Home > 전체기사

정부, 금융권 클라우드 및 망분리 규제 개선한다

  |  입력 : 2022-04-15 18:59
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
과도한 클라우드 및 망분리 규제로 디지털 신기술 도입·활용에 어려움 있어
클라우드 이용 업무 범위 명확화 및 이용절차 정비, 사후보고 전환
일률적·획일적 망분리 규제, 개발·테스트 분야 등부터 단계적 완화


[보안뉴스 원병철 기자] 금융위원회(위원장 고승범, 이하 금융위)가 디지털 혁신을 위한 클라우드 및 망분리 규제를 개선하겠다고 밝혔다. 금융위는 금융업무의 디지털 전환이 가속화되면서 클라우드, 빅데이터, 인공지능(AI) 등 디지털 신기술에 대한 금융권 수요가 늘어나고 있으며, 한편으로 클라우드, 망분리 등 현행 금융보안 규제가 지나치게 엄격하여 적극적인 디지털 신기술 도입·활용을 통한 금융혁신을 저해한다는 의견이 지속 제기되어 왔다고 설명했다. 그리고 정부는 전문가 및 이해관계자 등의 의견을 청취해 디지털 혁신을 위한 클라우드 및 망분리 규제 개선방안을 마련했다고 밝혔다.

[이미지=utoimage]


1. 클라우드 이용규제 현황
그간 금융권은 클라우드를 내부업무(메일, 메신저 등), 고객서비스(고객상담, 마케팅) 등 후선업무에 주로 활용했다. 최근에는 데이터 분석, 시스템 관리, 인터넷‧모바일 뱅킹 등 핵심 업무에도 클라우드 활용도를 높여 나가는 추세다.

금융권은 후선업무 등 비중요업무뿐만 아니라 중요업무에 대해서도 클라우드 이용이 가능하다. 다만, 금융회사 등은 ①업무중요도 평가 ②업무연속성 계획 ③안전성 확보조치 방안 수립 ④업무위수탁기준 보완 ⑤클라우드서비스제공자(Cloud Service Provider : 이하 ‘CSP’) 안전성 평가 등을 수행한 후, ⑥정보보호위원회의 심의‧의결을 거쳐 클라우드 이용계약을 체결하고 금융감독원에 ⑦사전보고해야 한다.

이에 대해 불명확한 기준, 과도한 보고 절차 등으로 금융회사 등의 클라우드 수요에 탄력적으로 대응하는데 한계가 있다는 지적이 있다. 또한, 비중요업무의 경우에도 클라우드 이용시 준수해야 하는 규제‧절차가 중요업무와 큰 차이가 없는 상황이다.

2. 망분리 규제 현황
망분리 규제는 외부의 침입으로부터 내부 전산자원을 보호하기 위해 내부망과 외부망을 분리하는 네트워크 보안기법의 일종이다. 망분리는 내부망과 외부망에 접속하는 단말기를 물리적으로 분리(PC 2대 사용)하는 방식과 가상화 기술 등을 이용해 내부망과 외부망에 접속하는 단말기를 논리적으로 분리(PC 1대 사용)하는 방식으로 구분된다.

2013년 대규모 금융전산사고를 계기로 금융 분야에 망분리 규제를 도입하면서 그 방식으로 물리적 망분리를 채택했다. 즉, 금융회사, 전자금융업자는 내부망에 연결된 전산시스템‧단말기를 외부망과 물리적으로 분리해 접속을 제한해야 한다. 참고로 미국, EU, 호주 등 주요국의 금융당국은 보안 강화를 위해 금융회사의 망분리 정책을 권고하면서 논리적 망분리를 허용했다.

망분리 규제는 도입 이후 금융전산사고가 크게 감소하는 등 해킹 등으로부터 금융시스템을 안전하게 보호한 것으로 평가됐지만, 기업별‧업무별 차이를 감안하지 않고 일률적으로 물리적 망분리 규제가 적용됨에 따라 개발업무 등의 효율성이 저해되고 혁신기술의 활용에 어려움이 있다는 지적이 제기됐다.

▲개선방안 기본방향[자료=금융위]


3. 클라우드 이용규제 개선방안
① 클라우드 이용 업무에 대한 중요도 평가기준 명확화

클라우드를 이용하는 경우 해당 업무의 중요도를 평가해야 하나, 중요도의 판단 기준이 불명확한 지적이 있었다. 현재 ‘개인신용정보’ 처리여부, ‘전자금융거래의 안정성 및 신뢰성에 중대한 영향’을 미치는 경우 등을 규정하고 있으나, 실제 적용에는 어려움이 있다. 금융위는 해외 사례 등을 감안해 업무 중요도 평가에 대한 구체적 기준을 마련할 예정이다.

