[디지털데일리 박기록기자] 금융위원회가 9일 발표한 ‘정보처리 위탁규정 개정안 변경예고’는 단순한 규제 개선 이상의 의미를 담고 있다. ‘정보처리 위탁’이란 다름아닌 ‘IT 아웃소싱’을 규정한 내용이다.

무엇보다 이번 개정안에서 가장 주목할만한 내용은, 해외에 진출한 국내 금융회사들이 앞으로는 현지 IT전문업체들과의 계약을 통해 IT아웃소싱이 가능해졌다는 점이다.

금융위원회는 이날 발표자료에서 ‘(국내 금융회사의) 정보처리 국외 위탁시 기존의 수탁자 제한 조항(본점, 지점, 계열사)을 삭제하고, IT전문회사 등 제3자에 대한 위탁을 허용’할 방침이라고 밝혔다.

예를 들어 베트남에 진출한 국민은행 현지법인은 앞으로 IBM, HP 등 현지에 진출한 IT업체들과 아웃소싱 계약을 체결하고 IT 운영을 맡길 수 있게 된다. 현재 규정상 국내 금융회사의 정보처리 국외위탁 수탁자는 본점, 지점, 계열사(관계사)만이 가능하도록 돼있다. 현지에서 제3의 업체에 의한 IT아웃소싱은 원천적으로 불가능하다.

반면 국내에 진출한 외국계 금융회사는 이러한 규제에서 사실상 예외가 적용돼왔다. 외국계 금융회사는 현재도 해외의 본점, 지점, 계열사 위탁후 다시 해외 IT전문회사에 정보처리 위탁이 가능하다. 이 때문에 그동안 금융권 내부적으로 형평성 문제가 제기돼왔다.

(표)에서 보듯 미국, EU/영국, 독일, 싱가포르 등 금융 선진국에서는 금융회사의 제3자 IT아웃소싱에 대해 특별한 규제없이 ‘허용’을 원칙으로 하고 있다.

결국 금융 당국은 제3자에 대한 정보처리 위탁을 폭넓게 허용하는 해외 사례와 비교해 기존 국내 금융회사에 대한 정보처리 수탁회사 규정이 과도한 규제라고 보고 이를 철폐하기로 결정한 것이다.

다만 금융 당국은 금융회사가 해외에서 제3의 전문업체에 정보처리 재위탁을 허용할 경우 전문성과 기술력, 보안성 등을 철저하게 심의할 것을 주문했다.

‘현지 IT전문업체에 IT를 위탁할 경우, 금융 당국의 IT부문 검사 및 감독이 어려워지지 않겠느냐’는 질문에 대해 금융감독원 IT·금융정보보호단 조성인 팀장은 “(해외 IT부문) 검사및 감독과 관련한 매뉴얼이 이미 철저하게 준비돼 있고, 또한 현지에서 금융회사가 제3의 회사와 위탁계약을 맺을 경우 계약서상에 검사 및 감독과 관련한 사항을 명시하게 될 것”이라고 말했다.

즉, 현지 IT업체에 정보처리 재위탁을 허용하더라도 특정정보보호, 금감원 보고, 감독 및 검사 의무주수 등 안전장치가 있기 때문에 우려할 필요가 없다는 설명이다.

실제로 금융위원회는 이번 개정안을 마련하면서 고객정보보호를 위한 원칙은 현행과 동일하게 유지함으로써 규제완화에 따른 안전장치를 유지했다고 밝혔다. 암호화, 개인정보보호법 및 신용정보보호법 등 준수, 위탁계약에 피해구제 절차 등을 명시하겠다는 계획이다.

◆외국계 은행, 전산센터 해외 완전이전 가능?… ‘그렇지는 않다’

SC(스탠다드채터드), 씨티 등 국내에 진출한 외국계 은행들은 오래전부터 전산센터의 해외이전을 금융 당국에 요구해왔다. 싱가포르나 홍콩 등 글로벌 거점 지역에 구축한 글로벌 통합전산센터를 통해 IT인프라를 관리하겠다는 것이다.

이에 우리 금융 당국은 ‘고객 데이터를 해외에서 관리하는 것은 불가하다’는 입장을 지속적으로 고수해왔고, 이 때문에 외국계 은행들의 전산센터는 결과적으로 국내에 둘 수 밖에 없었다.

그러나 이번 규제 개선으로, 외국계 은행들은 기존보다는 대폭 완화된 수준에서 IT인프라 관리가 가능해질 전망이다. 물론 금융 당국은 ‘개인정보’ 및 ‘개인 금융거래정보’, ‘개인 식별정보’ 등 핵심 데이터는 기존처럼 해외에 위치한 서버에 저장, 관리되지 못하도록 했다.

