금융권 망분리 규제 완화,
클라우드 SaaS 활용의 문이 열리다
금융권에서도 이제 클라우드 기반 SaaS(Software as a Service)를 보다 자유롭게 활용할 수 있는 길이 열렸다.
금융위원회와 금융감독원은 1월 20일, 금융회사가 내부 업무망에서 클라우드 기반 응용 소프트웨어(SaaS)를 활용하는 경우, 일정한 보안 요건을 충족하면 망분리 규제 예외를 허용하는 내용을 담은 「전자금융감독규정시행세칙」 개정안을 사전예고했다.
이번 개정은 단순한 규제 완화가 아니라, 보안 통제를 전제로 한 ‘현실적인 제도 개선’ 이라는 점에서 의미가 크다.
왜 SaaS와 망분리 규제가 충돌했을까?
그동안 금융권에서는 강력한 망분리 규제로 인해
외부 클라우드 서비스 활용에 제약이 많았다.
하지만 SaaS 서비스는 본질적으로
외부 클라우드 서버와의 데이터 연동이 필수이고
다양한 단말기에서 유연한 업무 환경을 제공하며
소프트웨어 업데이트·유지보수를 서비스 제공자가 담당한다는 특성이 있다.
이 때문에 문서 작성, 화상회의, 인사·성과관리, 가상 업무공간 등
일반 기업에서는 이미 보편화된 SaaS 활용이
금융권에서는 혁신금융서비스 심사라는 우회 절차를 거쳐야만 가능했다.
이미 검증된 SaaS, 이제는 상시 허용으로
금융당국은 이러한 현실을 반영해
’23년 9월부터 혁신금융서비스 제도를 통해 SaaS 활용을 단계적으로 허용해 왔다.
그 결과,
총 32개 금융회사
85건의 SaaS 기반 혁신금융서비스가
보안 사고 없이 안정적으로 운영되며 충분한 운영 사례가 축적됐다.
이를 바탕으로 금융위·금감원은 「망분리 개선 로드맵(’24.8월)」에 따라
SaaS를 망분리 규제의 예외 대상으로 명문화하는 이번 개정안을 마련하게 됐다.
개정안 핵심 ①
SaaS, 망분리 규제 예외로 공식 명시
개정안에 따르면
「클라우드컴퓨팅 발전 및 이용자보호에 관한 법률 시행령」에 따른
SaaS 서비스는 전자금융거래법 및 전자금융감독규정상의 망분리 규제를 적용받지 않는다.
다만, 보안 리스크를 고려해
를 처리하는 경우에는
망분리 예외 적용 대상에서 제외된다는 점은 명확히 했다.
개정안 핵심 ②
“규제 완화 = 보안 완화”는 아니다
망분리 예외가 허용되는 만큼,
금융회사는 더 엄격한 정보보호 통제를 의무적으로 적용해야 한다.
주요 요구사항은 다음과 같다.
금융보안원 등 침해사고 대응기관 평가를 통과한 SaaS만 이용
접속 단말기(PC·모바일)에 대한 보안대책 수립
안전한 인증 방식 적용 및 최소권한 원칙 준수
중요 정보 입력·처리·유출 여부 모니터링
SaaS 내 데이터의 불필요한 공유 및 외부 인터넷 접근 통제
SaaS 이용 구간에 대한 네트워크 암호화 적용
또한,
반기 1회 이상 정보보호 통제 이행 여부를 평가
금융사 **정보보호위원회(CISO 주관)**에 보고해야 한다.
즉, “망은 열되, 통제는 더 촘촘하게” 가져가겠다는 방향이다.
금융권에 어떤 변화가 생길까?
이번 제도 개선이 시행되면 금융권에는 다음과 같은 변화가 기대된다.
① 업무 효율성의 획기적 개선
사무관리, 조직·성과관리, 협업, 보안관리 등 업무 전반에 SaaS를 자유롭게 적용할 수 있어 업무 속도와 생산성이 크게 향상된다.
② 글로벌 협업 환경 강화
해외 지사 및 글로벌 그룹사와 표준화된 업무 환경을 구축할 수 있어 기관 내·외 협업이 훨씬 수월해진다.
③ IT 비용 절감
자체 인프라 구축·유지 부담이 줄어들면서 금융사의 IT 자원 활용 효율과 비용 절감 효과도 기대된다.
앞으로의 방향: AI까지 이어지는 망분리 개선
금융위·금감원은 이번 개정안을 시작으로
등 추가적인 망분리 개선 과제도 금융권과 긴밀히 협의해 나갈 계획이라고 밝혔다.
동시에 최근 증가하는 해킹 사고를 고려해
보안 수준이 결코 낮아지지 않도록 자율적·체계적인 보안 관리 체계 구축도 함께 요구하고 있다.
마무리하며
이번 망분리 규제 완화는 단순한 규제 철폐가 아니라,