실제 싱가포르-MAS의 경우 △아웃소싱 할 업무의 수익 및 이윤에 대한 기여도 △아웃소싱이 소득·지급능력·유동성 등에 미치는 잠재적인 영향력 △아웃소싱 실패 시 치러야 하는 비용 △아웃소싱 비용이 기관의 운영비용 총액에서 차지하는 비율 △업체 서비스 중단 및 기밀성·보안 침해가 발생하는 경우 고객에게 미치는 영향 등을 평가한다.

② CSP 평가항목을 141개에서 54개로 축소
금융회사 등은 클라우드 이용 전에 클라우드서비스사업자(CSP)의 건전성‧안전성 평가를 수행해야 한다. 이 경우 평가항목은 총 141개(‘기본 보호조치 항목’ 109개, ‘금융부문 추가보호조치’ 32개)로 많고, 항목 간 중복이 존재해 절차 중 가장 큰 부담으로 작용하고 있다.

개선방안으로 총 141개 CSP 평가항목을 54개(필수 16개+대체 38개)로 간소화하고, 특히 비중요업무의 경우에는 그 중 필수항목(16개)만 평가하도록 평가항목을 대폭 간소화했다. 다만 CSP 평가 등 절차는 합리적으로 개선하되, 정보보호위원회의 심의‧의결을 거치도록 해 금융회사 등의 책임성은 확보할 계획이다.

▲CSP 평가항목 개선방안[자료=금융위]


③ 업무 중요도에 따른 클라우드 이용절차 차등화
업무 중요도 평가 결과 비중요업무라 하더라도 중요업무와 동일한 클라우드 이용절차를 준수해야 하는 문제가 있다. 즉, 비중요업무는 업무연속성 계획 수립시 금융회사 등이 자율적으로 일부 항목을 조정할 수 있으나 실무적으로는 중요업무와 유사한 수준으로 수행하고 있었다.

이에 금융위는 비중요업무의 경우 클라우드서비스사업자(CSP) 평가항목 중 일부 면제 등 클라우드 이용절차를 완화할 방침이다. 업무 연속성 계획, 안전성 확보조치 등 수립시에도 비중요업무에 적합한 별도 기준을 제시함으로써 중요업무와 비중요업무간 절차적 차이점을 명확히 하겠다고 밝혔다.

④ 금융회사 등의 CSP 평가 부담완화를 위한 대표 평가제 도입
특정 금융회사(A)가 특정 클라우드(a)를 이용하기 위해 CSP 평가를 했더라도, 다른 금융회사(B)가 동일한 클라우드(a)를 이용하기 위해서는 별도의 CSP평가를 수행하는 불편이 있었다. 특히 클라우드를 이용하는 업무의 성격 등이 유사할 경우, CSP평가도 유사한 방식으로 진행된다는 점에서 절차적 비효율성이 있다는 의견이 있었다. 이에 금융보안원이 금융회사를 대표하여 CSP(a)를 평가하고 금융회사(A, B)는 금융보안원의 평가결과를 활용할 수 있도록 개선된다.

⑤ 새로운 형태의 클라우드(SaaS)에 대한 별도 평가기준 마련
현재의 CSP 평가항목은 최근 활용도가 높아지고 있는 SaaS(Software as a Service)를 평가하기에 적합하지 않은 측면이 있다. 예를 들면, CSP 평가항목은 서버‧저장장치 등을 클라우드로 제공하는 IaaS(Infrastructure as a Service) 사업자의 물리적 요건 등을 중심으로 구성하고 있어, 물리적 요건을 갖추지 않은 SaaS 사업자에 대한 평가가 곤란한 측면이 있다. 이에 대해 클라우드 서비스 보안인증제(CSAP)과 유사하게 금융분야에서도 SaaS에 대한 별도 평가기준을 마련하겠다고 금융위는 설명했다.

⑥ ‘업무위탁 운영기준 보완사항’ 등 제출서류 간소화
또한, 금융회사 등이 클라우드를 이용하기 위해 제출해야 하는 서류가 중복되고 과도하다는 의견이 제기됐다. 예를 들어, 금융회사 등은 ‘업무위탁 운영기준 보완사항’을 작성‧제출해야 하는데, 그 항목 중 일부가 ‘업무연속성 계획’에도 중복으로 포함되어 있는 등의 문제가 있다. 이는 유사·중복되는 사항들을 간소화해, 금융회사 등의 서류 작성 및 제출 부담을 완화하도록 한다는 방침이다.

