이 누리집은 대한민국 공식 전자정부 누리집입니다.
-「금융분야 클라우드 이용 확대방안」 추진
|
√ 금융분야의 디지털화(digitalization)에 발맞추어 클라우드 규제를 개선하여 핀테크 혁신성장을 촉진 √ 지난 2년간 금융권의 클라우드 활용 경험, 클라우드를 이용한 기술·금융의융합 가속화 현상 등을 고려해 클라우드 이용 확대를 추진 √ 클라우드 이용 확대와 병행, ①금융권 보안수준 및 관리체계를 강화해 보안우려를 해소하고 ②해외 사례와 같이 관리·감독체계를 보다 효과적으로 구축 √ 클라우드 활성화를 위한 제도개선 추진 (관련 규정 정비 후 ‘19.1월 시행) ① 클라우드 활용 정보의 범위를 확대(비중요정보限 → 개인신용정보 등) ② 금융권 클라우드 서비스 이용·제공 기준을 마련하여 안전성 관리를 강화 ③ 금융권 클라우드 이용현황 모니터링 강화, 적절한 감독·검사 체계 마련 |
|
Ⅰ |
|
추진 배경 |
□ ICT기술 발전에 따라 금융분야의 디지털화(digitalization)가 폭넓게 확산
ㅇ 디지털 혁명을 대표하는 기술인 A(AI,인공지능)·B(BlockChain)·C(Cloud)·D(BigData) 등이 기술과 금융의 융합을 주도
□이 가운데 클라우드(Cloud)는 금융회사의 외부주문(아웃소싱)의 하나로 IT자원의 직접 구축없이도 필요한 만큼 빌려쓰는 공유환경을 제공
ㅇ 클라우드 이용자는 다양한 IT서비스를 빌려서 이용하고, 이용량에 따라 비용을 지불하므로 업무생산성 증진과 비용절감이 가능
|
IT인프라 자체 구축·운영 |
클라우드 서비스 활용 |
|
|
|
* 과학에서 구름(Cloud)처럼 먼 거리에서 시각적으로 보이는 물건들의 커다란 집합체를 의미하는 클라우드는 인터넷 상에 자료를 저장해두고 사용자가 필요한 자료, 프로그램을 자신의 컴퓨터에 설치하지 않고도 인터넷 접속으로 언제 어디서나 이용할 수 있는 서비스를 말함
□ 한편, 최근 AI·빅데이터 등 新기술과 금융 접목 확대로 금융권 클라우드 활용과 관련한 추가 규제정비의 필요성이 증가
ㅇ 특히, 은행·카드, 핀테크기업 등 각 업권에서 클라우드 규제완화 건의가 지속적으로 제기되어 왔고, 관계기관·전문가의 의견을 수렴*
* 핀테크 활성화 릴레이 간담회(4.11), 금융분야 클라우드 간담회(4.17), 테크자문단 회의(6.12)
|
⇒ 보안장치, 감독체계 강화를 전제로 금융회사·핀테크기업이 안정적으로 클라우드를 활용할 수 있도록 제도 개선을 검토 |
|
Ⅱ |
|
금융분야 클라우드 현황 |
1. 이용 현황
□(국내) 총 38개 금융회사(73건)에서 업무처리, 부가서비스 제공 등 목적으로 클라우드 시스템을 이용(‘18.3월)
ㅇ 주로 개인정보와 관련이 없는 내부업무처리(43.8%), 고객서비스(27.4%), 회사·상품 소개(15.1%) 등에 활용중
※ (국내) : KT·네이버·코스콤 등, (국외) : MS, IBM, 구글, 아마존(AWS) 등
□ (해외) 용도가 제한되어 있는 국내에 비해 해외는 금융회사별 수요에 따라 다양한 방식으로 클라우드 서비스를 이용중
ㅇ 일부 금융회사는 내부 지원업무 뿐만 아니라 뱅킹 서비스와 같은 핵심시스템도 클라우드 서비스로 이전
2. 클라우드 이용 규제·감독 현황
