[디지털투데이 강진규 기자] 코로나19 사태 장기화에 따라 금융권 업무 환경에 일대 변화의 바람이 불고 있다. 금융당국이 망분리, 원격접속 등의 규제를 개선해 상시 재택근무를 허용하기로 한 것. 하지만 금융 현장 곳곳에서는 어떤 업무까지 어떻게 재택근무, 원격접속이 가능한지를 두고 혼선을 빚고 있다. 이에 금융당국이 제시한 가이드라인을 디지털투데이가 입수했다.

금융당국은 재택근무를 허용하기는 했지만 근무 장소가 PC방, 커피숍 등 공공장소가 돼서는 안된다는 방침이다. 또 IT 유지보수, 금융사 핵심 시스템에 접속하는 개발의 경우는 원격접속을 허용하지 않기로 했다.

12일 금융권에 따르면 금융감독원은 이같은 내용을 포함한 ‘전자금융감독규정시행세칙 개정안 관련 질의응답(Q&A)’ 자료를 작성해 금융권에 전달했다.

앞서 9월 17일 금감원은 “금융회사가 신속하고 안전하게 재택근무로 전환할 수 있도록 망분리 규제를 개선한다”며 “금융회사의 상시 재택근무를 위한 원격접속을 허용한다”고 밝혔다.

금융회사는 전자금융거래법상 망분리 규제로 인해 재택근무를 위한 원격접속이 사실상 불가능했다. 하지만 코로나19가 확산되면서 금감원은 올해 2월부터 비조치의견서를 통해 원격접속을 한시적으로 허용했다.

나아가 코로나19가 올해는 물론 내년까지 계속될 수 있다는 관측이 나오면서 금감원은 제도 개선을 통해 금융회사 직원들의 상시 원격접속을 허용하기로 했다. 하지만 구체적인 내용에 대해서는 금융권 관계자들의 문의가 이어졌고 자료를 작성해 배포한 것이다.

디지털투데이가 입수한 자료에 따르면 금융회사의 외주 직원들도 재택근무가 가능하다. 하지만 외주 직원이 금융회사 IT시스템의 유지보수를 목적으로 원격접속을 하는 것은 허용되지 않는다.

또 금감원은 시스템 개발자가 금융회사 IT시스템에 직접 접속해 개발해야 하는 경우에는 원격접속을 허용하지 않기로 했다. 반면 금융사 IT직원이 개발, 보안, 운영 업무가 아닌 이메일, 그룹웨어 등의 업무를 목적으로 하는 경우에는 원격접속이 가능하다. 즉 직군별로도 세부 업무에 따라 원격접속이 가능한 것이 있고, 안되는 것이 있는 것이다.

금감원은 접속방식과 관련해서도 설명했다. 금융회사가 직접 접속, 간접 접속 방식을 자율적으로 활용해 원격접속을 할 수 있다는 것이다.

여기서 직접 접속은 인터넷이 외부 단말기(재택근무자가 사용하는)를 가상사설망를 통해 내무망에 연결하는 방식이다. 간접 접속 방식은 외부 단말기가 업무용 단말기를 경유하는 단계를 거친 후 내부망에 접속하는 방식이다. 금감원은 두 경우 공통적으로 외부 단말기가 내부망에 접속할 경우 외부 단말기의 인터넷 연결을 차단해야 하며 보안을 잘 갖춰야 한다고 주문했다. 

또 외부 단말기는 원격접속에 이용되는 PC, 노트북, 태블릿PC 등을 지칭한다. 금감원은 외부 단말기에 보안대책도 마련해야 한다고 지적했다. 예를 들어 금융회사 직원이 기술지원이 종료된 운영체제(OS)를 탑재한 PC를 사용해서는 원격접속을 해서는 안 된다는 것이다.

금감원은 재택근무 장소에 관해서도 설명했다. 금융회사 직원들의 재택근무 장소가 집으로 한정되는 것은 아니며 계열사, 금융회사의 다른 건물, 공유오피스의 독립장소 등에서는 가능하다고 밝혔다.

반면 커피숍, PC방 등 공공장소에서의 원격접속은 금지 대상이라고 지적했다. 금감원은 공공장소에서 원격접속과 관련해 단말기 분실, 도난, 모니터 정보 유출, 무선 공유기 취약점 등의 위험이 있다고 설명했다. 이에 금융회사들이 직원 교육 등을 통해 공공장소에서 원격접속을 금지할 수 있도록 해야 한다고 덧붙였다.

이밖에도 금감원은 금융회사가 원격접속 사용자의 정보, 접속 일시, 접속한 시스템 등을 기록하고 1년 이상 보존해야 한다고 요구했다. 원격접속 시 요구되는 이중 인증에 대해서는 인증 수단을 금감원이 특정하지는 않지만 서로 다른 방식에 속하는 2개가 돼야 한다고 지적했다.

내용을 종합해 보면 금감원은 금융회사에서 직원들을 재택근무 시킬 수 있도록 했지만 그만큼 금융회사의 책임도 강조하고 있다. 재택근무시 직원들의 PC 보안과 근무 장소 등에 대한 관리와 통제를 요구하고 있는 것이다.

이에 따라 만약 재택근무 중 보안사고가 발생할 경우 금융당국이 해당 금융회사의 강하게 책임을 물을 것으로 예상된다. 또 실제 재택근무가 길어지고 광범위해질 경우 나타나는 취약점에 대해서도 금융당국이 금융회사에 대책 수립을 요구할 것으로 보인다.

금융회사 입장에서는 재택근무를 하는 수백명, 수천명의 인원의 PC와 근무장소 등을 모두 관리하는 것이 쉽지 않은 상황이다. 이에 따라 원격접속과 재택근무가 향후 금융회사에 상당한 부담으로 작용할 것으로 예상된다. 

한편 금감원은 재택근무, 원격접속을 허용하는 개정된 시행세칙이 2021년 1월 1일부터 시행된다고 밝혔다. 그 이전에는 재택근무 관련 비조치의견서의 효력을 통해 재택근무를 할 수 있다고 덧붙였다.