[디지털데일리 박기록기자] 금융 데이터를 외부의 클라우드 환경에서도 운영이 가능하도록 허용하는 내용의 전자금융감독규정 개정안에 내년 1월1일부터 시행된다.
금융위원회는 지난 5일 '제 21차 정례회의를 개최하고 금융 클라우드 허용을 골자로한 '전자금융감독규정 개정안'을 심의․의결했다고 7일 밝혔다.
앞서 지난 2016년부터 금융권은 개인신용정보가 아닌 ‘비중요 정보’에 한해서만 외부 클라우드를 제한적으로 허용한 바 있으나 내년 1월1이부터는 제한없이 가능해졌다. 따라서 금융회사는 개인신용정보, 고유식별정보도 외부 클라우드 환경을 통한 활용이 허용된다 .
금융위는 최근 금융분야 디지털화(digitalization)가 폭넓게 확산됨에 따라 클라우드 이용 확대와 관련한 추가 규제완화 필요성이 지속 제기됐다고 이번 개정의 배경을 밝혔다. 다만 금융위는 금융분야의 특수성을 감안해 클라우드 허용에 따른 안전성 확보조치 등 금융권 클라우드 이용 및 제공 기준도 함께 제시했다.
금융권 클라우드서비스 안전성 기준과 관련, 기존에는 금융회사 등이 비중요정보만을 이용할 수 있었고 그에 따라 별도의 클라우드 서비스의 안전성 기준이 없었다.
그러나 앞으로 클라우드 서비스 제공자는 기존 금융회사에 준하는 의무를 준수해야 한다. 먼저, '데이터보호'와 관련해 ▶금융권 통합보안관제 지원, ▶전산자료 접근통제, ▶정보시스템 가동기록 보존, ▶중요 정보 암호화 등 데이터 보호, ▶개인(신용)정보법 등 금융관련 법령을 준수해야한다.
또 '서비스장애 예방 및 대응'과 관련해서는 ▶클라우드 이용시에도 주요 전산장비 이중화 및 백업체계를 구축, ▶서비스 연속성 보장, ▶장애 발생시 비상 대응조치․통지 의무를 지켜야한다.
클라우드에 대한 금융회사의 내부통제도 강화된다. 기존에는 개인신용정보․고유식별정보를 포함하지 않은 비중요 정보시스템에 대해서 별도의 안전성 평가가 없이 운영돼왔다. 하지만 앞으로는 금융회사가 클라우드 서비스의 안전성을 평가하고, 자체 정보보호위원회 심의․의결을 거치도록 했다. 또한 금융 정보의 중요도에 따라 클라우드 이용 현황을 감독당국에 보고하고, 법적책임, 감독․검사 의무 등을 계약서에 명확화하도록 했다.
◆'개인신용정보'는 국내 소재 클라우드에서 관리해야 = 특히 관심을 모았던 '국내 소재 클라우드 운영' 방침과 관련해서는 사고 발생시 법적 분쟁, 소비자 보호, 감독 관할 등을 고려해 '개인신용정보' 처리의 경무만 국내 소재 클라우드에 한해 우선 허용한다고 밝혔다. 즉 개인신용정보를 제외한 금융정보는 외국 소재의 클라우드환경에서 운영해도 된다는 의미로 해석된다.
금융위는 향후 금융 클라우드 운영방안과 관련, 클라우드 이용 촉진, 자율보안․ 감독 강화의 원칙을 강조했다.
예를들어 금융회사가 인공지능(AI) 상담, 상품개발, 데이터 분석 등을 위해 클라우드에서 개인신용정보도 이용하되 자체 보안 수준을 강화하도록 유도할 계획이다. 즉 클라우드 이용시 금융회사가 중요 정보를 직접 통제․관리하고, 안전성 확보방안을 수립하도록 했다.
또한 클라우드 이용의 안전성을 위해 보고의무를 강화하고, 금융회사와 감독당국의 조사․접근권(현장방문 포함)을 확보하도록 했다.
◆안정성이 평가된 클라우드만 이용 가능 = 이와함께 금융회사가 클라우드의 기술적․관리적 보호조치 등 안전성을 자체 평가하여 안전성이 확보된 클라우드를 이용하도록 요구했다. 관련하여 금융보안원이 금융회사의 클라우드 안전성 평가를 지원한다. 다만 금융위는 이 안정성 평가가 별도의 '인증' 형식을 요구하는지에 대해서는 별도로 언급하지 않았다.