<국내 제도 현황>
□ 금융회사·전자금융업자는 클라우드 컴퓨팅 이용을 위해 전자금융거래에 미치는 영향이 낮은 시스템을 비중요정보 처리시스템으로 지정 가능
(전자금융감독규정 제14조의2 신설, ‘16.10.5)
ㅇ 다만, 개인신용정보와 고유식별정보를 처리하는 정보처리시스템은 비중요 시스템으로 지정이 불가
* 전자금융감독규정 제14조의2 : 정보자산의 중요도에 따라 비중요 시스템 지정 후 망분리 등의 예외를 적용(다만, 개인신용정보와 고유식별정보는 지정 불가)
※ 반면, 非금융분야는 클라우드 이용제한이 없으며, 개인정보보호법 등에 따른 정보보호·제공에 관한 규제를 적용
□ 클라우드는 아웃소싱의 하나로「정보처리 업무위탁」에 해당하며, 제공자는「전자금융보조업자」로서 제한적으로 감독을 받음
<해외 제도 현황>
□ 주요 선진국은 클라우드 이용을 직접 규제하지 않고, 가이드라인을 통해 자율준수토록 하고있으며, 감독 방식은 국별로 차이가 있음
ㅇ 주요국들은 권고 또는 지침 등을 통해 클라우드 제공업체, 보안 및 감독 관련 내용을 계약서에 명시적으로 포함하도록 요구
- 다만, 클라우드 제공업체에 대해 EU·영국은 직접 감독하는 반면, 싱가포르·미국은 금융회사를 통해 간접적으로 감독(전자금융 거래법상 전자금융보조업자를 감독하는 방식과 동일)
|
Ⅲ |
|
그간의 클라우드 이용규제 평가 및 개선방향 |
1. 클라우드 이용 측면
□ ‘16.10월, 금융권 클라우드 도입시 개인신용정보의 민감성 등을 고려해 중요도에 따라 정보를 구분하고, ’비중요정보‘에 한해 클라우드 이용을 허용하면서 안전성을 지속 테스트(클라우드 활성화 前단계 조치)
ㅇ 지난 2년간 서버비용 등 절감 효과는 있었으나, 이용 제한으로 금융회사 서비스 적용·개발이 제한되었고, 핀테크기업 진입장벽*으로 작용
* 클라우드 이용 제한이 핀테크기업에게 IT설비 구축과 같은 초기 시장진입 비용 부담으로 작용→새로운 아이디어를 활용한 창업, 서비스 개발에 제약
⇒ 금융회사·핀테크기업이 비용절감, 생산성 제고와 동시에 새로운 서비스를 개발할 수 있도록 클라우드 이용범위를 확대할 필요
2. 개인정보보호 측면
□ 클라우드는 금융회사가 IT자원을 빌려서 사용하는 것으로서 개인정보의 제공·유통과는 관련이 없음
ㅇ 금융회사는 개인정보를 클라우드 내에서만 저장·활용할 뿐, 제공·유통하지 않아 개인정보 남용·침해 문제는 발생하지 않음
* 개인(신용)정보 제공의 경우 개인(신용)정보를 제공받는 자가 관리·감독책임이 있는 반면, 클라우드는 금융회사가 자기통제하에 관리·감독
ㅇ 현재 개인정보보호 법령상 클라우드 활용을 금지하는 규정은 없으며, 금융권 아닌 다른 분야에서는 클라우드를 제한없이 활용중
* 신용정보의 경우 신용정보법에 따라 기술적·관리적 보호조치 준수시 위탁처리가 가능, 고유식별정보도 개인정보보호법상 위탁처리를 제한하는 규정은 없음
⇒ 개인정보보호법·신용정보법을 기준으로 보호조치를 강화하되 전자금융감독규정에만 존재하는 클라우드 제한 규정 정비 필요
<개인(신용)정보 제공과 클라우드 이용 비교>
|
|
3. 금융보안 측면
□ 금융보안의 중요성, 지정학적 특수성을 고려한 사이버 리스크에 대비한 보안강화 노력도 필요
