면서 비중요업무에 대한 SaaS를 내부망에서 이용할 수 있도록, 규제 샌드박스를 통한 망 분리 규제 완화를 2023년 상반기 검토할 예정이라고 했다. 그러나 이 역시 규제 샌드박스 틀에서의 시범 운영이라, SaaS 확대를 위한 숙제는 당분간 풀기 어려울 것 같다. 위 2번은 소프트웨어 개발 현대화, 데이터 활용·분석, 초거대 인공지능 활용 등을 염두에 둔 것이다. 3번은 고객의 요구 사항이나 서비스 환경의 변화에 즉각 대응하며, 유동적인 서비스 규모에도 효과적으로 대응하기 위해 데브섹옵스(DevSecOps), 클라우드 네이티브 컴퓨팅 등 최신 개발·배포 환경을 구축하는 것이다. 2번과 3번은 매우 밀접하므로 하나의 주제로 보아도 무방하다.
금융권에서의 고민 상당 부분은 공공부문에도 적용될 수 있다. 특히 클라우드 인증, 보안 요구 수준에 따른 업무등급 차등화 같은 기본적인 방향은 공통의 과제로 풀어나갈 수 있다. 금융업계와 정부의 적극적인 소통을 바탕으로 이번 금융위원회 개정안의 후속 버전이 올바른 방향으로 줄줄이 빠르게 나올 수 있기를 기대한다.
본 글은 한국지능정보사회진흥원의 지원을 받아 작성되었으며, 디지털서비스 이용지원시스템에 동시 게재합니다.