금융위는 금융회사내 자체 '정보보호위원회'를 통해 안전성 평가결과와 클라우드 위탁 및 수탁 운영기준 등을 심의․의결해 관리․감독하고, 의결사항을 감독당국에 보고하도록 했다. '정보보호위원회'는 금융회사의 정보보호최고책임자를 위원장으로 하며, 위원은 정보보호업무 관련 부서장, 전산운영 및 개발 관련 부서장, 준법업무 관련 부서의 장 등으로 구성된다.
금융회사․클라우드 제공자간 법적 책임 명확화했다. 사고예방을 위해 클라우드 제공자는 금융회사에 데이터의 물리적 위치(중요정보는 국내 한정)를 알리고, 정보보호 의무와 서비스 장애 방지대책 등 클라우드 관리․보안 요구사항을 이행해야 한다.
또 사고 발생시에는 비상대응을 위해 국내 전산센터내 필수 운영인력이 상주하고, 장애 발생 사실을 신속 통지․대응하도록 했다.
특히 신속한 장애 대응 및 복구가 가능토록 개인신용정보를 처리하는 모든 시스템(관리시스템 포함)을 국내에 설치하도록 했다. 관련하여 전자금융감독규정 제23조에 '비상 상황시 신속 원상복구를 위한 비상지원인력을 확보'를 명시했다. 전산장애 발생시 이를 지체없이 통보해야하며 진행상황 파악 등을 위한 컨택 포인트를 지정한 후 장애원인 분석 및 재발방지 대책을 금융회사에 제공해야 한다.
◆클라우드 장애로 고객 피해 발생시, 금융회사가 고객에게 우선 배상 = 만약 클라우드 전산장애로 인해 피해가 발생할 경우, 손해배상은 재판관할 사항 등을 계약서에 명시하여 금융회사․클라우드 제공자간 법적 책임관계를 명확화하도록 했다.
고객 피해 발생시 금융회사가 이용자에 대해 직접 손해를 먼저 배상하고, 클라우드 제공자는 연대 배상책임을 부담하도록 했다. 이와함께 고의․과실로 인한 서비스 품질 저하․장애 등 발생시 클라우드 제공자가 금융회사의 손해를 배상해야 한다.
금융위는 클라우드 이용 감독 강화 방안과 관련, 클라우드 이용시 금융회사가 안전성 확보조치, 계약 내용 등을 감독당국에 보고토록 하여 모니터링을 강화하도록했다. EU․영국 등과 같이 클라우드 이용 계약서에 금융회사와 감독당국의 조사․접근권을 명시해야 한다.
클라우드 이용 관련 데이터 보호장치와 관련해서는 전자금융거래법․신용정보법 등에서 규정한 안전성 확보조치에 따른 보호장치를 마련하도록 했다.
특히 외부 통신망과 분리․차단되도록 하고 사고 발생시 원인 파악을 위해 정보시스템 기록을 보존해야 한다. 클라우드 서비스를 이용하는 금융회사의 정보처리시스템에 대해 동일 클라우드를 이용하는 외부기관의 통신망과 분리·차단하고 접속을 금지해야 한다. 이는 클라우드 서비스사업자가 논리적 망분리를 준수해야한다는 것을 의미한다.
이와함께 중요 정보는 암호화 처리하고, 클라우드 제공자 등 접근권한이 없는 자의 열람은 불가하다.
◆외국 정부의 클라우드 국내 금융정보 열람 요구?… 금융위 "함부로 못한다…" = 다만 범죄 수사를 위한 외국 정부의 정보제공 요청시 국내법 위반 소지가 있을 경우 거부가 가능하도록 했다. 최근 미국의 CIA 등 외국의 정보기관이 외국 클라우드서비스 사업자를 통해 국내 금융정보를 무단 열람할 수 있다는 가능성이 일각에서 제기된 바 있는데 금융위는 이에대해 분명한 선을 그은 것으로 보인다.
금융위는 관련하여 국내 클라우드 시스템에 대해서는 미국 해외 정보 이용법(CLOUD법, Clarifying Lawful Overseas Use of Data Act)에 따른 미국정부의 데이터 제공 요청에 반드시 따라야 하는 것은 아니라고 밝혔다.
미국의 클라우드 법은 범죄 조사에 필요한 해외 소재 데이터 확보 및 안보 유지를 위해 제정한 것으로, 외국 정부의 법령을 고려하여 데이터를 요청할 수 있도록 하고 있다는 설명이다.
즉, 고객 또는 가입자가 미국인이 아니며 미국에 거주하지 않고, 요구된 데이터 공개로 인해 사업자가 자격 있는 외국 정부의 법을 위반할 중대한 위험이 있는 경우, 사업자는 미국 정부의 데이터 요구에 대한 각하․변경을 법원에 청구할 수 있도록 하고 있다.