금융보안원은 ‘금융권 클라우드 서비스 이용 가이드’를 지난 14일 발표했다.

앞서 지난 6월 금융위원회는 클라우드 활용 및 핀테크 산업 발전 등 변화된 현실에 맞게 규제를 개선하고자 ‘전자금융감독규정 개정안’을 공고했다.

하지만 일련의 규제 개선 발표에도 불구하고 여전히 모호하고 불명확한 부분이 존재해 명문화 및 명확한 기준 제시 필요성이 꾸준히 제기돼왔다. 이에 금융당국은 업계의 요구사항을 반영, 금융보안원과 함께 개정안 관련 세부지침을 담은 ‘가이드라인’ 발표를 준비해왔으며 이번 ‘금융권 클라우드 서비스 이용 가이드’가 발표됐다.

업계에선 가이드라인에 그동안 금융권 크라우드 도입을 현실적으로 막았던 ‘망분리’ 이슈와 비중요 처리시스템 지정에 대한 세부사항이 담길 것으로 전망해 왔다. 실제 이번 가이드에선 비중요 처리시스템에 대한 예시를 첨부해 금융권이 클라우드로 전환할 수 있는 시스템이 무엇인지에 대한 고민을 다소 줄여줄 것으로 보인다.

하지만 세부적으로 그동안 논의됐던 금융 클라우드 도입의 큰 틀에서 변하는 것은 없다는 지적도 나온다.

◆‘비중요 정보처리시스템 지정’ 명확화=우선 가장 관심을 끈 것은 ‘비중요 정보처리시스템 지정’과 관련한 내용이다. 금융당국은 비중요 정보처리시스템에 지정된 시스템은 클라우드 활용이 가능하게 했다.

금융기관이 직접 비중요 시스템을 지정하도록 되어 있으나, 그 정의 및 범위가 모호하다는 지적이 있어왔다. 따라서 업계에서는 관련 규정에 비중요 정보처리시스템 범위를 명확히 해줄 것을 요구해왔다.

이에 금융당국은 비중요 정보처리시스템 지정은 각 금융사가 정하고 향후 금융당국의 승인을 받도록 했다. 금융사는 ▲정보처리시스템이 처리하는 정보의 중요도(고객 정보, 사내정보, 공개정보 등) ▲정보 위·변조·유출 시 파급효과 ▲타 시스템과의 연계성 ▲시스템 중요도 ▲시스템 용도 ▲시스템 이용자 수 를 고려해 비중요 정보처리시스템을 지정하게 된다.

하지만 고유식별정보 또는 개인신용정보를 처리(송신, 수신, 또는 전달 포함)하는 경우 비중요 정보처리시스템으로 지정 불가하다고 밝혔다. 다만, ‘개인정보 비식별 조치 가이드라인’을 준수해 비식별화하거나, 사내직원 등 전자금융거래와 관련 없는 고유식별정보 또는 개인신용정보는 처리 가능하도록 했다.

비중요 정보처리시스템 지정이 불가한 항목으로는 ▲금융서비스를 위한 웹서버 또는 채널시스템 ▲인터넷뱅킹 ▲증권거래시스템(원장시스템) ▲자금세탁방지(AML)시스템 등이 지목됐다.

◆비식벌하면 인터넷뱅킹도 클라우드 전환 가능=한편 업계에서는 개인정보 비식별 가이드라인에는 비식별된 조치가 된 정보는 개인정보가 아닌 것으로 추정하고 있어, 비식별화된 조치가 된 시스템은 비중요 정보처리시스템으로 분류 가능한지 유권해석 필요하다는 지적이 제기된 바 있다.

이에 대해 금융보안원은 지난 7월 발표된 ‘개인정보 비식별 조치 가이드라인’을 준수해 비식별화 조치된 고유식별정보 또는 개인신용정보를 처리하는 정보처리시스템에 대해선 클라우드 이용이 허용된다는 입장이다.

금융보안원 관계자는 “인터넷 뱅킹 등 중요 시스템도 비식별화조치가 완료됐다면 클라우드 이용이 가능하다”고 밝혔다. 하지만 업계에선 인터넷 뱅킹처럼 복잡한 시스템에서 비식별화조치가 전부 적용되기는 사실상 어려워 인터넷 뱅킹의 클라우드 전환은 제한적일 것으로 보고 있다.

비중요 정보처리시스템 지정과 관련해 관련 양식/관리 방안 등에 대한 가이드라인이 없어 이에 대한 명확한 기준 필요하다는 지적도 나왔는데 가이드라인에선 ‘비중요 정보처리시스템 지정결과 보고’ 양식을 첨부해 세부적인 항목을 제시하기도 했다.

한편 금융권 클라우드 시장을 놓고 경쟁이 예고돼있는 클라우드 사업자의 경우 금융 클라우드 제공을 위한 별도의 ‘금융존(Finance Zone)’의 물리적 유무가 중요하게 될 것으로 보인다. 가이드라인에선 “금융회사가 ‘전자금융감독규정’을 모두 준수하는 클라우드를 이용하는 경우에는 비중요 정보처리시스템 지정 절차 없이 클라우드 이용이 가능하다”고 적시했다.

이를 위해선 클라우드 사업자가 전산실, 외부주문관리, 정보처리시스템 보호대책, 망분리 등의 전자금융감독규정을 만족하는 물리적 클라우드 공간을 마련하는 것이 중요하다.

또 클라우드 제공업체의 외부망 혹은 내부망에 위치하는 시스템에 대해선 동일 클라우드를 이용하는 외부기관의 통신망과는 분리, 차단하고 접속을 금지해야한다는 내용이 가이드라인에 있는 만큼 사실상 금융권을 위한 별도의 클라우드 존 구축이 선결조건이 될 것으로 전망된다.

<이상일 기자>2401@ddaily.co.kr