내달부터 금융회사 클라우드 활용범위 '개인신용정보'까지 확대된다

실시간 뉴스
    최종편집시간 : 2018년 12월 17일 22:07:03
    내달부터 금융회사 클라우드 활용범위 '개인신용정보'까지 확대된다
    금융위, 클라우드 활용 확대 담은 '전자금융감독규정' 개정안 의결
    기사본문
    등록 : 2018-12-07 11:00
    배근미 기자(athena3507@dailian.co.kr)
    ▲ 금융권 클라우드 서비스 안전이용 절차 ⓒ금융위원회

    그동안 비중요정보에 한해서만 허용되던 금융회사들의 클라우드 활용범위가 앞으로 개인신용정보까지 확대될 전망이다. 또 클라우드의 안전한 이용과 정보 유출 등 리스크에 대비해 내부통제를 강화하고 법적 책임 규정을 새롭게 마련했다.

    금융위원회는 지난 5일 제21차 정례회의에서 이같은 내용을 담은 '전자금융감독규정 개정안'을 심의·의결했다고 7일 밝혔다.

    이번 개정안에 따르면 금융회사들은 앞으로 개인신용정보 및 고유식별정보도 클라우드를 통해 이용할 수 있게 된다. 그동안 금융회사나 전자금융업자는 개인신용정보나 고유식별정보와 같은 중요정보를 포함하지 않은 비중요정보만 클라우드에서 이용이 가능해왔다.

    또 금융분야 특수성을 반영한 안전성 확보조치 등 금융권 클라우드 이용 및 제공 기준을 새롭게 제시했다. 새롭게 마련된 안전성 기준에 따르면 데이터 보호에 있어 금융권 통합보안관제 지원, 전산자료 접근통제, 정보시스템 가동기록 보존, 중요정보 암호화 등 데이터 보호, 개인신용정보법 등 금융관련 법령을 준수하도록 했다.

    아울러 서비스장애 예방 및 대응과 관련해서는 클라우드 이용시 주요 전산장비 이중화 및 백업체계를 구축하는 한편 서비스 연속성 보장, 장애 발생 시 비상 대응 조치 및 통지를 의무화하도록 했다.

    감독당국은 이용 촉진과 자율보안 및 감독 강화에 방점을 찍고 클라우드 운영에 나선다는 방침이다. 금융회사가 인공지능(AI) 상담, 상품개발, 데이터 분석 등을 위해 클라우드에서 개인신용정보를 이용하도록 하되 자체 보안 수준 강화를 유도하기로 했다. 또한 보고의무를 강화하고, 금융회사와 감독당국의 조사․접근권(현장방문 포함)을 확보하는 데 중점을 뒀다.

    클라우드 활용에 있어서 금융회사에 대한 내부통제 절차도 함께 마련했다. 금융위에 따르면 금융회사가 클라우드 이용 업무에 대해 정보의 중요도를 평가하고, 개인신용정보 처리 여부 등을 사전확인할 수 있도록 하는 중요도 평가와 안전성이 확보된 클라우드를 이용하고 있는지 자체 평가하는 안전성 평가에 나선다. 안전성 평가의 경우 금융보안원이 해당 업체들의 평가를 지원하게 된다.

    또한 금융회사 내 자체 정보보호위원회에서 안전성 평가결과와 클라우드 위수탁 운영기준 등을 심의·의결하여 관리·감독하고, 의결사항을 감독당국에 보고하는 정보보호위원회 심의·의결 절차도 함께 마련됐다.

    만일 발생할 사고에 대비해 금융회사와 클라우드 제공자 간 법적책임 문제도 명확화했다. 우선 클라우드 제공자는 금융회사에 데이터의 물리적 위치(중요정보는 국내 한정)를 알리고, 정보보호 의무와 서비스 장애 방지대책 등 클라우드 관리와 보안 요구사항을 이행해야 한다. 또 사고 발생에 따른 비상대응 차원에서 국내 전산센터 내 필수 운영인력을 상주하도록 하고, 장애 발생 사실을 신속 통지 및 대응하도록 했다.

    손해배상이나 재판관할 등도 계약서 상에 명시해 양측 간 법적 책임관계를 명확화하기로 했다. 고객 피해가 발생할 경우 금융회사가 이용자에 대해 직접 손해를 배상하고, 클라우드 제공자는 연대 배상책임을 부담하는 방식이다. 고의 및 과실로 인한 서비스 품질 저하와 장애 등 발생 시 발생하는 금융회사 손해에 대해서는 클라우드 제공자가 이를 배상하도록 했다.

    데이터 보호장치도 함께 마련된다. 당국은 클라우드 이용 데이터에 대한 보호를 위해 클라우드 서비스를 이용하는 금융회사의 정보처리시스템에 대해 동일 클라우드를 이용하는 외부기관의 통신망과 분리·차단하고 접속을 금지하는 등 외부 통신망과 분리 및 차단되도록 하고 사고 발생 시 원인 파악을 위해 정보시스템 기록을 보존하도록 했다. 또 중요정보는 암호화 처리하는 한편 클라우드 제공자 등 접근권한이 없는 자의 열람은 불가하도록 했다.

    아울러 범죄 수사를 위한 외국 정부의 정보제공 요청 시 국내법 위반 소지가 있을 경우 거부가 가능하도록 한다는 방침이다. 이 과정에서 클라우드 제공자는 해당국의 관계 법령을 사전 보고하고, 요청이 있을 경우 금융당국 및 금융회사에 사전 통지해 동의를 받아야 한다.

    한편 금융위는 이달 중 금융권 클라우드 서비스 가이드라인 개정안을 마련하고 내년 1월 1일부터 본격 시행한다는 계획이다.[데일리안 = 배근미 기자]
    ⓒ (주)데일리안 - 무단전재, 변형, 무단배포 금지