[뉴스토마토 이아경 기자] 내년부턴 금융회사들이 클라우드에 개인신용정보 등 중요 정보도 담을 수 있게 된다. 금융당국은 이에 따른 보안을 높이기 위해 금융회사의 내부통제 및 보고 의무를 강화하고, 클라우드 이용에 대한 조사·감독 권한을 확대하기로 했다.
금융위원회는 지난 5일 정례회의에서 이같은 내용을 담은 전자금융감독규정 개정안을 심의·의결했다고 7일 밝혔다. 지금까지는 개인신용정보가 아닌 '비중요 정보'에 한해 클라우드를 허용했으나, 클라우드 이용에 대한 규제완화 필요성이 계속 제기됐기 때문이다.
이에 따라 금융권은 고객의 신용등급 등 개인정보를 회사 외부 클라우드에 보관할 수 있다. 전산시설 구축 비용을 줄이고, 빅데이터 등을 이용해 새로운 상품을 개발할 수 있게 된다.
금융당국은 금융권 클라우드 이용범위 확대와 함께 클라우드 보안도 높이기로 했다. 중요정보가 저장된 클라우드는 외부 통신망과 분리, 차단되도록 하고 사고 발생시 원인 파악을 위해 정보시스템 기록을 보존하도록 한 것이다. 또 개인 중요정보는 암호화 처리하고, 클라우드 제공자 등 접근권한이 없는 자의 열람은 불가하다.
금융당국은 또 사고 발생시 법적 분쟁, 소비자 보호, 감독 관할 등을 고려해 개인신용정보 처리는 국내 소재 클라우드에 한해 운선 허용하기로 했다. 다만 해외 소재 클라우드 중에서도 아마존(AWS), MS, IBM 등처럼 이미 국내에 전산센터가 있다면 금융회사는 이들 서비스도 이용할 수 있다.
사고예방을 위해 클라우드 제공자는 금융회사에 데이터의 물리적 위치를 알려야 하며, 국내 전산센터에는 필수 운영인력이 상주해야 한다.
금융당국은 기존에 없던 금융권 클라우드서비스의 안전성 기준도 새로 만들었다. 전산 자료 접근 통제ㆍ정보시스템 가동기록 보존ㆍ중요정보 암호화 등 데이터 보호 기준과 더불어 주요 전산장비 이중화 및 백업 체계 구축ㆍ장애 발생 시 비상 대응조치 의무 등 서비스 장애 예방ㆍ대응 기준 등이다.
클라우드에 대한 금융회사의 내부통제도 강화된다. 금융회사는 클라우드 이용 업무에 대해 정보의 중요도를 평가하고, 클라우드 서비스의 안전성을 자율평가한 뒤 자체 정보보호위원회의 심의·의결을 거쳐야 한다. 클라우드 안전성 평가의 경우 금융보안원이 이를 지원할 계획이다.
금융당국의 관리감독 권한도 강화된다. 당국은 금융회사의 안전성 확보 조치와 클라우드 제공자와의 계약 내용 등을 보고 받고, 조사 및 접근권 권한도 가진다. 현재 유럽연합 등은 클라우드 이용 계약서에 금융회사와 감독당국의 조사, 접근권을 명시하고 있다.
금융회사와 클라우드 제공자간 법적 책임도 규정했다. 고객이 손해를 볼 경우 금융회사는 이용자에 직접 손해를 배상하고 클라우드 제공자는 연대 배상책임을 부담해야 하며, 금융회사가 고의·과실로 인한 서비스 품질 저하 등의 문제를 겪을 경우 클라우드 제공자가 이를 배상해야 한다.
금융위는 이달 안에 구체적인 클라우드 가이드라인 개정안을 마련할 계획이다.
금융위원회는 지난 5일 금융회사가 클라우드에 개인신용정보를 담을 수 있는 내용의 '전자금융감독규정 개정안'을 의결했다고 밝혔다. 사진/금융위
이아경 기자 aklee@etomato.com