은행일반

> 정책마당 > 정책일반 > 은행정책

금융분야에서 클라우드를 보다 폭넓게 이용할 수 있게 됩니다

첨부파일: (4)         

-금융분야 클라우드 이용 확대방안」 추진

 

금융분야의 디지털화(digitalization)에 발맞추어 클라우드 규제를 개선하여 핀테크 혁신성장을 촉진

지난 2년간 금융권의 클라우드 활용 경험, 클라우드를 이용한 기술·금융의융합 가속화 현상 등을 고려해 클라우드 이용 확대를 추진

클라우드 이용 확대와 병행, ①금융권 보안수준 및 관리체계를 강화해 보안우려를 해소하고 ②해외 사례와 같이 관리·감독체계를 보다 효과적으로 구축

클라우드 활성화를 위한 제도개선 추진 (관련 규정 정비 후 ‘19.1월 시행)

① 클라우드 활용 정보의 범위를 확대(비중요정보限 → 개인신용정보 등)

② 금융권 클라우드 서비스 이용·제공 기준을 마련하여 안전성 관리를 강화

③ 금융권 클라우드 이용현황 모니터링 강화, 적절한 감독·검사 체계 마련

 

 

추진 배경

 

ICT기술 발전에 따라 금융분야의 디지털화(digitalization)가 폭넓게 확산

 

디지털 혁명을 대표하는 기술인 A(AI,인공지능)·B(BlockChain)·C(Cloud)·D(BigData) 등이 기술과 금융의 융합을 주도

 

이 가운데 클라우드(Cloud)는 금융회사의 외부주문(아웃소싱)의 하나로 IT자원의 직접 구축없이도 필요한 만큼 빌려쓰는 공유환경을 제공

 

클라우드 이용자는 다양한 IT서비스를 빌려서 이용하고, 이용량에 따라 비용을 지불하므로 업무생산성 증진과 비용절감이 가능

 

IT인프라 자체 구축·운영

클라우드 서비스 활용

 

* 과학에서 구름(Cloud)처럼 먼 거리에서 시각적으로 보이는 물건들의 커다란 집합체를 의미하는 클라우드는 인터넷 상에 자료를 저장해두고 사용자가 필요한 자료, 프로그램을 자신의 컴퓨터에 설치하지 않고도 인터넷 접속으로 언제 어디서나 이용할 수 있는 서비스를 말함

 

한편, 최근 AI·빅데이터 등 新기술 금융 접목 확대로 금융권 클라우드 활용과 관련한 추가 규제정비의 필요성이 증가

 

특히, 은행·카드, 핀테크기업 등 각 업권에서 클라우드 규제완화 건의가 지속적으로 제기되어 왔고, 관계기관·전문가의견을 수렴*

 

* 핀테크 활성화 릴레이 간담회(4.11), 금융분야 클라우드 간담회(4.17), 테크자문단 회의(6.12)

 

보안장치, 감독체계 강화를 전제로 금융회사·핀테크기업이 안정적으로 클라우드를 활용할 수 있도록 제도 개선을 검토

 

 

금융분야 클라우드 현황

 

1. 이용 현황

 

(국내) 총 38개 금융회사(73건)에서 업무처리, 부가서비스 제공 목적으로 클라우드 시스템을 이용(‘18.3월)

 

주로 개인정보와 관련이 없는 내부업무처리(43.8%), 고객서비스(27.4%), 회사·상품 소개(15.1%) 등에 활용중

 

(국내) : KT·네이버·코스콤 등, (국외) : MS, IBM, 구글, 아마존(AWS) 등

 

 

(해외) 용도가 제한되어 있는 국내에 비해 해외는 금융회사별 수요에 따라 다양한 방식으로 클라우드 서비스를 이용중

 

일부 금융회사는 내부 지원업무 뿐만 아니라 뱅킹 서비스와 같은 핵심시스템도 클라우드 서비스로 이전

 

2. 클라우드 이용 규제·감독 현황

 

<국내 제도 현황>

 

