금융사 내부망서 'SaaS' 쓴다…망분리 예외 상시 허용

고유식별·개인신용정보 처리 SaaS는 예외 대상 제외
반기 1회 자체점검 후 CISO 주관 정보보호위원회 보고

(출처=금융위원회)

금융회사들이 내부 업무망에서 클라우드 기반 응용소프트웨어(SaaS)를 보다 손쉽게 활용할 수 있도록 망분리 규제가 완화된다. 다만 고유식별정보나 개인신용정보를 처리하는 경우에는 예외 적용 대상에서 제외된다.

금융위원회는 19일 ‘전자금융감독규정 시행세칙’ 개정안을 규정변경예고했다. 개정안의 핵심은 금융회사가 일정한 보안 요건을 충족할 경우, 별도의 혁신금융서비스 심사 절차 없이도 내부 업무망에서 SaaS를 활용할 수 있도록 하는 것이 다.

SaaS는 문서작성, 화상회의, 가상 업무공간, 인사·성과관리 등 사무·업무지원용 소프트웨어를 클라우드 형태로 제공하는 서비스다. 사업자가 업데이트와 유지보수를 담당하고, 다양한 단말기에서 유연한 업무가 가능하다는 장점으로 활용이 빠르게 확산돼 왔다. 다만 외부 클라우드 서버와 내부 업무망 간 데이터 교환이 필수라는 점에서 금융권의 망분리 규제와 충돌해 왔다.

금융당국은 그간 혁신금융서비스 제도를 통해 보안성이 검증된 SaaS에 한해 활용을 허용해 왔다. 2023년 9월 이후 32개 금융회사가 85건의 SaaS 서비스를 안정적으로 운영해 온 점을 고려 이를 상시 예외로 제도화하기로 했다.

개정안에 따라 SaaS는 망분리 적용 예외 사유로 명시되지만 개인정보 유출 우려를 감안해 고유식별정보나 개인신용정보를 처리하는 경우에는 예외가 허용되지 않는다.

대신 금융회사는 침해사고 대응기관 평가를 통과한 SaaS만 이용하고 접속 단말기 보호, 다중 인증 적용, 최소권한 부여, 중요정보 모니터링, 외부 인터넷 접근 통제, 네트워크 구간 암호화 등 강화된 정보보호 통제를 의무적으로 이행해야 한다. 해당 통제 이행 여부는 반기에 한 번 정보보호위원회에 보고하도록 했다.

금융위 관계자는 "망분리 규제 완화가 보안 약화로 이어지지 않도록 자율적·체계적 보안 관리체계를 함께 강화하겠다"고 말했다.