전자금융감독규정 시행세칙 개정... 샌드박스 신청 없이 SaaS 도입 가능
개인신용정보 처리하지 않는 범위 내 허용 등 엄격한 보안 통제 대책 마련 의무화
[보안뉴스 조재호 기자] 엄격한 ‘망분리 규제’로 클라우드 기반 소프트웨어(SaaS) 도입에 어려움을 겪던 금융권의 숨통이 트일 전망이다. 금융당국이 일정한 보안 요건을 갖추면 내부망에서도 SaaS 활용을 허용하기로 했다.
금융위원회와 금융감독원은 19일, 금융회사가 내부 업무망에서 SaaS를 활용할 경우 망분리 규제의 예외를 허용하는 내용을 담은 ‘전자금융감독규정시행세칙’ 개정안을 사전 예고한다고 밝혔다.
이번 개정안의 핵심은 기존에 ‘혁신금융서비스(규제 샌드박스)’ 심사를 거쳐야만 한시적으로 허용되던 SaaS 이용을 제도적으로 양성화하는 것이다. 개정안에 따르면, ‘클라우드컴퓨팅 발전 및 이용자보호에 관한 법률 시행령’에 따라 SaaS는 앞으로 망분리 규제의 명시적 예외 사유로 인정된다.
다만, 보안 우려를 해소하기 위해 이용 범위와 조건은 제한된다. 개인정보 유출 사고를 방지하기 위해 이용자 고유식별정보나 개인신용정보를 처리하는 경우에는 망분리 예외가 허용되지 않는다.
망분리 규제 예외가 허용되는 만큼 이를 적용받기 위해선 엄격한 정보보호 통제 장치를 마련해야 한다. △금융보안원 등 침해사고 대응 기관의 평가를 거친 SaaS 이용 △접속 단말기에 대한 보호 대책 수립 △중요정보 입력·처리·유출 여부 모니터링 및 통제 △SaaS 내 데이터의 불필요한 공유 방지 및 네트워크 구간 암호화 등의 조치를 취해야 한다.
또 정보보호 통제 이행 여부를 반기에 1회 평가하고, 정보보호최고책임자(CISO)가 위원장인 정보보호위원회에 보고하도록 의무화했다.
금융당국은 이번 조치로 금융사 업무 전반의 효율성이 크게 향상될 것으로 보고 있다. 인사·성과관리, 협업 도구 등 다양한 SaaS를 즉시 도입할 수 있게 되며, 자체 시스템 구축에 드는 IT 비용 절감 효과도 기대된다.
금융위 관계자는 “AI 기술과 데이터 활용 등 금융 서비스 혁신이 필요한 시점에서 제도를 개선하되, 자칫 보안 수준 약화로 이어지지 않도록 금융권의 자율적이고 체계적인 보안 관리를 유도할 것”이라고 밝혔다.
이번 개정안은 내달 9일까지 사전 예고 기간을 거친 뒤 규제개혁위원회 심사 등을 거쳐 확정·시행될 예정이다.
[조재호 기자(sw@boannews.com)]
개인신용정보 처리하지 않는 범위 내 허용 등 엄격한 보안 통제 대책 마련 의무화
[보안뉴스 조재호 기자] 엄격한 ‘망분리 규제’로 클라우드 기반 소프트웨어(SaaS) 도입에 어려움을 겪던 금융권의 숨통이 트일 전망이다. 금융당국이 일정한 보안 요건을 갖추면 내부망에서도 SaaS 활용을 허용하기로 했다.
금융위원회와 금융감독원은 19일, 금융회사가 내부 업무망에서 SaaS를 활용할 경우 망분리 규제의 예외를 허용하는 내용을 담은 ‘전자금융감독규정시행세칙’ 개정안을 사전 예고한다고 밝혔다.
이번 개정안의 핵심은 기존에 ‘혁신금융서비스(규제 샌드박스)’ 심사를 거쳐야만 한시적으로 허용되던 SaaS 이용을 제도적으로 양성화하는 것이다. 개정안에 따르면, ‘클라우드컴퓨팅 발전 및 이용자보호에 관한 법률 시행령’에 따라 SaaS는 앞으로 망분리 규제의 명시적 예외 사유로 인정된다.
다만, 보안 우려를 해소하기 위해 이용 범위와 조건은 제한된다. 개인정보 유출 사고를 방지하기 위해 이용자 고유식별정보나 개인신용정보를 처리하는 경우에는 망분리 예외가 허용되지 않는다.
망분리 규제 예외가 허용되는 만큼 이를 적용받기 위해선 엄격한 정보보호 통제 장치를 마련해야 한다. △금융보안원 등 침해사고 대응 기관의 평가를 거친 SaaS 이용 △접속 단말기에 대한 보호 대책 수립 △중요정보 입력·처리·유출 여부 모니터링 및 통제 △SaaS 내 데이터의 불필요한 공유 방지 및 네트워크 구간 암호화 등의 조치를 취해야 한다.
또 정보보호 통제 이행 여부를 반기에 1회 평가하고, 정보보호최고책임자(CISO)가 위원장인 정보보호위원회에 보고하도록 의무화했다.
금융당국은 이번 조치로 금융사 업무 전반의 효율성이 크게 향상될 것으로 보고 있다. 인사·성과관리, 협업 도구 등 다양한 SaaS를 즉시 도입할 수 있게 되며, 자체 시스템 구축에 드는 IT 비용 절감 효과도 기대된다.
금융위 관계자는 “AI 기술과 데이터 활용 등 금융 서비스 혁신이 필요한 시점에서 제도를 개선하되, 자칫 보안 수준 약화로 이어지지 않도록 금융권의 자율적이고 체계적인 보안 관리를 유도할 것”이라고 밝혔다.
이번 개정안은 내달 9일까지 사전 예고 기간을 거친 뒤 규제개혁위원회 심사 등을 거쳐 확정·시행될 예정이다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.png){kind=spacer}
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