⑦ 클라우드 이용시 사전보고를 사후보고로 전환
금융회사 등은 중요업무의 경우 클라우드를 이용하려는 날의 7영업일 이전에 금융감독원에 보고하도록 되어 있는데, 이는 적시성 측면에서 바람직하지 않다는 지적이 있었다. 이에 금융위는 금융회사 등이 클라우드를 이용하려는 경우 요구되는 사전보고를 사후보고로 전환하겠다고 밝혔다. 아울러 중요업무에 대한 계약 체결, 계약 내용의 중대한 변경 등의 경우 3개월 이내에 사후 보고할 수 있도록 하겠다고 덧붙였다.

4. 망분리 규제 개선방안
① 개발·테스트 분야에 대한 망분리 규제 예외적용

금융위는 개인신용정보 등을 보유하고 있지 않고 전자금융거래의 중요성이 낮은 개발·테스트 서버까지 물리적 망분리가 일률적으로 적용되고 있어 개발‧테스트의 효율성이 저해된다는 지적이 있다면서, 개발·테스트 서버에 대해서는 물리적 망분리 규제를 예외적으로 완화하도록 하겠다고 밝혔다. 다만, 개인정보 유출 등 보안사고 발생을 최소화하기 위해 보완조치도 마련하겠다고 설명했다.

② 비금융업무 및 SaaS에 대한 망분리 예외조치 적용 추진
금융거래와 무관하고 고객·거래정보를 다루지 않는 운영시스템, 예를 들면 인사나 그룹웨어 등 경영지원업무 등에 대해 망분리 규제의 완화 필요성이 지속 제기됐다. 특히 비중요업무에 대해 클라우드 형태의 소프트웨어(SaaS)를 활용하는 경우에도 망분리 규제가 적용되어 불편하다는 의견도 있었다.

이에 금융위는 규제샌드박스를 활용해, 금융거래와 무관하고 고객·거래정보를 다루지 않는 경우에는 망분리의 예외를 허용하고, 비중요업무의 SaaS 이용시 내부망에서 가능하도록 허용하겠다고 밝혔다.

▲경영지원망의 망분리 규제완화(예시)[자료=금융위]


③ 단계적 망분리 규제 완화 추진(중장기)
현행 망분리 규제는 금융회사 등의 업무범위 등과 무관하게 일률적으로 적용되고 있다. 예컨대, 고객정보를 직접 보유하지 않고 자산운용에만 집중하는 회사(자산운용사)의 경우 망분리 규제 필요성이 여타 금융회사에 비해 낮음에도 은행과 동일한 수준의 망분리 규제가 적용된다. 이에 금융회사 등의 책임성 확보, 금보원의 보안관제 강화 등을 전제로 망분리 규제의 단계적 완화를 중장기 계획으로 추진한다. 이를 위해 망분리 대상 업무를 축소하고, 물리적‧논리적 망분리의 선택가능성 등을 금융회사 등에 부여하는 방식을 검토할 계획이다.

금융위는 2022년 4월중(잠정)으로 제도개선사항을 반영한 ‘전자금융거래법 시행령 및 감독규정 개정안’을 입법예고하고, 조속한 개정을 통해 2023년부터 시행될 수 있도록 하겠다는 방침이다. 또한 2022년 말까지 ‘금융분야 클라우드컴퓨팅서비스 이용 가이드라인’도 개정해, 전 금융권이 실무적으로 참고할 수 있는 구체적인 절차 및 기준을 마련하도록 하겠다고 밝혔다.

이와 함께, 가이드라인 개정 등 제도개선 사항이 조기에 안착될 수 있도록 2022년 5월부터 금융위, 금감원, 금보원, 금융협회와 합동으로 유권해석반을 운영해 금융회사 등 이해당사자들과 충실히 소통해 나가겠다고 설명했다. 유권해석 자료는 정리해 전체 금융회사 등과 공유하고, ‘금융분야 클라우드컴퓨팅서비스 이용 가이드라인’에 반영할 예정이다.

또한, 클라우드 및 망분리 제도개선은 금융회사 등의 자율책임에 따른 내부통제 기준 마련 등이 전제되어야 하는 만큼, 2022년 하반기 중 금융회사 등의 정보보호심의위원회 구성‧운영 현황 등 내부통제시스템을 점검해 나갈 예정이다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)