안녕하십니까? 금융서비스국장 최훈입니다.

오늘 브리핑 드릴 내용은 ‘금융 분야 클라우드 이용 확대 방안’입니다.

그래서 앞으로 금융 분야에서 클라우드 이용이 보다 폭넓게 확대됩니다. 그동안 금융 분야의 디지털화에 발맞춰서 클라우드 규제를 개선해서 핀테크의 성장을 갖다가 촉진하고자 하는 내용이고요.

그동안 지난 2년간 금융권에서 비중요정보에 한해서 클라우드를 허용한 바 있습니다. 그래서 지난 2년간의 금융권의 클라우드 활용 경험이랄지, 그다음에 클라우드를 이용한 기술금융의 가속화 현상, 융합 가속화 현상 등을 고려해서 클라우드 이용 확대를 추진하고자 하는 것입니다.

그런데 이 클라우드 이용 확대와 병행해서 금융권의 보안 수준과 관리체제를 강화해서 보안에 대한 우려를 해소하고 해외사례와 같이 관리·감독체제를 보다 효과적으로 구축하는 방안을 마련하였습니다.

기본적인 내용은 클라우드 활용 정보 범위를 기존의 비중요정보에 한하였던 것을 개인신용정보 등을 포함하는 방향으로 확대하고요. 금융권 클라우드 서비스 이용 제공기준을 마련해서 안전성 관리를 강화하고자 합니다. 또한, 금융권 클라우드 이용현황에 대한 모니터링을 강화하고 적절한 감독·검사체계를 마련하는 내용입니다.

이러한 내용들을 관련 규정을 정비가 마쳐지는 대로 해서 내년 1월부터 시행코자 합니다.

우선 추진 배경에 대해서 간략히 말씀을 드리겠습니다.

ICT 기술이 발전함에 따라서 금융 분야의 디지털화가 폭넓게 확산되고 있습니다. 디지털 혁명을 대표하는 기술인 인공지능, 블록체인, 클라우드, 빅데이터 등에서 기술과 금융의 융합 현상이 가속화되고 있습니다.

이 가운데 클라우드의 경우에는 금융회사가 외부에, 클라우드 제공자에게 외부주문의 형식의 하나로서 IT 자원을 직접 구축하지 않고도 필요한 만큼 빌려 쓰는 공유 환경을 제공하는 것입니다.

클라우드 이용자의 경우에는 다양한 IT 자원 또는 IT 서비스를 빌려서 이용하고 이용량에 따라서 비용을 지불하게 되기 때문에 업무 생산성이 증진되고 비용 절감이 가능해집니다.

한편, 최근에 AI라든가 빅데이터 등의 신기술과 금융 접목 확대로 금융권 클라우드 활용과 관련해서 추가적으로 규제를 정비해야 된다는 요구가 증가해 온 것이 사실입니다.

그리고 특히 은행·카드, 핀테크 기업 등 각 업권에서 클라우드 규제완화 건의가 지속적으로 제기된 바 있고, 그동안 저희 금융위원회는 금융기관 관계기관과 전문가의 의견을 충분히 수렴한 바 있습니다. 이를 통해서 보안장치라든지 감독체계 강화를 전제로 해서 금융회사와 핀테크 기업이 안정적으로 클라우드를 활용할 수 있는 제도 개선을 검토한 바 있습니다.

금융 분야의 클라우드 현황에 대해서 말씀드리면요.

우선 이용 현황입니다.

국내적으로 현재, 2018년 3월 현재 총 38개 금융회사에서 업무처리라든지 부가서비스 제공 등의 목적으로 클라우드 시스템을 이용하고 있습니다.

그동안에 클라우드 이용의 범위에 제한이 있었기 때문에 주로 개인정보와 관련이 없는 내부업무 처리라든지 고객서비스, 회사·상품 소개 등에 활용한 바 있습니다.

해외의 경우에는 용도가 제한되어 있는 국내에 비해서 해외에서는 제한이 없기 때문에 금융회사별 수요에 따라서 다양한 방식으로 클라우드 서비스를 이용하고 있습니다.

