[CIOCISO매거진 장명국 기자] 금융당국이 클라우드·망분리 규제를 완화한다.

금융위원회는 금융분야의 디지털 전환을 안정적으로 뒷받침하기 위해 클라우드 활용에 관한 규제와 망분리 규제 개선을 추진한다고 14일 발표했다.

현행 금융 보안 규정에 따르면 금융회사 등이 클라우드 서비스를 이용할 때 업무 중요도 평가와 클라우드서비스제공자 안전성 평가 등 복잡한 단계를 수행한 후 정보보호위원회의 심의·의결을 거쳐 이용계약을 체결하고, 금융감독원에 사전 보고해야 한다.

그러나 불명확한 중요도 판단 기준, 141개에 이르는 CSP 평가 항목, 과도한 보고 절차 등으로 클라우드 서비스를 이용할 때마다 기업의 부담이 너무 무겁다는 지적이 끊이지 않았다.

망분리는 외부 침입으로부터 내부 전산자원을 보호하고자 내부망과 외부망을 분리하는 네트워크 보안기법이다. 우리나라는 내부망과 외부망의 전산시스템·단말기를 별도로 두는 '물리적 망분리'를 채택해 운영하고 있다.

기업·업무의 유형을 고려하지 않은 금융당국의 물리적 망분리 의무화가 적용되면서 인터넷과 연계가 불가피한 신기술 개발의 효율성과 혁신기술 활용도가 떨어지고 기업에 과중한 부담이 됐다.

이에 금융당국은 클라우드 이용이 가능한 업무범위를 명확히 하고 중복되거나 유사한 이용절차를 정비하며, 사전보고를 사후보고로 전환하는 개선방안을 추진키로 했다.

기업에 가장 큰 부담으로 지목된 CSP 평가의 항목을 141개에서 54개로 축소하고, 특히 비(非)중요업무는 54개 중에서 필수항목(16개)만 평가하도록 간소화한다.

국내외 보안인증을 획득한 CSP에 대해선 인증 때 평가한 항목을 제외한 항목만 평가해도 된다.

동일한 CSP에 대해 여러 금융회사가 평가를 중복하는 비효율을 개선하고자 금융보안원이 대표로 CSP를 평가하고, 금융회사는 이를 활용할 수 있도록 하는 '대표평가제'를 도입하기로 했다.

클라우드 활용을 위한 제출서류가 간소화되고, 금감원 사전보고는 사후보고로 전환된다.

또한 개인신용정보를 보유하지 않거나 금융거래 관점에서 중요성이 낮은 개발·테스트 서버에는 물리적 망분리 규제가 예외적으로 완화한다.

다만 개인정보 유출 같은 보안사고 발생 우려를 최소화하기 위해 개인신용정보나 계좌거래정보 활용을 금지하는 내부기준을 운영하게 할 방침이다.

고객정보를 다루지 않는 운영시스템, 비중요업무용 클라우드 방식 소프트웨어에도 망분리 예외를 허용한다.

금융위는 감독규정 개정안을 이르면 이달 안에 입법예고하고, 내년부터 시행할 계획이다.