금융회사 망분리 제도가 도입된 지 13년 만에 금융당국이 본격적인 규제 완화의 첫발을 뗐다. 금융회사는 20일부터 별도의 혁신금융서비스(규제 샌드박스) 심사를 거치지 않아도 내부 업무망에서 클라우드 기반 응용소프트웨어(SaaS)를 활용할 수 있게 됐다. SaaS는 별도 설치 없이 인터넷을 통해 사용하는 업무용 프로그램으로 문서 작성(워드 엑셀 등), 화상회의(Zoom), 협업, 일정 관리 등 사무업무 전반에 활용되는 서비스가 포함된다.

금융위원회는 20일부터 일정한 보안규율을 준수하는 것을 전제로 망분리 규제 예외를 허용하는 내용의 ‘전자금융감독규정시행세칙’ 개정이 완료됐다고 밝혔다.

이번 규제 개선으로 금융회사들은 업무 방식의 혁신과 협업이 강화되고, 생산성 향상과 IT운영 부담 완화, 내부 관리체계가 강화된다. 이미 일부 금융회사들은 규제 샌드박스를 통해 SaaS를 활용하고 있다.

클라우드 기반 협업 SaaS를 도입한 A은행의 경우 문서 작성, 화상회의, 일정 관리 기능을 하나의 플랫폼에서 통합 운영하고 글로벌 그룹사와의 협업 환경을 구축했다. 기존 이메일 및 개별 시스템 중심의 업무 방식이 협업 중심으로 전환됐으며 문서 공유와 회의·일정 관리가 효율화되고 글로벌 협업의 속도와 편의성이 향상됐다. 또 금융당국이 SaaS 활용 시범 운영과 선도 도입 사례를 분석한 결과 △반복적 수작업 감소 및 업무 자동화 확대 △업무처리 시간 단축 및 생산성 향상 △시스템 구축·유지 부담 완화 등의 효과가 확인됐다.

금융회사들은 망분리 규제로 인해 서버 등의 IT 인프라를 자체 데이터센터나 사내 서버에 직접 설치해 운영해왔다. 하지만 SaaS 활용으로 기존 온프레미스 시스템 중심의 IT 운영 구조를 클라우드 기반으로 전환할 수 있게 돼 비용 부담이 줄어들게 됐다.

금융위는 또 “성과관리, 협업관리 등 다양한 업무 영역에서 SaaS 활용이 확대되면 데이터 기반 의사결정이 보다 용이해지고, 금융회사의 내부 관리체계도 보다 체계적이고 표준화된 방식으로 운영될 것으로 기대된다”고 밝혔다.

B보험사의 경우 성과 관리 등 내부 관리 업무에 SaaS를 도입해 조직·성과 데이터를 통합 관리하고, 관련 업무를 시스템 기반으로 운영할 수 있도록 체계를 정비했다. 내부 관리 업무 절차의 표준화와 데이터 일관성 확보가 가능해졌고, 시스템 운영 편의성과 업무처리의 정확성도 높아져 데이터 기반 의사결정 체계도 한층 강화됐다. 금융당국은 “망분리 규제는 그간 금융회사 보안을 위한 중요 수단으로 활용돼 왔지만, 해킹 수법이 고도로 발달하고 인공지능(AI) 혁신 등을 위해 외부 네트워크 전산자원 활용이 절실해진 상황에서 더 이상 현재 규제에 안주할 수 없는 상황”이라고 밝혔다.

다만 망분리 규제 예외가 허용되는 만큼 이를 보완하기 위한 정보보호통제 장치 마련이 의무화됐다. 금융회사는 △침해사고 대응기관(금융보안원 등) 평가를 거친 SaaS를 이용하고 △접속 단말기(컴퓨터, 모바일단말 등)에 대해 보호대책 수립 등을 준수해야 하며 정보보호통제 이행 여부를 반기에 1회 평가하고 금융사 내 정보보호위원회에 보고해야 한다.

이와함께 생성형 AI 서비스 관련 규제도 금융회사와 소통해 최대한 신속히 망분리 규제 예외가 적용될 수 있도록 추진된다. 금융당국은 2013년 금융회사의 대규모 전산망 마비를 계기로 ‘공공부문’의 물리적 망분리를 금융권에 도입했다. 업무망과 인터넷이 분리돼 업무의 효율성이 떨어지고, 연구·개발 및 AI 활용 등에 어려움이 컸다.

금융당국은 현행 망분리 규제를 고수할 경우 급격하게 변화하는 IT환경에서 금융회사들의 경쟁력이 하락하고 금융보안의 발전을 오히려 저해할 우려가 있다고 판단해 망분리 규제완화를 추진하기로 하고 2024년 로드맵을 만들어 발표했다.

업무망에서 SaaS와 생성형 AI 활용은 규제 샌드박스를 통해 허용됐고, 이번 전자금융감독규정시행세칙을 통해 SaaS 활용은 규제 샌드박스 없이도 가능해졌다. 2단계에서는 샌드박스 성과 검증 후 생성형 AI 규제 특례를 정규 제도화하는 방안이 추진된다.

3단계에서는 디지털 금융보안법을 도입해 규칙 중심은 망분리 규제에서 원칙 중심 규제로 전환한다는 계획이다. 전산사고 등에 대한 배상책임 강화, 실효성 있는 과징금 도입 등 금융회사의 책임 강화를 위한 법적 근거도 마련할 예정이다.

이경기 기자 cellin@naeil.com