금융회사·전자금융업자는 클라우드 컴퓨팅 이용을 위해 전자금융거래에 미치는 영향이 낮은 시스템을 비중요정보 처리시스템으로 지정 가능

(전자금융감독규정 제14조의2 신설, ‘16.10.5)

 

다만, 개인신용정보 고유식별정보를 처리하는 정보처리시스템은 비중요 시스템으로 지정이 불가

 

* 전자금융감독규정 제14조의2 : 정보자산의 중요도에 따라 비중요 시스템 지정 후 망분예외를 적용(다만, 개인신용정보와 고유식별정보는 지정 불가)

 

반면, 非금융분야클라우드 이용제한이 없으며, 개인정보보호법 등에 따른 정보보호·제공에 관한 규제를 적용

 

클라우드는 아웃소싱의 하나로「정보처리 업무위탁」에 해당하며, 제공자는「전자금융보조업자」로서 제한적으로 감독을 받음

 

<해외 제도 현황>

 

주요 선진국은 클라우드 이용을 직접 규제하지 않고, 가이드라인을 통해 자율준수토록 하고있으며, 감독 방식은 국별로 차이가 있음

 

주요국들은 권고 또는 지침 등을 통해 클라우드 제공업체, 보안 및 감독 관련 내용을 계약서에 명시적으로 포함하도록 요구

 

- 다만, 클라우드 제공업체에 대해 EU·영국직접 감독하는 반면, 싱가포르·미국은 금융회사를 통해 간접적으로 감독(전자금융 거래법상 전자금융보조업자를 감독하는 방식과 동일)

 

그간의 클라우드 이용규제 평가 및 개선방향

 

1. 클라우드 이용 측면

 

‘16.10월, 금융권 클라우드 도입시 개인신용정보의 민감성 등을 고려해 중요도에 따라 정보를 구분하고, ’비중요정보‘에 한해 클라우드 이용을 허용하면서 안전성을 지속 테스트(클라우드 활성화 前단계 조치)

 

지난 2년간 서버비용 등 절감 효과는 있었으나, 이용 제한으로 금융회사 서비스 적용·개발이 제한되었고, 핀테크기업 진입장벽*으로 작용

 

* 클라우드 이용 제한이 핀테크기업에게 IT설비 구축과 같은 초기 시장진입 비용 부담으로 작용→새로운 아이디어를 활용한 창업, 서비스 개발에 제약

 

금융회사·핀테크기업이 비용절감, 생산성 제고와 동시에 새로운 서비스를 개발할 수 있도록 클라우드 이용범위를 확대할 필요

 

2. 개인정보보호 측면

 

클라우드는 금융회사가 IT자원을 빌려서 사용하는 것으로서 개인정보 제공·유통과는 관련이 없음

 

금융회사는 개인정보를 클라우드 내에서만 저장·활용할 뿐, 제공·유통하지 않아 개인정보 남용·침해 문제는 발생하지 않음

 

* 개인(신용)정보 제공의 경우 개인(신용)정보를 제공받는 자가 관리·감독책임이 있는 반면, 클라우드는 금융회사가 자기통제하에 관리·감독

 

현재 개인정보보호 법령 클라우드 활용을 금지하는 규정은 없으며, 금융권 아닌 다른 분야에서는 클라우드를 제한없이 활용

 

* 신용정보의 경우 신용정보법에 따라 기술적·관리적 보호조치 준수시 위탁처리가 가능, 고유식별정보도 개인정보보호법상 위탁처리를 제한하는 규정은 없음

 

개인정보보호법·신용정보법을 기준으로 보호조치를 강화하되 전자금융감독규정에만 존재하는 클라우드 제한 규정 정비 필요

 

<개인(신용)정보 제공과 클라우드 이용 비교>

 

 

3. 금융보안 측면

 

금융보안의 중요성, 지정학적 특수성을 고려한 사이버 리스크 대비한 보안강화 노력도 필요

 