ㅇ 경제적 이익을 목표로 한 사이버침해 공격이 빈발하고 있어방대한 정보를 보유하고 있는 금융분야의 경우 유출시 피해규모 등 파급효과가 큰 점을 고려해야 함
* ‘11년 3.4 디도스 공격, ’13년 3.20 사이버테러, ‘17년 ATM 이용자 정보 유출 등
⇒ 클라우드 이용범위를 확대하되, ‘중요정보’에 대한 보호장치를 강화하고 금융권 자율 보안수준을 향상시킬 필요
4. 관리·감독 측면
□ 클라우드 서비스 제공자는 전자금융보조업자로서 감독을 받으나 금융당국의 직접 감독대상은 아님
⇒ 클라우드 이용확대 조치와 함께 클라우드 서비스 제공자에 대한 금융당국의 감독방안을 보강할 필요
|
◇ 지난 2년간 금융권의 클라우드 활용 경험, 클라우드를 활용한 기술·금융융합 추세 가속화 등을 종합적으로 감안해 클라우드 이용 확대 방안을 마련
◇ 클라우드 이용 확대 추진시 ①금융권의 보안수준 및 관리체계를 강화하여 보안문제 우려를 해소하고, ②해외사례와 같이 관리·감독체계를 보다 효과적으로 구축 |
|
Ⅳ |
|
클라우드 활성화를 위한 제도개선 방안 |
1. 클라우드 서비스 이용범위 확대
|
◈ 금융회사와 핀테크기업이 클라우드를 통해 활용할 수 있는 정보의 범위를 확대(비중요정보限 → 개인신용정보·고유식별정보) |
□ (현행) 단 한건의 개인신용정보·고유식별정보만 있어도 클라우드 이용이 제한되어 핀테크기업에게 진입장벽*으로 작용
* 핀테크 스타트업이 新서비스를 출시하려고 해도 초기 시스템 구축 비용 문제로 원활한 서비스 개발이 어려움
ㅇ 또한, 금융회사 등이 AI·빅데이터 등 新기술을 이용해 새로운 상품·서비스를 개발*하는데 개인신용정보를 활용할 수 없어 제약
* AI·빅데이터는 고도의 전문성과 더불어 대용량·고성능의 IT인프라가 필요하여 클라우드 이용이 보다 적합
□ (개선) 개인신용정보, 고유식별정보를 처리하는 중요정보 처리시스템도 클라우드를 활용할 수 있도록 규제를 개선
① 현재 전자금융감독규정에만 존재하는 클라우드 제한 규정을 정비해 이용범위를 확대(비중요정보限 → 개인신용정보·고유식별정보)
* 전자금융감독규정 제14조의2 : 금융회사는 개인신용정보, 고유식별정보를 제외한 비중요정보 처리시스템에 한해 퍼블릭 클라우드 활용이 가능
② 사고 발생시 법적분쟁, 소비자 보호·감독 관할, 개인정보보호 등의 문제로 국내 소재 클라우드에 한해 우선 허용(국외는 중장기 검토)
* 금융회사가 사용하는 클라우드 기반 시스템이 해외에 위치할 경우 사고발생시 사고조사 및 대응이 어려우며 감독·검사 또한 제대로 이루어지지 못할 우려
③ 다만, 개인신용정보·고유식별정보는 클라우드 활용 여부와 상관없이 개인정보보호법·신용정보법 등 개인정보보호 법령에 따라 보호·관리
2. 클라우드 서비스 기준 도입
|
◈ 클라우드 서비스 이용을 확대하되, 금융보안의 중대성을 감안하여 금융권 클라우드 서비스 이용·제공 기준을 수립·운영 |
□ (현행) ‘비중요정보’는 ‘금융권 클라우드 이용 가이드’상 보호조치를 준수하도록 하고, 개인신용정보 등 ‘중요정보’의 경우 이용을 제한
□ (개선) ‘중요정보’도 클라우드를 이용할 수 있도록 하고, 안전성을 확보하기 위해 클라우드 이용·제공시 기준을 마련하여 운영
