안정성 평가 기준 간소화 및 대표 평가제 도입, 금융분야 별도 인증 마련

[아이티데일리] 지난달 14일 금융당국은 최근 금융권의 클라우드 규제 완화 입장을 밝혔다. 이러한 규제 완화에 대해 그동안 과도한 규제로 인해 디지털 신기술을 도입하고 활용해 디지털 혁신을 꾀하는 데 어려움을 느껴왔던 금융사는 물론 금융기관의 가이드라인을 따르면서 힘들게 금융시장을 개척해온 클라우드 업체들도 늦었지만 환영하는 입장을 보이고 있다.

금융권의 클라우드 규제 완화 입장을 밝힌 금융당국은 최대한 빨리 규제를 완화하겠다고 강조하고 있다. ‘전자금융거래법시행령 및 감독 규정 개정안’을 입법예고하고 개정해 내년부터는 본격 시행하겠다는 입장이다. 금융권 클라우드 규제 완화는 그동안 클라우드 제공사(CSP)들이 줄기차게 요구해왔던 사항이다. 클라우드 제공사들은 클라우드 이용이 가능한 업무 범위를 구분하고, 복잡한안전성 평가를 서비스 중요도에 따라 달리 조정할 것으로 요구해 왔다. 또한 2020년 6월부터 대표평가제 도입을 주장해왔다.

사실 그동안 금융사들이 클라우드를 이용하기 위해선 넘어야 할 산이 많았다. 특히 보안은 금융사의 클라우드 사용을 막는 가장 큰 걸림돌로 작용했다. 클라우드 사용을 포기하게 만들만큼 까다로운 보안 가이드가 요구됐던 것이다. 금융사가 클라우드를 활용하기 위해선 일반적으로 △업무중요도 평가 △업무연속성 계획 △안전성 확보 조치 방안 수립 △업무 위·수탁기준 보완 △CSP 안전성 평가를 거친 후, △정보보호위원회의 심의·의견을 거쳐 클라우드 이용계약을 체결하고 △금융감독원에 사전 보고까지 해야 하는 등 절차가 까다로웠다. 또 안전성 평가도 문제였다. 같은 금융사일지라도 프로젝트 명이 다르면 안정성 평가를 다시 받아야 했다. 금융사의 중요성을 인정한다 해도 너무 가혹하지 않느냐는 것이 일반적인 시각이었다.

이런 상황에서 금융사와 CSP들이 이번 규제 완화 사항 중에서 특히 반기는 분야가 있다. 바로 안전성 평가 기준 간소화와 대표 평가제도 도입이다. 금융 당국은 CSP 평가 기준을 기본조치항목 109개와 추가보호조치 32개 등을 필수항목 16개와 대체항목 38개 등 54개로 축소할 예정이다. 또 대표평가제도도 도입된다. 어느 곳에서든 한 번 금융 클라우드 안전성 평가를 받게 되면 타 금융사의 클라우드 프로젝트 과정에서 생략할 수 있게 된 것이다. 금융위원회는 클라우드 보안인증과 유사한 별도의 금융 SaaS 인증도 마련한다는 계획이다.

물론 보안의 중요성은 아무리 강조해도 지나치지 않다. 특히 금융분야에서는 더더욱 그렇다. 2013년 대규모 금융전산사고로 금융권 전체가 내·외부망을 분리했고, 그 결과 최근 이슈가 되고 있는 랜섬웨어 사태를 잘 넘기고 있는 것에서 알 수 있듯이 보안에 대한 조치는 강조되어야 한다. 하지만 기존 금융당국이 제시했던 가이드는 과도한 보고 절차와 불명확한 기준들로 금융사도, CSP도 불만이었다. 적절한 보안 수준을 제시하는 것은 말처럼 쉽지 않다. 그러나 절차를 간소화하고 기준을 명확히 하는 것은 할 수 있는 일이며 해야 하는 일이다.

금융 당국이 클라우드 규제를 본격적으로 추진하겠다고 선언한 만큼, 모두가 만족할 수는 없겠지만 그동안의 불합리한 점이 모두 개선되기를 기대해 본다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지