금융IT
[Q & A] 금융 클라우드 허용, 핵심 관심사에 대한 금융위의 답변은?
디지털데일리
발행일 2018-12-07 16:33:54
[디지털데일리 이상일기자] 7일 금융위원회가 금융기관이 자율적으로 클라우드 이용을 확대하기 위한 ‘전자금융감독규정 개정안’을 심의․의결하고 2019년 1월 1일부터 시행할 계획이라고 밝혔다.
이번 조치로 금융당국은 금융권의 클라우드 이용이 보다 활성화될 것으로 전망하고 있다. 구체적인 내용은 금융 클라우드 이용 가이드라인이 배포되어야 할 것으로 보인다.
금융감독원 관계자는 가이드라인 배포 시기에 대해 “시행시기 직전인 12월 말 경 발표될 예정”이라고 언급했다. 다만 가이드라인 배포 전에 금융당국은 시장에서의 주요 의문사항에 대해 질의응답 식으로 자료를 배포했다.
한편 클라우드 업계와 금융권의 관심이 쏠렸던 클라우드 사업자가 금융 서비스를 위해 별도의 보안 인증을 반드시 획득할 필요는 없어 보인다. 금융위원회 관계자는 “공공분야처럼 클라우드 보안인증과 같은 별도의 인증은 만들지 않을 계획”이라고 밝혔다.
다음은 금융권 클라우드 이용에 있어서 주요한 질의응답 내용이다.
▲중요정보의 클라우드 허용에 따른 보안성 저하 우려에 대한 대책은?
개인신용정보와 같은 중요정보도 클라우드로 이용하는 만큼, 금융회사 스스로 엄격한 내부통제․보안 방안을 갖출 필요가 있다. 금융회사는 자체 정보보호위원회에서 클라우드 제공자의 건전성․안전성을 평가해 이용하게 된다. 또, 클라우드 제공자는 전자금융거래법․신용정보법 등에 따른 암호화, 데이터 위․변조 방지 등 보호조치를 준수해야 한다.
▲해외 소재 클라우드의 허용 계획은?
해외 소재 클라우드 허용은 국내 소재 클라우드 운영 이후 성과, 문제점 등을 고려하여 점진적으로 검토할 예정이다. 금융회사는 국내 클라우드 사업자 뿐만 아니라, 이미 국내에 전산센터를 둔 해외 클라우드 사업자의 서비스도 이용 가능하다. 개인신용정보를 포함하지 않은 비중요정보, 비식별 조치된 데이터는 종전대로 해외 소재 클라우드도 이용 가능하다.
▲클라우드 이용시 클라우드서비스 제공자의 개인정보 열람 등 정보 유출의 위험이 있는 것은 아닌지?
클라우드를 이용하는 경우에도 고객의 개인정보는 개인정보보호법․신용정보법에 따라 암호화해전송되며, 클라우드서비스 제공자 등 접근권한이 없는 자는 열람이 불가하다.
▲최근 클라우드 장애 사고 처럼 주요 클라우드 사업자의 서비스 장애 발생할 경우 금융권 주요 서비스가 마비될 가능성이 있지 않은지? 이에 대한 대책은?
사고 발생시 신속한 대응을 위해 국내 전산센터내 필수 운영인력이 상주하고, 장애 발생 사실을 지체 없이 통지, 대응해야 한다. 관리시스템을 포함하여 개인신용정보를 처리하는 모든 시스템을 국내에 설치토록 하여 신속한 장애 대응․복구가 가능토록 할 계획이다.
(상주인력에 대해선 금융당국은 데이터 센터 현장에서 사고 발생시 조치가 가능한 전문인력이라는 설명이다. 전자금융감독규정 제23조 제2항 제2호에 비상사태 발생 시 신속한 원상복구를 위한 비상지원인력 확보 등을 명시하고 있는데 현장인력은 장애 발생시 이를 지체없이 통보하고, 진행상황 파악 등을 위한 컨택 포인트를 지정한 후 장애원인 분석 및 재발방지 대책을 금융회사에 제공하게 된다.)
▲클라우드 이용과 관련한 사고 발생시 금융회사와 클라우드 서비스 제공자간 법적 책임의 범위는?