일부 금융회사의 경우에는 내부 지원업무뿐만 아니라 뱅킹서비스와 같은 핵심 시스템 자체도 클라우드 서비스로 이전하는 현상들이 증가하고 있습니다.

클라우드 이용에 대한 규제와 감독 현황에 대해서 말씀드리면 국내적으로는요. 금융회사·전자금융업자는 클라우드 컴퓨팅 이용을 위해서 전자금융거래에 미치는 영향이 낮은 시스템을 비중요정보로 구분해서 이 비중요정보에 대한 지정을 받아서 활용할 수 있도록 돼 있습니다. 다만, 그동안에는 개인신용정보와 고유식별정보를 처리하는 정보시스템은 비중요시스템으로 지정하지 못하도록 되어 있었습니다.

반면에 비금융 분야에 있어서는 클라우드의 이용 제한이 없습니다. 클라우드에 이용되는 정보에 관한 사항들은 개인정보보호법 등에 따라 정보보호와 제공하는... 정보보호 및 제공에 관한 규제를 적용을 받게 됩니다.

클라우드의 경우에는 아웃소싱의 하나이기 때문에 정보처리 업무위탁이며, 이 클라우드 서비스를 제공하는 기업은 전자금융보조업자로서 제한적인 감독을 받는 그런 상황이었습니다.

해외의 경우에는 주요 선진국의 경우, 클라우드 이용을 직접적으로 규제를 하지 않고 가이드라인을 통해서 자율적으로 준수하도록 하고 있고, 감독방식은 나라마다 좀 차이가 있습니다.

주요국들의 경우에는 권고 또는 지침, 뭐 가이드라인 등의 형태를 통해서 클라우드 제공 업체 그다음에 보안 및 감독 관련 내용을 계약서에 명시하도록 하는 그런 방식으로 규제를 합니다.

다만, 클라우드 제공 업체에 대해서 EU와 영국 같은 경우는 직접적인 감독을 하고 있습니다만, 싱가포르나 미국 같은 경우에는 금융회사를 통해서 간접적으로 감독하고 있습니다. 이것은 우리나라 같은 경우에 전자금융거래법상에 전자금융업자를 감독하는 방식과 좀 유사하다고 할 수 있습니다.

금융 분야 클라우드 현황에 대해서 이용 측면과 개인정보보호 측면, 그리고 금융 보안과 관리·감독 측면에 대해서 간략히 말씀드리겠습니다.

클라우드 이용 측면에서 보시면, 2016년 10월 금융권 클라우드 활용 방안 도입 당시에 개인신용정보의 민감성 등을 고려해서 중요도에 따라 정보를 구분하고, 비중요정보에 한해서 클라우드 이용을 허용하는 방식으로 하여 왔고, 그동안에는 이 클라우드 활용 현황에 대해서 안전성 분야라든지 이런 부분들을 계속해서 실증하여 왔습니다.

지난 2년 동안 클라우드 활용 현황에 대해서 저희가 점검을 해본 결과, 서버비용의 절감 등의 효과는 있었습니다만, 이용범위가 제한되었기 때문에 금융회사가 클라우드를 갖다가 이용해서 서비스를 적용하고 개발하는 것은 제한되어 있었고, 핀테크 기업에게 있어서는 좀 진입장벽으로 작용된 것이 사실입니다.

클라우드 이용의 범위를 제한하고 있기 때문에 핀테크 기업은 IT 설비를 초기에 구축해야 되는 막대한 비용이 좀, 투자비용이 들어가기 때문에 초기에 시장진입의 비용으로 작용하였던 것이 사실입니다.

따라서 금융회사와 핀테크 기업이 비용 절감, 생산성 제고와 동시에 새로운 서비스를 개발해 나갈 수 있도록 클라우드 이용범위를 확대할 필요가 있다고 보여집니다.

개인정보보호 측면에서 클라우드는 기본적으로 금융회사가 IT 자원을 빌려서 사용하는 것이기 때문에 통상적으로 개인정보의 제공이라든가 유통과는 관련이 없습니다. 금융회사의 경우에는 개인정보를 클라우드 내에서 저장하고 활용하기만 할 뿐이지, 유통을 시키는 것은 아닙니다. 따라서 사실은 개인정보 남용이라든가 침해문제가 발생하지는 않습니다.

