금융사와 핀테크사(전자금융업자)는 일반 기업들과 다른 인터넷 환경에서 일을 한다. 상대적으로 사이버 공격에 취약한 인터넷망을 업무망과 분리했는데, 이를 망분리라고 한다. 금융사, 핀테크사는 소비자, 사용자들의 ‘돈’과 직결된 서비스를 하기 때문에 보안에 더 신경을 쓸 수밖에 없고, 이러한 내용은 법으로 정의되어 있다.
그러나 인터넷이 없는 PC에서 일을 하는 것은 보통 불편한 일이 아니다. 특히 클라우드, 생성형 인공지능(AI) 등 신기술의 활용도가 높아지는 요즘에는 더 그렇다. 거래 건수가 갈수록 늘어나는 금융은 디지털전환(DT)이 필요한 곳이지만, 신기술 도입에는 보수적일 수밖에 없다.
이런 점을 고려해 금융당국에서 금융규제샌드박스를 통해 한시적으로, 특정 부문에서 금융 망분리 규제를 풀어주기로 했다. 당장 생성형AI, 클라우드 서비스형인터넷(SaaS) 등 활용도가 높은 부문에 한해서다.
16일 금융위원회(금융위)에 따르면, 금융 망분리 개선 규제샌드박스에 신청한 기업이 132곳으로 나타났다. 이는 3분기 금융위가 받은 3분기 혁신금융서비스 정기신청 접수 전체 건수 가운데 총 71%로 가장 많은 비율을 차지한다. 금융 망분리 규제 해소에 대한 금융권의 수요가 높다는 것을 방증한다. 금융위는 연내 혁신금융서비스 지정 여부를 결정할 계획이다.
금융위 금융안전과 김종훈 과장은 <바이라인 네트워크>와의 통화에서 “금융기관, 전자금융업자 등이 금융규제샌드박스에 신청했다며”며 “연내 (금융규제샌드박스 기업이) 지정될 수 있도록 검토하고 있으며, 이외 관련 법률이 개정될 수 있도록 절차를 마련하고 있다”고 밝혔다.
지난 8월 금융위는 ‘금융분야 망분리 개선 로드맵’을 발표했다. 금융위는 “망분리로 인해 금융사, 전자금융업자의 업무상 비효율이 클 뿐만 아니라 신기술 활용이 저해되고 연구개발이 어렵다는 규제 개선 요청이 지속적으로 제기됐다”고 개선안의 취지를 설명했다. 금융위는 금융권 망분리 태스크포스팀(TFT)을 운영해 업계 의견을 수렴, 로드맵을 마련했다. 금융위는 단계적으로 금융 망분리를 개선할 계획이다.
금융위가 금융 망분리 1단계로 개선하기로 한 것은 ▲생성형AI 활용 허용 ▲클라우드 기반의 응용프로그램(SaaS) 활용도 제고 ▲연구개발 분야 망분리규제 개선이다. 특히 금융위는 생성형AI, 임직원 업무망에서의 SaaS 활용은 내년 말까지 정규 제도화할 방침이다.
생성형AI 활용 허용
생성형AI는 클라우드 기반의 인터넷 환경에서 제공되지만, 망분리 규제를 받는 금융사는 생성형AI를 활용하기 어렵다. 또 생성형AI 대부분 국내에 서버를 두지 않는 외산으로 개인신용정보를 처리, 보관할 수 없어 사실상 국내 금융사들은 생성형AI를 사용하지 못하고 있다.
이에 금융위는 금융사가 생성형AI를 활용해 가명처리된 개인신용정보를 처리할 수 있도록 규제특례를 허용할 계획이다. 금융사의 정보처리시스템과 AI모델이 연결될 수 있도록 하고, 가명정보처리가 가능하도록 전자금융감독규정과 개인정보보호법 등 관련 법령 개정에 나선다. 이를 위해 금융위는 3분기중 설명회를 열어 금융규제샌드박스 지정방식, 보안 유의사항 등을 안내할 계획이다.
클라우드 기반의 응용프로그램 활용도 제고
금융위는 금융사 업무망에서 SaaS 활용 범위를 확대한다. 금융위는 지난해 9월 규제샌드박스를 통해 이를 허용했으나 고객의 신용정보를 처리할 수 없고 업무협업 도구 등에 한해 허용하는 등 부가조건을 달아 사실상 SaaS 활용에 제약이 있었다. 따라서 금융위는 업무망 SaaS에서 활용할 수 있는 데이터 범위, 프로그램, 단말기 유형을 확대한다.
데이터 범위는 기존에 개인신용정보가 불가했다면, 규제샌드박스를 통해 가명처리된 개인신용정보를 허용한다. 프로그램은 기존 협업도구와 전사적자원관리(ERP)에서 보안, 고객관리, 업무자동화 등을 추가 허용한다. 단말기는 유선 PC에서 모바일 단말기를 추가한다. 다만, 인터넷 활용범위가 확대된 만큼 금융사는 강화된 보안 대책을 마련해야 한다.
또 협업, 디자인 등 단순 업무용 SaaS를 사용하기 위해 기존처럼 강도 높은 클라우드 이용 절차를 따르지 않아도 된다. 금융위는 단순 업무용 SaaS 사용 시 업무 연속성 계획 필수 사항을 21개에서 18개로, 안전성 확보조치 필수사항을 47개에서 33개로 간소화한다.
연구개발 분야 망분리규제 개선
앞서 금융위는 지난 2022년 연구 개발망 망분리 예외를 허용했지만, 연구 개발망에서 개발된 결과물을 내부망으로 전송을 하기 어려운 문제가 있었다. 또 연구 개발망에서 개인신용정보 활용이 금지됐다. 이에 금융위는 연구 개발망과 업무망간 논리적 망분리를 허용하고, 소스코드 등 연구, 개발 결과물의 망간 이동 편의를 확대한다. 이로써 금융사는 연구 개발망에서 가명처리된 개인신용정보를 활용해 고객 행동 특성 등 데이터 분석 기반의 금융상품을 개발할 수 있다.
한편, 금융위는 금융규제샌드박스를 통해 금융 망분리 규제를 열어주는 대신, 기업들이 별도 보안대책을 마련하도록 할 계획이다. 구체적으로, 선정 기업은 예상되는 보안 위험에 대한 별도 보완 방안을 마련해야 하고 당국의 보안 점검, 컨설팅을 받아야 한다. 보안사고가 발생할 경우 엄중한 제재를 받는다.
금융위 측은 “망분리 개선 과정에서 보안상 허점이 발생하지 않도록 충분한 안전장치를 마련하도록 할 것”이라고 밝혔다.
글. 바이라인네트워크
<홍하나 기자>0626hhn@byline.network
![[사설]블록체인 인력양성, 선택 아닌 필수](https://img.etnews.com/news/article/2023/10/02/news-p.v1.20231002.912291b2d5814b198bfdf1fd886a2740_P1.jpg)
![“220만 사업장이 고객…소상공인 금융 애로 해결에 앞장”[스케일업리포트]](https://newsimg.sedaily.com/2024/10/16/2DFLC61OQD_2.jpg)
