금융IT

금융위 "금융회사 클라우드 활용시, IT아웃소싱 책임소재 명확히 할 것"

이상일
[디지털데일리 이상일기자] 금융권 클라우드 활성화를 위한 ‘전자금융감독규정 개정안’ 규정변경과 금융권 클라우드 서비스 가이드라인 개정안에는 금융회사와 클라우드 서비스 제공업체 간 책임이 보다 명확화될 것으로 예상된다.

금융보안원이 24일 여의도 콘래드 호텔에서 개최한 ‘금융정보보호 컨퍼런스’에서 ‘금융권 클라우드 이용 현황 및 확대방향’을 주제로 발표한 금융위원회 전자금융과 주홍민 과장은 “글로벌 시장에선 클라우드 컴퓨팅 관련 법안보다는 권고나 가이드라인 형태로 정책이 진행되고 있다"며 "EU의 경우 클라우드 사업자에 중요정보 위탁시 관할 당국에 통보하고 위탁업무 관련 제3자에 대한 접근권, 현장 감사권까지 요구할 수 있도록 하는 경우도 있다.”고 밝혔다.

현재 금융위원회는 해외의 사례를 참고해 클라우드 서비스 가이드라인 개정 및 전자금융감독규정 규정 변경을 진행 중이다.

미국은 FFIEC(검사협의회)에서 금융기관의 프라이버시 관련 책임, 보안의무, 정보유출시 보고의무 등 법적 의무를 명시하고 있다.

일본은 당국 지침은 없지만 자율규제기구인 금융정보시스템센터에서 클라우드 통제 항목을 명시하고 있고 클라우드 제공자 거점이 금융회사가 통제가능할 지역일 것과 책임범위 명확화 등을 요구하고 있다.

주홍민 과장은 “금융사가 클라우드를 사용하면 아웃소싱의 영역이 커지기 때문에 금융회사와 클라우드 서비스 제공자간 계약을 명확히 하고 책임 소재를 분명히 하는 방향으로 정책의 방향성이 이뤄지고 있다. 금융당국의 감독이 원활하게 이뤄지도록 하는 것도 중요하다”고 밝혔다.

금융위도 글로벌 추세에 따라 금융회사와 클라우드 서비스 제공업체 간 책임을 명확화하는 방향으로 감독방안을 마련하고 있다.

이와관련 주 과장은 “클라우드 서비스를 비롯해 전자금융보조업자에 대한 감독장치가 필요할 수도 있어 앞으로 고민해야 할 과제로 여기고 있다”며 “향후에는 금융전산 물리적 망분리 체계 적정성도 검토할 계획”이라고 전했다.

한편 개정안에서는 금융 클라우드 활용을 위한 기본 보호조치와 금융부문 추가보호 조치를 검토하고 있다.

위험평가와 관리, 침해사고, 예방대응, 암호화/데이터 보호 조치 등을 포함해 클라우드 이용시 1년간 전산시스템 가동기록을 보존하고 금융보안원이 금융회사 등의 클라우드 안정성을 지원하도록 할 계획이다.

금융사의 책임도 강화한다. 금융사 자체로 클라우드 서비스 안정성 등을 자율 평가하도록 할 계획이다. 또, 클라우드 계약서에 금융회사, 감독당국의 조사 및 접근권을 보장하고 클라우드 제공자와 금융회사의 법적 책임을 명시할 계획이다.

한편 기타 사항으로 허가 및 등록의 물적시설 요건을 ‘보유’에서 ‘갖출 것’으로 바꾸고 외부인력 신원조회의 경우 신원조회를 신원보증보험 증권 제출로 갈음할 방침이다.

주홍민 과장은 “클라우드는 비용절감, 안정성 강화, 혁신 서비스 창출 등의 이점이 있다”며 “데이터 혁명의 핵심 기반인 클라우드를 통해 핀테크 혁신성장을 촉진할 계획”이라고 밝혔다.

<이상일 기자>2401@ddaily.co.kr

이상일
2401@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널