금융당국이 금융회사들의 클라우드 기반 서비스형 소프트웨어(SaaS)를 통해 응용서비스를 제공할 수 있도록 망 분리 규제 완화를 추진한다. 사진은 카카오 데이터 센터 내 서버실의 모습.(기사 내용과 무관) /카카오

[더팩트 | 김태환 기자] 금융회사들이 혁신금융서비스 심사 절차를 거치지 않고도 클라우드 기반의 서비스형 소프트웨어(Software as a Service, SaaS)를 통한 응용 서비스를 제공할 수 있도록 망 분리 규제 완화가 추진된다.

금융위원회와 금융감독원은 19일 금융사가 내부 업무망에서 클라우드 기반 서비스형 소프트웨어(SaaS)를 활용할 경우 보안 규율 준수를 전제로 망분리 규제 예외를 허용하는 '전자금융감독규정시행세칙' 개정안을 사전 예고한다고 밝혔다.

기존 소프트웨어는 개인 컴퓨터나 서버에 직접 설치해 사용하는 방식이었지만, SaaS 방식은 클라우드 서비스를 활용해 설치 없이 서비스를 이용할 수 있도록 해준다.

이를통해, 문서작성, 화상회의, 가상 업무공간, 인사·성과관리 등 다양한 서비스를 단말기만으로도 활용할 수 있다. 특히, 외부 저장공간 활용으로 기업 내 전산 시설 관리 부담을 덜 수 있는 등 여러 장점을 가지고 있다.

다만, 이로 인해 금융회사 입장에서는 내부망과 외부망을 엄격히 분리해야 하는 기존 규제와 충돌해 왔다.

지금까지는 SaaS가 현행 망분리 규제와 상충되는 측면을 감안해, 금융당국은 혁신금융서비스 심사를 거쳐 충분한 보안조치를 갖춘 서비스만 허용해 왔다.

최근에는 금융당국이 SaaS 운영과정에서 보안성 문제를 해소할만한 충분한 사례가 축적됐다고 판단, 망분리 규제의 예외를 허용하기로 했다.

개정안에 따르면 SaaS 서비스를 망분리 규제 예외사유로 명시하고, 개인정보 유출사고 우려 등을 고려해 이용자의 고유식별정보, 개인신용정보를 처리하는 경우에는 망분리 예외를 허용하지 않는다.

다만, 망분리 규제 예외가 허용되는 만큼 이를 보완하기 위한 엄격한 정보보호통제장치 마련도 의무화한다.

또, 금융사는 침해사고 대응기관(금융보안원 등) 평가를 거쳐 SaaS를 이용하고 접속 단말기에 대해 보호대책을 수립해야 한다.

보호대책으로는 △안전한 인증방식 적용 △최소권한 부여 △중요정보 입력·처리·유출 여부 모니터링 및 통제 △SaaS 내 데이터의 불필요한 공유·처리 방지 △허용되지 않은 외부 인터넷 접근 통제 등이 요구된다.

해당 정보보호통제 이행 여부는 반기에 1회 평가하고 금융사 내 정보보호위원회에 보고해야 한다.

kimthin@tf.co.kr