현재 개인정보보호법령상 클라우드 활용을 금지하는 규정은 없습니다. 그래서 비금융 분야에 있어서의 클라우드 활용은 제한 없이 이용되고 있습니다만, 금융권의 경우에는 정보 중요도에 따라 좀 제한하는 방식으로 운영해 왔던 것이 사실입니다.

따라서 개인정보보호법 또는 신용정보보호법 기준으로 보호조치를 강화를 하되, 전자금융업 감독규정에만 존재하고 있는 클라우드 제한 규정을 정비할 필요가 있다고 여겨집니다.

그 뒤의 표에 보시면, 개인신용정보 제공·운영되는 것들이 실제 유통되는 것들은 금융회사와 신용정보원에 정보 제공되는 내용들이 신용정보회사를 통해서 가공·유통되는 이 상황입니다. 이것은 실질적으로 개인신용정보가 시장에서 유통되는 방식을 말씀드리는 건데요.

클라우드 같은 경우에는 책임을 부담하는 금융회사라든가 핀테크 기업들이 클라우드 저장공간을 활용합니다. 따라서 정보의 유통이 이루어지지는 않습니다.

금융보안 측면에 대해서 그동안의 상황에 대해서 말씀을 드리면, 우리나라의 경우에는 금융보안의 중요성이랄지 또는 지정학적 특수성 등 이런 또 사이버 리스크에 대한 보안 강화 노력이 필요한 측면이 있습니다. 따라서, 경제적인 이익을 목표로 한 사이버 침해 공격이 빈발하고 있는 측면도 있기 때문에 금융 분야의 경우에 금융정보 유출에 따른 피해 규모 등 파급효과가 컸습니다.

그래서 그동안 2016년 10월에 클라우드가 허용이 됐습니다만, 그동안에는 클라우드 이용범위를 갖다가 제한적으로 운영해 왔던 것이 사실입니다. 그래서 앞으로는 클라우드 이용범위를 확대는 하되, 중요정보에 대한 보호장치를 더욱 강화하고, 금융권 자율 보안수준을 향상시켜 나가는 방향으로 관리할 필요가 있다고 여겨집니다.

관리·감독 측면에서 클라우드 서비스 제공자는 전자금융보조업자입니다. 그래서 거기에 따른 감독을 받지만 금융당국의 직접적인 감독대상은 아닙니다. 그래서 앞으로는 클라우드 이용 확대 조치가 따라가기 때문에 클라우드 서비스 제공자에 대한 금융당국의 감독 방안을 보강할 필요가 있습니다.

그래서 종합적으로 지난 2년간의 금융권의 클라우드 활용 경험이랄지, 클라우드를 활용한 기술과 금융의 융합 추세가 가속되는 상황 등을 종합적으로 감안해서 클라우드 이용 방안을 마련하였습니다.

클라우드 이용 확대를 추진한... 확대 방안과 병행해서 금융권의 보안수준과 관리체제를 강화함으로써 보안문제에 대한 우려를 해소하고, 해외 사례와 같이 관리·감독체계를 보다 효과적으로 구축하고자 합니다.

개선 방안에 대해서 말씀드리겠습니다.

첫 번째, 클라우드 이용, 서비스 이용범위 확대입니다.

금융회사·핀테크 기업이 클라우드를 통해 활용할 수 있는 정보의 범위를 현재는 비중요정보로 제한되어 있습니다만, 개인신용정보와 고유식별정보를 포함하는 내용으로 확대하고자 합니다.

현재 단 한 건의 개인신용정보나 고유식별정보가 있어도 클라우드 이용이 제한이 되기 때문에 핀테크 기업에게 진입장벽으로 작용한 측면이 있습니다.

또한, 금융회사 같은 경우에도 AI라든가 빅테이터 등의 신기술을 이용해서 상품서비스를 개발하려고 해도 개인신용정보를 활용할 수가 없어서 제약이 있었습니다. 따라서 개인신용정보·고유식별정보를 처리하는 중요정보처리시스템도 앞으로는 클라우드를 활용할 수 있도록 하고자 합니다.