경제적 이익을 목표로 한 사이버침해 공격이 빈발하고 있어대한 정보를 보유하고 있는 금융분야의 경우 유출시 피해규모 등 파급효과가 큰 점을 고려해야 함

 

* ‘11년 3.4 디도스 공격, ’13년 3.20 사이버테러, ‘17년 ATM 이용자 정보 유출

 

⇒ 클라우드 이용범위를 확대하되, ‘중요정보’에 대한 보호장치를 강화하고 금융권 자율 보안수준을 향상시킬 필요

 

4. 관리·감독 측면

 

클라우드 서비스 제공자는 전자금융보조업자로서 감독을 받으나 금융당국의 직접 감독대상은 아님

 

⇒ 클라우드 이용확대 조치와 함께 클라우드 서비스 제공자에 대한 금융당국의 감독방안을 보강할 필요

 

지난 2년간 금융권의 클라우드 활용 경험, 클라우드를 활용한 기술·금융융합 추세 가속화 등을 종합적으로 감안해 클라우드 이용 확대 방안을 마련

 

클라우드 이용 확대 추진시 금융권의 보안수준 및 관리체계를 강화하여 보안문제 우려를 해소하고, 해외사례와 같이 관리·감독체계를 보다 효과적으로 구축

 

클라우드 활성화를 위한 제도개선 방안

 

1. 클라우드 서비스 이용범위 확대

 

금융회사와 핀테크기업이 클라우드를 통해 활용할 수 있는 정보의 범위를 확대(비중요정보限 → 개인신용정보·고유식별정보)

 

(현행) 단 한건 개인신용정보·고유식별정보만 있어도 클라우드 이용이 제한되어 핀테크기업에게 진입장벽*으로 작용

 

* 핀테크 스타트업이 新서비스를 출시하려고 해도 초기 시스템 구축 비용 문제로 원활한 서비스 개발이 어려움

 

또한, 금융회사 등이 AI·빅데이터 등 新기술을 이용해 새로운 상품·서비스 개발*하는데 개인신용정보를 활용할 수 없어 제약

 

* AI·빅데이터는 고도의 전문성과 더불어 대용량·고성능의 IT인프라가 필요하여 클라우드 이용이 보다 적합

 

 

(개선) 개인신용정보, 고유식별정보를 처리하는 중요정보 처리시스템도 클라우드를 활용할 수 있도록 규제를 개선

 

① 현재 전자금융감독규정에만 존재하는 클라우드 제한 규정을 정비이용범위를 확대(비중요정보限 → 개인신용정보·고유식별정보)

 

* 전자금융감독규정 제14조의2 : 금융회사는 개인신용정보, 고유식별정보를 제외한 비중요정보 처리시스템에 한해 퍼블릭 클라우드 활용이 가능

 

② 사고 발생시 법적분쟁, 소비자 보호·감독 관할, 개인정보보호 등의 문제로 국내 소재 클라우드에 한해 우선 허용(국외는 중장기 검토)

 

* 금융회사가 사용하는 클라우드 기반 시스템이 해외에 위치할 경우 사고발생시 사고조사 및 대응이 어려우며 감독·검사 또한 제대로 이루어지지 못할 우려

 

③ 다만, 개인신용정보·고유식별정보 클라우드 활용 여부와 상관없이 개인정보보호법·신용정보법 개인정보보호 법령에 따라 보호·관리

2. 클라우드 서비스 기준 도입

 

클라우드 서비스 이용을 확대하되, 금융보안의 중대성을 감안하여 금융권 클라우드 서비스 이용·제공 기준을 수립·운영

 

(현행) ‘비중요정보’는 ‘금융권 클라우드 이용 가이드’상 보호조치를 준수하도록 하고, 개인신용정보 등 ‘중요정보’의 경우 이용을 제한

 

(개선)중요정보’도 클라우드를 이용할 수 있도록 하고, 안전성을 확보하기 위해 클라우드 이용·제공시 기준을 마련하여 운영

 

① 클라우드 서비스 이용·제공 기준 마련

 

- (금융회사) 중요정보 클라우드 이용시 안전성 관리 강화

 

