[디지털투데이 강진규 기자] 금융회사들이 차세대 IT 시스템을 테스트할 때 보안 대책을 마련한다면 이용자 정보를 사용해도 된다는 금융당국의 해석이 나왔다. 차세대 IT 시스템의 안정적 구축과 운영을 위해 전자금융감독규정의 예외를 인정한 것이다.

29일 금융권에 따르면 최근 한 금융회사는 차세대 IT 시스템을 오픈하지 전에 시스템의 안전성 확보를 위해 이용자 정보를 사용해 사전 정합성 검증을 실시하는 것이 전자금융감독규정을 위반하는 것인지 금융당국에 문의했다.

현재 사용하는 시스템과 개발 중인 차세대 IT 시스템에서 각각 이용자 정보를 사용해 테스트를 하고 그 결과를 비교해 보겠다는 것이다.

현행 전자금융감독규정 제13조 제1항 제10호는 이용자 정보의 조회·출력에 대해 통제하고 테스트 시 이용자 정보사용을 금지하고 있다. 테스트를 위해 고객 정보를 사용하다가 개인정보가 유출되는 상황을 우려했기 때문이다. 다만 금융감독원장이 불가피하다고 판단하는 경우에는 예외를 적용할 수 있다.

금감원은 이용자 정보를 차세대 IT 시스템의 사전 정합성 테스트 용도로만 제한해 사용한 후 즉시 삭제하고 정보 유출을 방지하기 위한 내부통제 기준을 마련, 운용하는 것을 조건으로 감독규정 위반에 해당하지 않는다고 판단했다. 금감원은 차세대 IT 시스템을 테스트 할 때 실제 운영하는 시스템과 동일한 수준의 보안 대책을 적용해야 한다고 구체적으로 지적했다.

금감원이 예외를 인정한 이유는 차세대 IT 시스템의 안전성 확보가 중요하다가 판단한 것으로 알려졌다. 테스트에 이용자 정보를 이용할 때 정보유출 우려가 있지만 만약 차세대 IT 시스템의 테스트를 제대로 못할 경우 금융서비스 자체가 중단되는 상황이 발생할 수 있기 때문이다.

이번 금감원의 해석에 따라 일반 시스템에서 이용자 정보를 이용한 테스트는 금지되지만 차세대 IT 시스템과 같이 핵심 시스템의 경우는 예외가 인정될 것으로 예상된다.