현재 전자금융감독규정에만 존재하는 클라우드 제한 규정을 정비해서 이용범위를 확대하는 내용이고요.

또 사고가 만약 발생했을 때 법적 분쟁, 소비자보호·감독관할, 개인정보보호 등의 문제에 있어서... 있기 때문에 일단 첫 단계로는 국내에 소재한 클라우드에 한해서 우선 허용하고자 합니다. 국외 허용 여부에 대해서는 중장기적으로 검토할 것이고요.

다만, 개인신용정보와 고유식별정보는 클라우드 활용 여부와 관계없이 개인정보보호법과 신용보호법 등 개인정보보호법령에 따라서 보호·관리된다는 점에 대해서 다시 한 번 강조를 해 드리고자 합니다.

클라우드 서비스 기준에 대해서 확대조치와 함께 클라우드 이용 서비스 기준을 도입하고자 하는데요. 금융보안의 중대성이라든지 이런 부분들이 있기 때문에 금융권 클라우드 서비스 이용과 제공기준을 수립해서 운영하고자 합니다.

중요정보도 앞으로는 클라우드를 이용할 수 있도록 하기 때문에 안전성을 확보하기 위한 조치라고 이해하시면 되고요.

큰 내용으로는 클라우드 서비스 이용 제공 기준을 마련하는 내용입니다.

금융회사의 경우에는 중요정보를 클라우드를 통해서 이용하려고 할 경우에 안전성 관리를 강화해야 되고요. 제공자의 경우에는 금융의 특수성을 반영해서 클라우드 서비스 제공자에게 기본적으로 준수해야 할 기준을 마련해 놓는 것입니다.

두 번째로, 금융 분야 클라우드 서비스 기준 운영 방안에 대해서는 지금 방식은 지금 내년 1월 시행 이전에 저희가 확정하겠습니다만, 자율통제방식과 인증제방식 2가지 방식이 있습니다. 이 부분에 대해서는 검토해서 저희가 최종 확정을 하려고 하는 거고요.

이 클라우드 서비스 기준 운영 방안에 대해서는 사례가 2가지 방식이 있습니다.

EU와 같은 해외에서는 금융회사가 자율적으로 클라우드 이용을 결정하는 방식으로 하는 방식이 있고요. 국내 공공클라우드 같은 경우에는 인증제를 도입하고 있습니다. 그래서 저희 같은 경우에도 금융권 클라우드 이용에 대해서 인증제를 도입하는 이 2가지 방안을 놓고서는 T/F를 통해서 검토해서 최종 확정을 하고자 합니다.

이상의 조치와 함께 클라우드 서비스 이용에 따른, 이용 확대에 따른 감독과 검사 강화도 병행하고자 합니다.

현재는 금융회사가 클라우드 서비스 제공업자인 전자금융보조업자와 계약할 경우에 전자금융거래의 안전성·신뢰성 확보를 위해서 일정 기준을 준수토록 요구하고 있는데요. 앞으로는 금융회사를 통한 간접 감독을 강화하는 한편, 법령개정을 통해서 전자금융보조업자에 대한 감독과 조사근거를 마련하고자 합니다.

이번에 클라우드 이용 확대 방안에 따른 기대효과를 말씀드리겠습니다. 저희 보도자료로 보면 7페이지가 되겠습니다.

핀테크 기업의 경우에는 앞으로 특별한 제약 없이 클라우드를 활용해서 적은 비용으로 쉽게 개발할 수 있는 여건을 마련하게 됩니다.

보안성이 확보되어 있는 그런 클라우드를 통해서 핀테크 기업은 초기시스템의 구축이라든지 관리비용의 부담을 덜고, 핀테크 서비스의 안전성은 오히려 향상되는 효과가 있을 것으로 기대됩니다.

금융권의 경우에는 클라우드 플랫폼을 이용해서 빅데이터라든지 인공지능기술을 보다 자유롭게 테스트하고 혁신적인 서비스를 출시해 나갈 수 있는 효과가 있다고 생각이 되고요. 앞으로 더욱더 복잡해지는 국내 금융규제 환경 변화에도 빠르고 유연하게 대응할 수 있을 것으로 여겨집니다.

