금융위원회가 금융회사의 클라우드 활용범위를 '비(非)중요 정보'에서 개인신용 정보와 고유식별 정보 등 '중요 정보'로 확대한다.

클라우드와 관련해 금융회사 내부 통제와 클라우드 이용 관련 보고 의무 등을 강화하는 방안도 함께 적용된다.
 

금융위원회는 5일 정례회의에서 ‘전자금융감독 규정 개정안’을 심의·의결하고 2019년 1월1일부터 시행한다고 7일 밝혔다.
 
클라우드란 인터넷을 통해 활용하는 중앙 저장공간 시스템으로 데이터와 소프트웨어 등을 제공받아 사용하는 환경을 말한다.

이번 개정안은 금융회사와 핀테크업체의 클라우드 활용 범위를 중요정보(개인신용정보·고유식별정보)까지 확대하되 보안 수준 및 관리감독체계는 강화하는 내용을 뼈대로 한다.

금융위는 “2016년부터 금융권이 개인신용 정보가 아닌 비중요 정보에 한해 클라우드를 활용할 수 있도록 허용했지만 최근 금융분야의 디지털화가 이뤄지면서 클라우드 이용 확대와 관련한 추가 규제 완화 필요성이 지속적으로 제기됐다”고 설명했다.

금융회사들은 내년부터 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호 등과 같은 고유식별 정보와 개인신용 정보도 클라우드 컴퓨팅으로 처리할 수 있다.

다만 사고가 났을 때 법적 분쟁이나 소비자 보호, 감독 관할 등의 문제를 고려해 개인신용 정보 처리는 국내 클라우드에서만 우선적으로 허용된다.

개정안에는 클라우드와 관련해 금융회사 내부 통제와 클라우드 이용 관련 보고 의무 등을 강화하는 내용도 담겼다. 

금융회사가 클라우드 서비스의 안전성을 평가하고 자체 정보보호위원회에서 심의·의결을 거쳐야한다. 

정보보호위원회는 금융회사의 정보보호최고책임자를 위원장으로 삼고 정보보호 업무 관련 부서장, 전산운영 및 개발 관련 부서장, 준법 업무 관련 부서장 등을 위원으로 꾸려진다.

금융회사는 클라우드 정보의 중요도에 따라 클라우드 이용 현황을 감독당국에 의무적으로 보고하고 법적 책임과 감독검사 의무 등을 계약서에 명확하게 넣어야 한다.

클라우드를 이용할 때 금융회사가 중요 정보를 직접 통제·관리해야 하고 안전성 확보방안을 세워야 한다. 금융보안원이 금융회사의 클라우드 안전성 평가를 지원한다. 

클라우드 제공자가 지켜야할 사항도 마련됐다.

클라우드 제공자는 금융회사에 데이터의 물리적 위치를 알리고 정보보호 의무와 서비스 장애 방지대책 등 클라우드 관리·보안요구사항을 지켜야한다.

사고가 발생했을 때 비상대응을 위해 국내 전산센터에 필수 운영인력이 상주해야 하며 장애 발생 사실을 신속하게 외부에 알려야한다. 신속한 장애 대응 및 복구가 가능토록 개인신용 정보를 처리하는 모든 시스템은 국내에 둬야한다.

전자금융거래법과 신용정보법 등에서 규정한 안전성 확보조치에 따라 외부 통신망과 분리·차단되도록 하고 사고 발생했을 때 원인을 파악하기 위해 정보 시스템 기록을 남겨둬야한다.

금융위원회는 12월에 ‘금융권 클라우드 서비스 가이드라인’ 개정안을 마련하기로 했다. [비즈니스포스트 최석철 기자]