[디지털투데이 강진규 기자] 금융당국이 비중요업무에 대한 서비스형소프트웨어(SaaS) 클라우드 서비스의 경우 2023년 초 규제 샌드박스를 통해 일괄적으로 망분리 예외 조치를 허용할 것으로 알려졌다. 앞서 올해 4월 금융당국은 ‘금융 분야 클라우드 및 망분리 규제 개선방안’을 발표하면서 망분리 예외 방침을 밝혔지만 시행 시점에 대해서는 언급하지 않았다.

11일 금융권에 따르면 최근 한 금융회사가 내부 임직원의 인사정보를 처리하기 위해 외부 SaaS를 이용할 경우 전자금융감독규정에 따라 금융감독원장에게 보고해야 하는지 문의했다.

이에 금감원은 비조치의견서를 통해 해당 규정이 금융회사의 중요 정보를 처리하는 시스템의 안전성을 확보하기 위한 조치로 전자금융거래와 무관한 내부 임직원의 인사정보에 대해서는 동 규정이 적용되지 않는다고 밝혔다.

특히 금감원은 금융거래와 무관하고 고객거래정보를 다루지 않는 비중요업무에 대한 SaaS 형태의 클라우드 서비스 사용의 경우 2023년 초 규제 샌드박스를 통해 일괄적으로 망분리 예외조치 허용 예정이라고 설명했다. 비중요업무 SaaS 사용 시 보고를 하지 않아도 되고 망분리 예외도 인정하겠다는 것이다.

올해 4월 금융위원회와 금융감독원은 금융권 클라우드 및 망분리 규제 개선 방안을 발표한 바 있다. IT환경이 급변하고 전 산업 부문에서 클라우드 서비스 활용이 늘고 있다. 그런데 금융권에서는 규제로 인해 IT환경 변화를 반영하지 못한다는 지적이 있었다. 이에 금융당국이 개선을 추진한 것이다.

4월 당시 금융당국은 비중요업무 SaaS의 망분리 예외를 허용하겠다고 설명했지만 시행 시점을 밝히지는 않았다. 그런데 이번에 2023년 초로 시점을 정했으며 규제 샌드박스를 통해 일괄적 허용한다는 방침을 밝힌 것이다.

또 금융회사는 내부 임직원의 인사정보가 저장된 내부 업무용시스템을 DMZ(내부 네트워크와 외부 네트워크 중간) 영역의 중계서버를 통해 클라우드 시스템에 연동하는 것이 가능한지 문의했다. 이에 금감원은 이 방식으로 망분리 대체정보보호통제를 준수하고 전용회선 또는 전용회선과 동등한 보안수준을 갖춘 가상의 전용회선(VPN 등) 사용하는 등 관련 법규 및 가이드라인을 준수할 경우 규정 위반이 아니라고 회신했다.

다만 외부망에 위치한 클라우드 시스템과 금융사의 내부망이 연결되는 경우에는 전자금융감독규정 적용대상이기 때문에 이에 주의해 줄 것을 당부했다.