지금 IFRS17이 이제 2021년부터 도입되는데요. 이때 IFRS17 플랫폼 같은 것을 구축할 때 클라우드를 갖다가 활용하게 될 경우에는 비용부담도 줄이고 또는 보험계리분석이라든지 회계 관리·투자분석 프로그램 등을 쉽게 이용할 수 있는 그런 효과가 있다고 여겨집니다.

금융회사와 핀테크 기업이 앞으로 클라우드를 활용해서 협력을 강화하고 각자의 강점을 발휘함으로써 국내 금융산업의 경쟁력도 전반적으로 향상할 수 있는 그런 점을 저희는 기대하고 있습니다.

향후 계획에 대해서 말씀드리겠습니다.

이번 저희가 운영 방안 바로 오늘 발표와 함께 금융권 클라우드 제도개선 T/F를 즉시 구성하고자 합니다.

금융위원회와 금융감독원 또는 금융보안원, 금융회사와 클라우스 서비스업체, 전문가 등으로 저희가 바로 구성해서 감독규정 개정안을 마련하겠습니다. 이 과정에서 업계 전문가 의견도 수렴을 하고자 합니다.

이런 업계 의견 수렴과 이런 것을 종합해서 제도개선안이 확정되면 전자금융감독규정을 하반기 중에 개정을 하고자 합니다.

또한, 금융권의 서비스, 클라우드 서비스 가이드라인을 기존에는 비중요정보에 한해서 가이드라인이 있었습니다만, 중요정보가 포함되는 내용이기 때문에 이것을 전면 개정을 하반기 중에 추진하고자 합니다.

이렇게 해서 서비스 가이드라인과 전자금융감독규정 개정이 완료되면 내년 1월부터는 확대된 클라우드 서비스 이용이 가능해질 것으로 생각하고 있습니다.

이상 말씀드렸고요. 보다 자세한 내용은 금융권 클라우드 이용 확대 방안 저희가 별첨해 드린 자료를 참고하시면 되겠습니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 제가 내용을 몰라서 여쭤볼게요. 이게 감독규정만 갖고 되는 건지, 그러니까 행안부하고, 개인정보보호 소관부처인 행안부하고 협의가 아예 필요 없는 건가요?

그리고 두 번째로 위원장님께서 '빅데이터 규제완화'를 계속 강조하시는데, 오늘 금융 클라우드 이용 확대 방안이 위원장님께서 강조하시는 이런 빅데이터 활성화하고 어떻게 연관이 될 수 있는지 설명 좀 해주세요.

<답변> 그래서 사실은 이게 오늘 뭐 카메라 이렇게 있는 상태에서 그게 아니고 조금 자세하게 설명을 드리려고 저희가 이 설명 때문에 그래서 그런 건데, 저희가 이 안에다가 지금 사실은 개인정보보호 측면이라는 걸 말씀, 왜 특별히 강조해서 넣어드렸냐면 클라우드는 개인정보보호 문제하고는 사실 관련이 없습니다. 그런데 이 '개인신용정보'라는 내용들이 클라우드업체에 보관·저장이 되는 형식이거든요. 그러다 보니까 개인신용정보에 대한 우려가 있을 수가 있기 때문에 저희가 그 말씀을 드린 건데, 이건 정보 자체와 관련돼 있는 것이 아니고 정보를 저장하는, 저장하고 활용하는 방식에 관한 문제입니다.

그래서 현재 사실은 국내 공공기관을 포함해서 어느 데도 사실 클라우드 이용제한이 없습니다. 그런데 저희 금융권 같은 경우에는 클라우드 이용에 대한, 지금 말씀하셨던 그 개인정보보호에 대한 문제가 있을 수 있기 때문에 그동안에는 이 클라우드에다가 저장할 수 있는 정보의 내용을 '비중요정보'로만 이렇게 제한을 해왔던 내용이고요.

