비중요 정보로만 제한됐던 금융권 클라우드 이용범위가 개인신용정보로까지 확대된다.
금융위원회는 이런 내용을 골자로 한 전자금융감독규정 개정안을 내년부터 시행하기로 했다고 7일 밝혔다.
클라우드는 소프트웨어와 데이터를 인터넷과 연결된 중앙 컴퓨터에 저장해 인터넷에 접속하면 시간과 공간 제약 없이 데이터를 이용할 수 있도록 하는 서버를 의미한다.
금융회사와 전자금융업자는 앞으로 인공지능 상담·상품개발·데이터 분석 등을 위해 개인신용정보나 고유식별정보 등 중요정보를 클라우드에서 이용할 수 있다.
이에 따라 서비스 내부통제가 강화된다.
앞으로는 금융사가 클라우드 서비스 안전성을 평가하고 자체 정보보호위원회 심의·의결을 거쳐야 한다. 또한 정보 중요도에 따라 클라우드 이용현황을 감독당국에 보고하고 법적책임, 감독·검사 의무 등을 계약서에 명확히 제시해야 한다.
개인신용정보처리는 국내 소재 클라우드만 허용된다. 사고로 인한 법적분쟁이나 소비자보호, 감독관할 등을 고려한 조치다. 이밖에 서비스 안전성 기준도 새로 마련된다.
금융위는 규제를 완화해주는 대신 업권 보안수준과 관리·감독체계를 강화하기로 했다. 특히 금융사·클라우드 제공자 간 법적 책임을 명확히 한다는 방침이다.
클라우드 제공자는 금융사에 데이터 물리적 위치를 알리고 정보보호 의무와 서비스 장애 방지대책 등 클라우드 관리·보안 요구사항을 이행해야 한다. 전산센터 내 필수 인력을 배치하고 사고대응과 복구가 신속히 이뤄지도록 개인신용정보 처리시스템을 모두 국내에 설치하도록 조치할 예정이다.
손해배상, 재판관할 사항 등을 계약서에 명시해 금융회사 클라우드 제공자간 법적 책임관계를 구분토록 하기로 했다.
고객 피해가 발생하면 금융사가 이용자에 직접 손해를 배상하고 크라우드 제공자는 연대 배상책임을 부담해야 한다. 고의·과실로 서비스 품질이 저하되거나 장애가 발생하면 클라우드 제공자가 금융사 손해를 배상토록 할 계획이다.
데이터 보호장치 마련도 주문하기로 했다. 우선 클라우드 서비스를 이용하는 정보처리시스템과 동일 클라우드를 이용하는 외부 통신망을 분리하고 사고 발생 시 원인을 알 수 있도록 시스템 기록을 보존해야 한다.
중요정보는 암호화하고 클라우드 제공자 등 접근 권한이 없는 자는 열람하지 못하게끔 설정해야 한다.
범죄 수사를 위한 외국 정부 정보제공 요청 시 국내법 위반 소지가 있을 경우 거부할 수 있도록 할 방침이다. 클라우드 제공자는 해당국 관계법령을 사전에 보고하고 요청이 있을 경우 금융당국과 금융사에 사전 통지해 동의를 받아야 한다.
이번 개정안은 내달 1일부터 시행된다.
송금종 기자 song@kukinews.com
