개정된 전자금융감독규정 1월 시행에 “클라우드 아웃소싱 범주 불투명” 지적도
전문가들 “온프레미스 대신 클라우드 기반 SasS로 금융 현대화, 기술 개발”
“쿠버네티스 기반 컨테이너화 통한 퍼블릭 클라우드로 오픈소스 적극 활용”
[애플경제 이보영 기자]금융권에선 오픈소스나 SaaS를 적극 활용, 금융 내부 업무와 프로세스를 현대화하고 생산성을 높여가야 한다는 목소리가 새삼 나오고 있다. 이는 최근 금융감독원 고시로서 ‘전자금융감독규정’ 일부 개정안이 1월1일부터 시행될 예정인 가운데, 그 분석적 대안으로 제시되고 있다. 특히 개정안을 두고선 “클라우드 컴퓨팅을 통해 아웃소싱할 수 있는 금융 업무의 범주를 좀 더 구체적으로 명시하지 않고, ‘종합적으로 판단’한다는 모호한 표현으로 갈음한 것”이라는 지적도 따르고 있다.
앞서 금융위원회는 금융권의 클라우드 이용 환경을 개선한다는 취지에서 4월 발표한 ‘클라우드 및 망 분리 규제 개선방안’을 보완하는 ‘전자금융감독규정’ 일부 개정안을 최종 의결했다. 이는 은행이나 증권사 등 금융권의 클라우드 이용에 대한 규제책과 함께 망 분리 규제를 개선하는 내용이 골자다. 그런 내용의 전자금융감독규정은 특히 제14조의2(클라우드컴퓨팅서비스 이용절차 등)와 제15조(해킹 등 방지대책)이 가장 핵심적인 내용이자, 문제되는 이슈를 담고 있다.
14조2는 클라우드로 전환할 업무의 중요도를 평가하는 기준과 함께 중요한 업무와 중요치않은 업무에 따라 클라우드 절차를 달리 하는 ‘차등화’ 규정을 담고 있다. 또 개정된 제 15조는 해킹 등을 방지하기 위해 은행 등 금융회사의 내부망과 외부망을 분리하되, 그 요건을 완화하는 내용을 담고 있다.
개정안 14조2는 업무 중요도를 판가름하는 기준과 이에 따른 절차의 차등화를 규정하고 있다. 그 대표적인 6가지 평가기준은 ▲ 규모, 복잡성 등 클라우드컴퓨팅서비스를 통해 처리되는 업무의 특성 ▲ 클라우드컴퓨팅서비스 제공자로부터 제공받는 서비스가 중단될 경우 미치는 영향 ▲ 전자적 침해행위 발생 시 고객에게 미치는 영향 ▲ 여러 업무를 같은 클라우드컴퓨팅서비스 제공자에게 위탁하는 경우 해당 클라우드컴퓨팅서비스 제공자에 대한 종속 위험 ▲클라우드컴퓨팅서비스 이용에 대한 금융회사 또는 전자금융업자의 내부통제 및 법규 준수 역량 등이다.
개정 전에는 ‘고유식별정보’나 개인신용정보를 처리할 경우는 모두 중요업무로 취급했다. 또 그 밖의 고유식별정보나 개인신용정보를 직접 처리하지 않아도 전자금융거래의 안정성이나 신뢰성에 중대한 영향을 미치는 경우는 ‘중요업무’로 취급했다. 그러나 이번 개정안에선 “이들 6개 사항에 대해 ‘종합적’으로 판단하여 중요도를 결정”하도록 했다. 이에 대해 윤대균 아주대 교수는 “이번 개정안에서 중요 업무와 중요하지 않은 업무 기준을 명확하게 정의하고자 하는 시도나, 이를 위해 몇 개의 기준을 제시한 것은 진일보한 것이나, 열거된 기준을 ‘종합적으로 판단하여 결정’한다는 식으로 모호하게 마무리한 것은 아쉽다”고 지적했다.
한국지능정보사회진흥원의 디지털 서비스 리포트를 통해 윤 교수는 ‘싱가포르 은행 연합’의 예를 들며 “그들이 2019년 발표한 ‘클라우드컴퓨팅 구현 가이드’에서는 클라우드컴퓨팅을 통한 아웃소싱 업무 카테고리를 좀 더 구체적으로 명시하였다.”고 비교하기도 했다. 그는 또 현장의 한 CIO와의 인터뷰를 인용하며, “망 분리 규제는 클라우드를 통한 금융 현대화나 금융기술과 기법 개발과는 그다지 상관관계가 크지 않은 정책일 것”이라는 의견도 내놓았다.
이번 전자금융감독규정은 제15조에서 망분리 규제에 대한 나름의 개선책을 담고 있다. 현행 규정은 ▲내부 통신망과 연결된 내부 업무용 시스템은 인터넷(무선통신망 포함) 등 외부 통신망과 분리, 차단하여 접속 금지하고, ▲전산실 내에 있는 정보처리시스템과 해당 정보처리시스템의 운영, 개발, 보안을 위해 이와 직접 접속하는 단말기에 대해서는 인터넷 등 외부 통신망으로부터 물리적으로 분리하도록 하고 있다. 그러나 이번 개정안에서는 이런 두 가지 망 분리 의무규정에 대해 두어 가지 예외 사항을 두었다. 즉 ▲이용자의 고유식별정보나 개인신용정보를 처리하지 않는 연구․개발 목적의 경우, ▲업무상 불가피한 경우로서 금융감독원장의 확인을 받은 경우 등이다.
그러나 앞서 윤 교수는 “현장의 CIO도 역시 연구․개발 목적의 망 분리는 별로 영향을 주지 않을 것이란 의견을 피력했다.”면서 “연구․개발 망을 별도로 분리하여 새로 만들어 운영하는 자체가 시스템운영 관점에서는 피하고 싶은 일로 여긴다”고 전했다. 그러면서 클라우드를 운용한 금융 현대화를 위해 가장 시급한 것은 SaaS 기반의 금융 내부 업무 현대화라고 강조했다.
즉 “세상의 쓸만한 도구는 대부분 SaaS 방식으로 서비스되고 있으며, 기존 온-프레미스 서비스도 점차 SaaS로 전환되고 있는 상황인데 이를 금융 내․외부 업무에서 쓸 수 없어서 최신 기술을 활용하기가 어렵다”는 것이다. 그에 따르면 실제로 금융권에선 주요 서비스의 경우 온-프레미스 버전을 설치 운영할 수 밖에 없는데, 이를 위한 비용이나 노력, 시간을 들일 수 밖에 없다는 지적이다. 또한, 금융권의 소프트웨어 현대화를 위해선 오픈소스를 적극 활용할 수 있어야 하지만, 이를 위해 쿠버네티스 기반 컨테이너화를 통해 퍼블릭 클라우드로 확장하는 것도 현재의 규제 환경에선 쉽지 않다는 지적이다.
더욱이 망 분리의 예외 조항을 둔 것도 분명 발전한 것은 맞지만, 이로 인해 클라우드 도입이 가속화될 것으로 기대하기는 어렵다는 의견이다. “연구․개발 망 분리 자체가 클라우드컴퓨팅서비스 이용과는 깊은 관계가 없기 때문”이라는 것이다. 그러면서 윤 교수는 “금융 내부 업무의 현대화와 개발․연구를 위한 최신 기술 접근 확대, 프로세스 현대화, 금융 서비스 현대화를 위해선 금융권에서의 클라우드 확산은 반드시 필요하다”고 덧붙였다.