그래서 실질적으로는 개인정보보호와는 무관했던 내용, 무관한 내용입니다만, 그걸 저희 이용 확대 방안 쪽에도 조금 더 구체적으로 왜 이게 개인정보보호와 관련이 있는 사항은 아니다, 라는 말씀을 8페이지부터 해서 조금 이렇게 자세하게 기술을 해놨는데요.

이것 재차 말씀드리면 개인정보보호와는 관련이 없습니다만, 정보처리방식에 관한 그런 규제가 있었던 것이고, 그래서 이번에 확대하는 내용들은 금융권에만 제한적으로 클라우드를 갖다가 제한을 해놨던 내용이기 때문에 이 부분을 지난 2년간 동안에 저희가 개인정보보호 문제를 포함해서 전반적인 보안사고의 위험이... 오히려 더 있기 때문에 그 부분에 대한 경험이라든지, 저희가 비중요정보를 통해서 클라우드를 이용하게 했던 그 2년간의 경험 같은 것들을 평가를 해보고 추가로 확대하는 조치를 하는 내용이고요.

이게 '빅데이터와 어떻게 관련될 수 있느냐?'에 대한 거는 컴퓨팅 환경을 보다 좀 이렇게 확대해 주는 내용이라 보시면 됩니다. 이게 클라우드에 대해서 저희가 참고자료 형태로 해서 여러 가지를 붙여드렸는데, 클라우드라는 게...

저희가 이용 확대 방안에 보시면, 2페이지에 있습니다. 참고로 저희가 '클라우드 컴퓨팅'이라는 부분을 저희가 해드렸는데, 일단 기본적으로 클라우드 서비스는 크게는 3가지 정도로 구분이 됩니다. 단순히 storage, 저장공간만을 제공하는 경우가 있고요. 그다음 플랫폼을 제공하는 경우가 있고 또 서비스까지 제공하는 경우도 있습니다. 어떤 소프트웨어 같은 경우를 제공하는 경우가 있는데, 이 3가지 형태의 것들을 사실은 현재 같은 경우에는 이런 것들을 이용하려고 해도 '비중요정보'라고 되어 있는 내용들만 금융회사가 가지고 있는 자체적인, 자기네들 회사들이 가지고 있는 인사정보라든지 아니면 내부의 행정처리에 관한 정보라든지 이런 것들만 그쪽에서 저장을 해놨던 상태거든요.

그런데 실질적으로 금융회사의 업무 자체는 개인신용정보를 포함해서 거래정보 이런 내용들이 들어가서 그런, 이 클라우드라는 건 그러니까 이용상에 제약이 굉장히 없습니다. 그러니까 필요에 따라서 transaction이 늘어나는, 거래가 늘어날 경우에는 그 클라우드 활용범위를 갖다가, 서버를 갖다가 확충시키는 거고, 없을 때는 또 줄여가는 식으로 탄력적으로 이용할 수가 있거든요.

거기에다가 소프트웨어라든가 플랫폼까지도 활용할 수 있기 때문에 이런 금융회사가 가진 정보가 이런 클라우드 컴퓨팅이라는 이 시스템이 갖고 있는 것과 결합을 한다면 보다 효과적으로 서비스 개발이라든지 이런 측면에서 효과가 더 배가가 될 수 있다는 거고요.

금융회사 같은 경우는 사실, 특히 은행이라든가 이런 경우에는 지금 컴퓨팅 환경이 엄청나게 투자도 많이 이루어지고 해서 자체 능력이 있습니다만, 핀테크 기업 같은 경우에는 사실은 자기네들이 스스로, 이런 아까 말씀드렸던 저장장치도 있어야 되고 플랫폼도 갖춰야 되고 소프트웨어도 갖춰야 됩니다. 그러니까 이게 초기 투자비용이 엄청나게 되기 때문에 사실 클라우드를 이용하지 못하면 본격적인 서비스를 개발하는 데 굉장히 한계가 있을 수밖에 없거든요.

그래서 지금 해외 주요 강력한 핀테크 기업들로 급격하게 성장하고 있는 기업들 같은 경우에는, 뭐 '구글' 쪽이라든지 '아마존'이라든가 이쪽에서 제공하는 클라우드를 이용을 해서 컴퓨팅 파워 같은 것을 빌려 쓰는 개념이기 때문에 초기 투자비용이 굉장히 작죠. 그리고 거기에 필요한 소프트웨어 개발환경이라든지 소프트웨어를 직접적으로 이용하기 때문에 서비스를 보다 강화해 나갈 수 있다는 뜻입니다.