- (제공자) 금융의 특수성을 반영 클라우드 서비스 제공자가 기본적으로 준수해야 할 기준을 마련

 

② 금융분야 클라우드 서비스 기준 운영방안

 

- (자율통제 또는 인증제) 클라우드 서비스 이용·제공 기준을 토대로 금융회사 자율적으로 클라우드 이용을 결정하는 방식(EU 등 해외방식) 또는 금융 클라우드 인증제 도입 방식(국내 공공클라우드 방식)을 검토

 

* 동 방식은 금융권 클라우드 서비스 이용 활성화를 위한 제도개선 TF (‘18.7월중, 금융위, 금감원, 금보원, 금융회사, 전문가 등)를 통해 검토 추진

 

3. 클라우드 서비스 이용 감독·검사 강화

 

◈ 금융회사 클라우드 서비스 이용 관련 보고의무강화하고, 클라우드 서비스 제공자에 대한 감독·조사업무 근거마련

 

(현행) 금융회사전자금융보조업자(클라우드) 계약시 전자금융거래의 안전성·신뢰성 확보를 위해 일정 기준을 준수토록 요구

 

(개선) 금융회사를 통한 간접 감독을 강화하는 한편, 법령개정을 통해 전자금융보조업자에 대한 감독·조사 근거 마련

 

① 클라우드 서비스 이용 관련 금융회사의 보고의무 강화

 

② 전자금융보조업자(클라우드 서비스 제공자)에 대한 감독당국의 직접 감독·조사권 확보하는 방안을 검토(법개정 사항)

 

 

< 「금융권 클라우드 이용확대」 단계별 추진계획 >

 

 

 

 

 

 

기대 효과

 

[1]핀테크기업들이 특별한 제약없이 클라우드를 활용해서 적은 비용으로 쉽게 개발할 수 있는 여건을 마련

 

ㅇ 보안성을 확보한 클라우드를 통해 핀테크기업은 초기 시스템 구축·관리 비용 부담을 덜고, 핀테크 서비스 안전성은 향상

 

[2] 금융권은 클라우드 플랫폼을 이용해서 빅데이터 및 인공지능 기술보다 자유롭게 테스트하고 혁신적인 서비스를 출시

 

복잡해지는 국내외 금융규제 환경변화에도 빠르고 유연하게 대응

 

(사례) IFRS17 플랫폼 구축 클라우드를 통해 비용부담을 줄이고, 보험계리분석·회계관리·투자분석 프로그램 등을 쉽게 이용

 

* 2021년부터 보험회사에 새로운 보험계약 회계기준인 IFRS17 적용 예정, IFRS17 시스템 신규 구축 시 고성능 연산 능력이 필요해 보험회사에 부담

 

[3] 금융회사·핀테크기업이 클라우드를 활용협력을 강화하고, 각자의 강점을 발휘함으로써 국내 금융산업 경쟁력도 향상

 

* 예) 금융회사는 API 등 핀테크 서비스 개발을 위한 클라우드 인프라 제공 → 핀테크 기업은 클라우드 內에서 안전하고 쉽게 핀테크 서비스를 개발

 

향후 계획

 

금융권 클라우드 제도개선 TF* 구성 : 7월

 

* 금융감독원, 금융보안원, 금융회사, 클라우드 서비스 업체, 전문가 등

 

감독규정 개정안 마련 → 업계, 전문가 의견 수렴(간담회 등, 8월~9월)

 

* 업계 수렴 의견, 제도개선 효과 등을 종합 검토하여 제도개선(안)을 확정하고,「전자금융감독규정」개정을 추진

 

금융권 클라우드 서비스 가이드라인」개정 : 8월~12월

 

전자금융감독규정 개정안 시행 : ‘19.1월(예정)

 

※ 별첨 : 금융권 클라우드 이용 확대 방안

다음글과 이전글
순서 글 제목
이전글 [보도참고] 사업보고서 등에 대한 조사·감리결과 조치
다음글 은행업 경쟁도 평가 결과
Top