클라우드 이용 관련 소비자 피해 발생시 금융회사, 클라우드 제공자가 고객에게 연대배상 책임을 부담함으로써 두텁게 보호한다. 클라우드 이용시 위탁자인 금융회사는 수탁자인 클라우드 제공자와 연대해 손해배상책임을 부담하고 손해배상․계약해지, 재판관할 사항 등을 명시토록해 금융회사․클라우드 제공자간 법적 책임관계를 명확화했다.
▲미국 정부가 클라우드법에 따라 미국 클라우드 서비스업체에 저장되는 우리 국민의 정보에 접근할 수 있다는데?
국내 클라우드 시스템은 미국 해외 정보 이용법(CLOUD법)에 따른 美정부의 데이터 제공 요청에 반드시 따라야 하는 것은 아니다. 이 법은 범죄조사에 필요한 해외 소재 데이터 확보․안보 유지를 위해 제정한 것으로, 외국 정부 법령을 고려해 데이터를 요청할 수 있도록 한 것이다.
▲개정안은 클라우드서비스 제공자의 관리시스템을 국내에 설치해야 하는지 여부가 불명확한데?
현재 전자금융감독규정은 국내에 본점을 둔 금융회사의 전산실 및 재해복구센터를 국내에 설치토록 하고 있다. 관련 법령 정의상 클라우드 관리시스템도 ‘정보처리시스템’에 해당하므로 개인신용정보를 처리하는 경우 이를 국내에 두어야 한다.
▲외국계 클라우드 서비스 업체에 대해 감독․조사권이 실질적으로 확보될 수 있는 것인지?
금융회사․클라우드 제공자간 계약 체결시 현장방문을 포함한 클라우드 제공자의 감독․검사 의무를 계약서에 명시토록 했다. 감독당국은 사고 발생, 예방․점검 등 필요시 자료제출 요구, 현장점검을 통해 관리․감독할 수 있으며, 관리시스템을 포함한 개인신용정보를 처리하는 모든 시스템을 국내에 두도록 해 감독당국의 신속한 현장 감독․조사가 가능하다.
<이상일 기자>2401@ddaily.co.kr
‘[제14회] 2019년 전망, 금융IT 이노베이션 컨퍼런스’에 여러분을 초대합니다. 독자 여러분 안녕하십니까. 2019년 금융산업은 또 한번의 큰 변화를 예고하고 있습니다. 이미 우리 금융산업은 지난 2, 3년간 인공지능(AI) 기반의 업무 자동화와 RPA의 도입, 빅데이터 기반의 정보계 및 마케팅 인프라의 강화, 모바일 및 비대면 채널에 기반한 디지털뱅킹 인프라의 확장 등 강력한 혁신을 진행해왔습니다.
2019년에는 올해 정부의 ‘금융 데이터 혁신’(My Data) 정책을 포함해, 보다 유연해진 금융 클라우드의 허용 등으로 금융IT 인프라 운영 전략 자체에 큰 변화를 예고하고 있습니다. 아울러 기존 레거시 시스템의 변화뿐만 아니라 더 고도화된 디지털뱅킹 서비스 경쟁도 예고되고 있습니다.
이와함께 각종 법령 및 규제에 즉각적으로 대응하기위한 컴플라이언스 이슈, 블록체인 기반의 금융 서비스 전략, 글로벌뱅킹시스템의 고도화와 서비스의 글로벌화, 여기에 디지털시대에 부합하는 고객 친화적인 최신 UI/UX전략, 공인인증서 이후의 새로운 금융보안 전략 등 고려해야 할 IT이슈가 적지 않습니다. <디지털데일리>는 국내외 금융권 IT 기획자 및 관련 업계 담당자를 초청해, 내년 금융 IT이슈 및 정책과제를 진단하기위한 '2019 금융IT 혁신 컨퍼런스'를 개최합니다. 금융 IT트랜드를 공유하고, 업계가 제시하는 최신 금융솔루션 전략을 경험할 수 있기를 기대합니다. 독자 여러분의 많은 관심과 참여 부탁 드립니다. ▶자세한 행사 일정 및 프로그램 안내
|
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지