그래서 금융권 빅데이터 저희가, 장관님께서 강조하시는 이용 방안에 관한 거는 그 정보 자체, 데이터 자체에 관한 것들을 활용도를 높이자는 취지에서의 말씀이시고요. 지금 이 클라우드 이용은 데이터 자체에 대한 문제는 아닙니다만, 데이터 이런 방안들이 나중에 추가적으로 클라우드 컴퓨팅의 환경과 결합이 된다면 금융서비스를 개발하고 적용해 나가는 데 있어서는 훨씬 더 효과는 더 강력해지리라고 저희는 보여집니다.

<질문> 이게 중요정보로 확대한다고 되어 있는데, 그러면 그냥 단순히 생각이 드는 게 정보는 중요정보하고 비중요정보밖에 없을 것 같은데 그럼 모든 정보로 다 확대한다고 보면 되는 건가요?

<답변> 기본적으로 그렇게 보시면 됩니다. 그러니까 저희 금융권에서만 사실은 그 제한이 공공정보들 포함해서, 공공기관을 포함해서 다 클라우드 이용에 대해서 지금 우리나라에는 제한이 없습니다. 그게 제한이 없는데, 금융권에서는 무슨 정보, 개인신용정보에 대한 민감성이라든가 이런 것들이 있어서 저희가 좀 '제한적으로 초기부터 운영을 해오자' 하는 방침에 따라서 2016년에 비중요정보만 이용할 수 있도록 하는 방식으로 해왔던 거고요.

그래서 지금 그동안 2년간의 경험을 보니까 충분히 보안성이라든가 이런 부분들에 있어서의 우려는 많이 덜어졌기 때문에, 비금융 분야와 마찬가지로 클라우드 컴퓨팅을 허용해 주시는 거라고 보면 됩니다.

<질문> ***

<답변> 네. 그리고 아까 여기서 설명을 드렸습니다마는 이 정보, 클라우드 컴퓨팅이라는 것은 사실은 인터넷을 이용해서 클라우드 서버에 저장돼서 이용되는 형태가 되기 때문에 소재, 이것이 어디에, 물리적으로 어디에 소재하느냐에 관한 문제가 좀 있습니다. 그래서 현재는 저희가 감독이 미치지 않을 수가 있기 때문에, 국외 부분은. 그래서 국내에 소재한 클라우드 컴퓨팅에 한해서 이번에 이용 확대가 되는 거고요.

<질문> 그래서 그것도 여쭤보려고 했는데요. 비금융 쪽은 제한 없이 지금 클라우드를 이용하고 있는데 그럼 비금융 쪽은 국외도 그냥 할 수 있는 건가요?

<답변> 국외도 할 수 있습니다.

<질문> 그런데 왜 금융은 국내로만 제한한다는 말씀이신가요?

<답변> 그러니까 이게 해외에서도 그 부분에 대한 고민의 차이가 좀 있습니다. 그래서 아예 그런 것 제한도 없는 나라가 있고요. 제한이 없이 운영하는 나라가 있고. 계약을 통해서, 그러니까 기본적으로 이거는 자기정보를 누구한테 여기다 보관해 달라고 하는 식으로 위탁을 하는 거거든요. 아웃소싱의 개념이기 때문에 이게 물리적으로 국내에 있느냐, 국외에 있느냐를 갖다가 따지는 것을 명확하게 구분되기는 어렵습니다마는, 통상적으로 그런 보호 필요성이 있다고 할 경우에는 국내 소재를 일단 먼저 하고요.

왜냐하면 나중에 보안 사고라든가 이런 것들이 있었을 경우에 감독당국에서 조사를 할 필요가 있거든요. 그래서 '감독당국의 접근권을 보장한다면 국외도 허용한다.'라는 형식으로 체제를 가져가는 나라도 있고요. 그렇지 않고 해외에서, 감독권을 해외로 확장하기 어려운 경우에 있어서는 국내로 물리적으로 소재, 물리적으로 국내 소재 클라우드 provider, 클라우드 제공자한테만 일단 허용하는 그런 방식도 있습니다.

