금융 클라우드 규제의 빗장이 풀렸다. 정부는 그동안 금융보안 정책에 뿌리깊게 박혀있던 ‘망분리 규제’를 손본다. 망분리는 외부 침입으로부터 내부 전산자원을 보호하고자 내부망과 외부망을 분리하는 네트워크 보안기법이다. 우리나라는 내부망과 외부망의 전산시스템·단말기를 별도로 두는 물리적 망분리 제도를 운영 중이다.
금융당국은 최근 금융분야 클라우드 활용에 관한 규제와 망분리 규제 개선을 추진한다고 발표했다. 기업에 가장 큰 부담으로 지목된 CSP 평가의 항목을 141개에서 54개로 축소하고, 특히 비중요 업무는 54개 중 필수항목(16개)만 평가하도록 간소화한다.
그동안 핀테크와 빅테크 업계는 계속해서 망 분리 규제 개선을 요구했다. 망 분리가 서비스 개발과 운영상 제약을 가하다 보니 유능한 개발자들의 금융권 영입을 가로막는 요소로 지목됐다. 공공 금융 시장을 노리던 클라우드 업계는 망 분리 규제 완화 소식에 환영했다.
앞서 NHN은 중앙은행인 한국은행에 서비스형소프트웨어(SaaS) 협업툴을 공급했는데, 내부망을 통해 공급하는 것이 규제로 불가능한 탓에 외부망을 통해 공급하기도 했다. 망분리 제도가 기형적인 서비스를 만들어낸 대표적인 케이스다. 금융업계가 혁신 서비스 도입을 위해 망 분리 규제 완화가 필요하다고 주장한 배경이 되기도 했다.
망 분리 규제는 2013년 대규모 은행 전산망 마비 사고를 계기로 도입됐다. 당시 악성코드 감염으로 국내 주요 방송사와 금융회사 전산망이 마비됐을 때 망이 분리되지 않아 피해가 컸다는 분석이 나오면서 전 금융권에 도입됐다.
망 분리가 금융시스템을 안전하게 보호한 것은 맞는 말이다. 하지만 클라우드와 같은 혁신 기술 활용의 걸림돌로 작용하고, 금융회사 업무의 범위나 성격을 고려하지 않은 채 일괄적으로 적용돼 개발 업무 효율성을 저해한다는 점은 지적을 받았다.
쳇바퀴를 돌던 망 분리 정책에 대한 분위기가 달라지기 시작한 것은 코로나19 덕(?)이다. 디지털전환 가속화와 재택근무 증가로 금융권에서도 클라우드 활용이 필요한 환경에 직면하게 된 것이다. 최근에는 데이터 분석과 시스템 관리, 인터넷·모바일 뱅킹 등 핵심업무에도 클라우드를 활용한다.
다만, 클라우드를 이용하려면 업무중요도 평가 및 안전성 확보조치 방안, 클라우드서비스제공자 안전성 평가 등을 거쳐 금융감독원에 사전에 보고해야 한다. 이번 규제 완화를 통해 금융당국은 클라우드 이용이 가능한 업무범위를 명확히 하고 중복되거나 유사한 이용절차를 정비하며, 사전보고를 사후보고로 전환하는 개선방안을 추진하기로 했다.
금융당국의 규제 완화는 금융혁신과 디지털전환 가속화를 돕는 희소식이다. 하지만 규제를 완화했다고 해서 방심의 끈을 놓아서는 안 된다. 금융권은 늘 사이버공격과 서비스장애가 빈번하게 발생하는 분야기 때문이다.
금융감독원이 발표한 ‘2021년 전자금융사고 발생 현황 및 대응 방안’을 보면, 전자금융사고 발생 건은 2020년 대비 28건 증가한 356건이었다. 해킹 등으로 인한 전자적 침해사고는 조금 줄었지만, 서비스 지연 등 장애사고는 2020년 대비 37건 늘어난 350건이었다.
혁신 금융 서비스로 불리는 마이데이터 사업 관련 사고도 발생했다. 마이데이터 서비스를 API 방식으로 전환하거나, 고객상담 등 업무를 위탁·운영하는 과정에서 프로그램 오류·해킹 등으로 정보가 유출됐다. 새로운 기술을 적용하는 과정에서 얼마든지 사고가 일어날 수 있다는 것을 보여준 사례다.
금융당국은 클라우드·망분리 규제 개선방안을 반영한 전자금융거래법 시행령과 감독규정 개정안을 이르면 이달 안에 입법예고하고, 2022년부터 본격 시행할 계획이다.
규제가 완화되는 만큼 금융권 해킹과 정보유출 사고에 대한 위험을 줄이기 위한 방안에 대한 고민도 필요하다. 다만 정부주도 규제가 아닌 기업들이 최대한 자율적으로 사이버 공격에 대비할 수 있는 환경을 마련해주는 방법론에 대한 고민이 필요하다.
류은주 기자 riswell@chosunbiz.com