① 클라우드 서비스 이용·제공 기준 마련
- (금융회사) 중요정보 클라우드 이용시 안전성 관리를 강화
- (제공자) 금융의 특수성을 반영해 클라우드 서비스 제공자가 기본적으로 준수해야 할 기준을 마련
② 금융분야 클라우드 서비스 기준 운영방안
- (자율통제 또는 인증제) 클라우드 서비스 이용·제공 기준을 토대로 ①금융회사 자율적으로 클라우드 이용을 결정하는 방식(EU 등 해외방식) 또는 ②금융 클라우드 인증제 도입 방식(국내 공공클라우드 방식)을 검토
* 동 방식은 금융권 클라우드 서비스 이용 활성화를 위한 제도개선 TF (‘18.7월중, 금융위, 금감원, 금보원, 금융회사, 전문가 등)를 통해 검토 추진
3. 클라우드 서비스 이용 감독·검사 강화
|
◈ 금융회사 클라우드 서비스 이용 관련 보고의무를 강화하고, 클라우드 서비스 제공자에 대한 감독·조사업무 근거를 마련 |
□ (현행) 금융회사가 전자금융보조업자(클라우드)와 계약시 전자금융거래의 안전성·신뢰성 확보를 위해 일정 기준을 준수토록 요구
□ (개선) 금융회사를 통한 간접 감독을 강화하는 한편, 법령개정을 통해 전자금융보조업자에 대한 감독·조사 근거를 마련
① 클라우드 서비스 이용 관련 금융회사의 보고의무 강화
② 전자금융보조업자(클라우드 서비스 제공자)에 대한 감독당국의 직접 감독·조사권 확보하는 방안을 검토(법개정 사항)
|
|
< 「금융권 클라우드 이용확대」 단계별 추진계획 > |
|
|
|
||
|
|
||
|
|
||
|
Ⅴ |
|
기대 효과 |
[1]핀테크기업들이 특별한 제약없이 클라우드를 활용해서 적은 비용으로 쉽게 개발할 수 있는 여건을 마련
ㅇ 보안성을 확보한 클라우드를 통해 핀테크기업은 초기 시스템 구축·관리 비용 부담을 덜고, 핀테크 서비스 안전성은 향상
[2] 금융권은 클라우드 플랫폼을 이용해서 빅데이터 및 인공지능 기술을 보다 자유롭게 테스트하고 혁신적인 서비스를 출시
ㅇ 복잡해지는 국내외 금융규제 환경변화에도 빠르고 유연하게 대응
|
(사례) IFRS17 플랫폼 구축시 클라우드를 통해 비용부담을 줄이고, 보험계리분석·회계관리·투자분석 프로그램 등을 쉽게 이용
* 2021년부터 보험회사에 새로운 보험계약 회계기준인 IFRS17 적용 예정, IFRS17 시스템 신규 구축 시 고성능 연산 능력이 필요해 보험회사에 부담 |
[3] 금융회사·핀테크기업이 클라우드를 활용해 협력을 강화하고, 각자의 강점을 발휘함으로써 국내 금융산업 경쟁력도 향상
* 예) 금융회사는 API 등 핀테크 서비스 개발을 위한 클라우드 인프라 제공 → 핀테크 기업은 클라우드 內에서 안전하고 쉽게 핀테크 서비스를 개발
|
Ⅵ |
|
향후 계획 |
□금융권 클라우드 제도개선 TF* 구성 : 7월
* 금융감독원, 금융보안원, 금융회사, 클라우드 서비스 업체, 전문가 등
ㅇ감독규정 개정안 마련 → 업계, 전문가 의견 수렴(간담회 등, 8월~9월)
* 업계 수렴 의견, 제도개선 효과 등을 종합 검토하여 제도개선(안)을 확정하고,「전자금융감독규정」개정을 추진
□「금융권 클라우드 서비스 가이드라인」개정 : 8월~12월
□전자금융감독규정 개정안 시행 : ‘19.1월(예정)
※ 별첨 : 금융권 클라우드 이용 확대 방안