하지만 그 외 개인정보와 관련없는 ‘비식별정보’는 해외 IT인프라를 통해 관리가 가능하다는 입장이다. 즉, 개인 금융정보와 같은 핵심 식별정보만 국내에서 철저하게 관리할 수 있는 방안이 제시된다면 데이터센터를 해외로 이전해도 법리적으로 문제는 없는 셈이다.

◆‘정보처리 규정 완화’… 해외 ITO 수월해 질듯

금융위원회는 이날 ‘금융회사 정보처리 보고 규정’과 관련, 기존의 ‘사전보고’에서 ‘사후보고’ 원칙으로 개정안을 통해 변경할 방침이라고 밝혔다.

금융회사로부터 정보처리 위탁업무를 맡은 회사의 입장에선 업무 처리에 상당한 효율성을 기대할 수 있게 됐다. 즉, 국내에 진출한 외국계 금융회사가 미국 등 해외 본사에 서버를 두고 IT아웃소싱을 할 경우, ‘비식별 정보’로 규정된 데이터는 국내에서처럼 원활하게 처리가 가능해진 셈이다.

금융위에 따르면, 현재 정보의 성격 및 보호가치 등을 고려하지 않고 모든 정보처리를 금감원 사전보고 대상으로 규정하고 있다. 이 때문에 금융업계가 과도한 행정부담을 호소하고 있다. 개인 고객의 금융거래정보외에 내부업무(인사, 예산) 정보, 법인고객 금융정보까지도 모두 사전보고 대상이다.

따라서 금융 당국은 이같은 규정이 개인과 관련된 정보만을 보호대상으로 하는 개인정보보호법, 신용정보법 등 정보보호 관련 법령의 입법취지에도 맞지 않다고 보고, 앞으로는 개인 고객의 금융거래 정보 처리 위탁의 경우에만 예외적으로 금감원 사전보고 대상으로 하고, 나머지 정보는 정보처리 위탁시 사후보고를 원칙으로 할 방침이다.

아울러 금융 당국은 이날 기존의 금융회사 IT아웃소싱과 관련한 규제체제를 일원화할 계획이라고 밝혔다.

현재 전산설비 위탁은 금융위원회의 승인 사항이고, 정보처리 위탁은 금감원 보고 사항인데 앞으로는 ‘정보처리 위탁’으로 통합해 금감원 보고로 일원화 시킨다는 계획이다. 이에 따라 전산서버 이전시 금융위의 승인을 받고, 다시 정보처리 위탁 계약을 맺을 때 금감원 보고를 해야하는 번거로움이 사라지게 됐다.

한편 원활한 위탁업무가 가능할 수 있도록 기존의 강도 높은 표준계약서 사용의무도 철폐할 방침이라고 금융위는 밝혔다. 현재는 정보처리 위탁계약시 금융 당국이 제시한 표준계약서를 따르도록 규정하고 있는데 이는 금융회사의 자율성을 저해한다는 지적을 받아왔다.

◆금융IT업계에 미칠 영향은?

이번 개정안은 포화상태에 이른 국내 금융IT시장에서 활로를 못하고 있는 국내 금융IT업체들의 해외시장 진출에도 긍정적인 요소로 작용할 것으로 기대된다.

하지만 국내 ITO 시장이 해외로 분산될 수 있다는 점에선 긍정과 부정적인 효과가 혼재할 것으로 전망된다.

중국, 동남아 등 국내 금융회사의 해외 법인이 많이 진출해있는 지역의 경우, 우리 IT서비스기업들도 현지에 진출해 있기때문에 현지에 제3자 위탁업체로 지정된다면 긍정적인 효과를 거둘 수 있을 것이란 분석이다.

금융권의 입장에서보면 IT비용을 절감할 수 있다는 측면에서 긍정적이다. 금융 당국은 앞으로 금융회사의 정보처리 업무 위탁을 통한 비용절감과 핵심업무 집중에 따른 업무효율성 증가로 금융산업의 경쟁력이 제고될 것으로 기대하고 있다. 이와함께 정보처리 위탁 절차 간소화에 따라 향후 인터넷 전문은행 설립시에도 IT아웃소싱을 통한 전산설비 구축 비용을 완화시킬 수 있다는 점을 강조하고 있다.

개정안은 오는 18일 제5차 금융개혁회의 보고와 규개위 심사, 금융위 의결을 거처 시행에 들어가게 된다.

<박기록 기자>rock@ddaily.co.kr