금융사 클라우드에 개인정보 보관·이용 가능
금융사 클라우드에 개인정보 보관·이용 가능
이 기사를 공유합니다

금융위, 클라우드 안정성 기준 제시…내부통제도 강화
금융권 클라우드 서비스 안전이용 절차 (자료=금융위원회)
금융권 클라우드 서비스 안전이용 절차 (자료=금융위원회)

[서울파이낸스 박시형 기자] 내년 1월부터 클라우드에서 보관·이용할 수 있는 개인정보가 개인신용정보와 고유식별정보를 포함한 전체 정보로 확대된다. 금융위원회는 이에 대한 안정성 기준을 제시하고 클라우드의 내부통제를 강화하도록 했다.

금융위는 지난 5일 제21차 정례회의에서 '전자금융감독규정 개정안'을 심의·의결하고 내년 1월1일부터 클라우드 활용 범위를 개인신용정보까지 확대하기로 했다고 7일 밝혔다.

앞서 금융위는 지난 2016년 개인정보 중 신용정보나 본인을 식별할 수 있는 정보를 제외한 나머지 비중요정보만 클라우드에서 보관·이용하는 것을 허용했다.

하지만 최근 금융 분야에서 디지털화가 급속도로 확산하고 빅데이터 분석이 보편화됨에 따라 클라우드 이용 확대와 관련한 규제 완화 필요성이 제기됐다.

이번 개정안은 국내 소재 클라우드에 한해 개인신용정보를 처리 할 수 있도록 우선 허용하기로 했다. 금융보안의 중대성이나 사고 발생시 소비자 보호·감독 관할 등을 고려한 것이다.

다만 국내에 전산센터를 마련한 아마존(AWS), 마이크로소프트(MS), IBM 등은 해외 클라우드 사업자라도 금융회사에 서비스를 제공할 수 있다. 이 때 비상 상황에 대비해 관리시스템이나 필수 인력도 국내에 상주하면서 대응할 수 있어야 한다. 이 과정에서 금융회사는 클라우드 서비스의 안정성을 평가하고 자체 정보보호위원회 심의·의결을 거치도록 했다.

금융사는 클라우드 이용 업무에 대해 정보의 중요도를 평가하고, 개인신용정보 처리 여부등을 확인해야 한다. 금융보안원의 도움을 받아 클라우드의 기술적·관리적 보호조치 등을 평가해 안정성이 확보된 클라우드를 이용해야 한다.

금융회사에 마련되는 자체 정보위원회는 안정성 평가결과와 클라우드 위수탁 운영기준 등을 심의·의결해 관리·감독하고, 의결사항을 감독당국에 보고해야 한다.

개정안은 또 민감한 개인정보를 다루는만큼 만약의 사고에 대비해 금융회사와 클라우드 서비스 제공자가 작성하는 계약서에 손해배상이나 재판관할 사항 등 내용을 명시해 법적 책임을 명확하게 구분하도록 했다.

우선 사고 예방을 위해 클라우드 제공자는 데이터(서버)의 물리적 위치를 금융회사에 알리고, 정보보호 의무화 서비스 장애 방지대책 등 클라우드 관리·보안요구사항을 이행해야 한다.

장애가 발생했다면 지체없이 상황을 통보하고 진행상황 파악 등을 위한 컨택 포인트를 지정한 후 장애원인 분석·재발방지 대책을 금융회사에 제공해야 한다.

이후 고객 손해가 발생한 부분에 대해서는 1차적으로 금융회사가 책임지게 되며 클라우드 서비스 제공자도 연대 배상책임을 부담하도록 했다. 고의·과실로 인한 서비스 품질 저하·장애 등 문제가 발생하게 되면 클라우드 제공자가 금융회사에 손해를 배상하게 된다.

클라우드에 저장된 데이터를 보호할 수 있도록 장치를 마련하는 내용도 개정안에 포함됐다. 클라우드를 외부 통신망과 분리·차단 되도록 하고 사고 발생시 원인 파악을 위해 정보시스템 기록을 보존하도록 했다. 중요정보는 암호화 처리하고 클라우드 제공자 등 접근권한이 없는 자는 열람할 수 없다.

또 미국 등 외국 정부가 범죄 수사를 위해 정보를 요청하더라도 국내법 위반 소지가 있다면 거부할 수 있게 규정을 마련했다. 미국의 경우 해외정보이용법(클라우드법)에 따라 범죄 조사에 필요한 해외 소재 데이터 확보와 안보 유지를 위해 외국 정부의 법령을 고려해 데이터를 요청할 수 있다.

하지만 이번 개정안에 따라 국내 클라우드 제공자는 해당국의 관계 법령을 사전 보고하고, 요청이 있을 경우 금융당국·금융회사에 사전 통지해 동의를 받아야 한다.

주홍민 금융위원회 전자금융과장은 " 클라우드 이용시 금융회사가 안정성 확보조치, 계약 내용 등을 감독당국에 보고토록 해 모니터링을 할 것"이라며 "아직 초기다보니 리스크나 사고가 적고, 해외 각국도 아직 규제를 어떻게 할지 확립되지 않았다. 필요하면 해외 사례를 분석해 감독·조사권을 더 강화하는 방안도 추진하겠다"고 말했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.