[디지털투데이 강진규 기자] 금융당국이 금융회사의 클라우드 서비스 사용과 관련해 외부망, 내부망, 연구개발망 등 환경에 따라 다른 규제 수준을 적용하고 있어 주목된다.

금융감독원이 외부망에서 클라우드 서비스 사용에 대해 유연한 입장을 내놨다.

한 금융회사는 임직원들이 금융회사 내부 서버와의 통신이나 내부 데이터 입력 없이 인터넷 상에 공개된 데이터를 자체적으로 수집·분석해 제공하는 클라우드 기반 웹서비스를 외부망에서 이용하는 경우 전자금융감독규정의 클라우드 컴퓨팅 이용절차를 적용해야 하는지 문의했다.

금융감독원은 이에 대해 이용하려는 웹서비스가 서비스 제공자가 본인의 서비스를 위해 클라우드의 전산자원을 활용하는 형태로 정보처리 업무를 서비스 제공자에게 위탁하지 않는다면 전자금융감독규정의 클라우드 컴퓨팅 이용절차를 적용하지 않는다고 해석했다.

금융회사가 외부망에서 클라우드 서비스를 이용하는 경우에 대해 전향적으로 해석한 것이다.

반면 연구개발망, 내부망에서의 클라우드 사용은 더 엄격한 기준을 적용하고 있다.

지난해 12월 한 금융회사는 연구개발망에서 클라우드 서비스(SaaS)를 이용해 전자금융업무와 관련이 없는 업무(교육, 설문, 금융기술연구)를 처리하고자 하는 경우 전자금융감독규정 준수 여부를 문의했다.

이에 대해 금감원은 금융회사가 전자금융거래와 직접적으로 관련이 없는 업무라 할지라도 클라우드 서비스를 이용하는 경우 규정을 준수해야 한다고 지적했다. 금감원은 연구개발망에서 클라우드 서비스를 이용해 교육, 설문, 금융기술업무 등 전자금융업무와 무관한 업무를 처리하는 경우 전자금융감독규정 클라우드 서비스 이용절차를 준수해야 한다고 밝혔다.

내부망의 클라우드 서비스 연동에 대해서는 필수적인 경우가 아닌 경우 망분리 규정에 저촉될 수 있다고 해석했다.

금융회사가 내부 전산자원(전산서버, 업무용PC 등)을 관리할 목적으로 클라우드 업체의 IT자산 관리 솔루션(SaaS)과 금융회사 내부망을 연결해 전산자원 정보를 실시간으로 전송하는 형태가 전자금융감독규정 위반인지 여부를 문의했다.

이에 금감원은 망분리 적용 예외인 ‘업무상 필수적으로 특정 외부기관과의 연결’ 또는 ‘업무상 외부통신망 연결이 불가피한 경우’로 보기 어렵다고 밝혔다. 금융회사 전산자원을 관리하기 위해 관련 정보를 실시간으로 외부의 클라우드 업체에 전달하는 것은 외부통신망과의 분리·차단 및 접속금지 의무를 반영한 망분리 규정의 취지에 부합하지 않는다고 설명했다.

또 다른 문의에서도 금감원은 금융회사 내부망에서 클라우드에 있는 외부 오픈 응용프로그램인터페이스(API)롤 챗GPT 등을 호출하는 것도 망분리 적용 예외 사유에 해당되지 않는다고 분석했다. 내부망에서의 클라우드 사용의 경우 엄격한 잣대를 적용하고 있는 것이다.

이는 보안에 대한 우려 때문인 것으로 알려졌다. 외부망의 경우 클라우드 연결이 큰 문제가 아니지만 핵심 전산업무를 처리하는 내부망의 경우 클라우드 연결 시 이를 통한 보안 문제가 발생할 수 있기 때문이다.

이에 클라우드 서비스를 도입하려는 금융회사들은 외부망, 내부망, 연구개발망 등 어떤 환경에서 어떤 서비스를 활용할지부터 명확히 해야 할 것으로 보인다.