그래서 저희는 국외 소재 여부는 그거는 조금 중장기적으로 보려고 하고요. 현재는 국내 소재에 한해서, 물리적으로 국내에 소재돼 있는 경우에 한해서 이용을 확대하고자 하는 겁니다.

<질문> 죄송합니다. 한 가지만 더 여쭤볼게요. 그러면 극단적으로 볼 때 예를 들어서 은행이나 이런 금융회사들이 클라우드를 이용한다고 하면 자체 전산시스템을 갖추지 않아도 되는 건가요?

<답변> 그렇습니다. 저기, 너무 저희가 두껍게 자료를 만들긴 했지만 많이 보시라고 하긴 했는데, 이거 기사 쓰실 때 다 이거 읽어보시기 어려워서 그러긴 합니다만, 이게 참고자료 형식으로 설명을 많이 드리려고 저희가 자료를 좀 두껍게 만들었는데, 여기에 해외 부분 쪽 좀... 어떻게 보면 그게 재미있는 내용이니까 말씀을 좀 드리면, 저기 3페이지에 보면요. 이용현황에 해외 이용현황입니다.

그래서 여기 '해외 금융회사들이 지금 어떻게 쓰고 있느냐?' 하는 것이 있는데, 전체 시스템 자체를, 핵심시스템 포함해서 전체 시스템 자체를 다 클라우드로 옮긴 곳도 있습니다. 영국의 Oaknorth은행 같은 경우에는, 그러니까 이게 다 은행 자체에 있는 모든 정보가 아마존 클라우드에 있는 겁니다. 이런 형태로 운영할 수도 있고요. 뭐 호주라든가 일본의 MUFG 같은 경우에도 사실 계정계 시스템을 장기적으로 클라우드로 이전해 나갈 그럴 계획을 갖고 있고요.

그다음에 금융서비스와 관련되는 부분에 있어서 일부 시스템들을 지금 옮겨나가는 경우들이 있습니다. 그래서 이것은 기존 금융회사들인 경우고요.

그런데 통상적으로 이 자체적인 데이터센터라든지, 데이터센터도 사실은 클라우드거든요, 프라이빗 클라우드지만. 자기가 자기 회사에서 관리하는 클라우드 형태인 거죠. 물리적으로 storage를 갖다가 거기에 두고 있는, 데이터센터를 두고 필요한 경우 거기서 정보를 갖다 쓰지 않습니까?

그것은 앞으로 금융회사들 간에 자기들이 IT투자라든가 경쟁력 확보 상황이든 또는 그 정보를 갖다가 어떻게 이용할 것이냐에 대한 자체판단이 우선 선행이 돼야 되겠지만, 기본적으로 금융회사들, 데이터센터라든지 이런 IT 시설들이 충분히 갖춰진 은행권 같은 이런 회사들은 클라우드를 전면 적용하기는 쉽지는 않을 겁니다.

그런데 특히, 이제 핀테크 기업이라든지 소형 금융회사 같은 경우에는 클라우드의 활용 가능성이 앞으로 높아지리라고 보여집니다.

<질문> 주신 자료 보면, ‘IFRS17 플랫폼 구축 시에 클라우드를 통해 비용부담을 줄이고...’ 이런 내용이 있는데, 지금 그렇게 하고 있는 데가 있는지 좀 궁금하고요.

그리고 지금 어떻게 보면 법을 개정하고 T/F도 구성하고 이런 단계인데, 지금 IFRS 플랫폼은 지금 구축하고 있는 걸로 알고 있는데, 지금 구축하는... 그러니까 지금 한마디로 지금 얘네들이 이렇게 만드는 단계에서, 지금 이렇게 법 개정이 되지 않은 상황에서 이런 식으로 시스템을 구축할 수 있는지, 개발하는 게 허용된 건지 궁금하고.

그리고 아까 약간 질문이 나오긴 했었는데, 이게 다른 정부부처와 이렇게 연결된 부분이 많을 것 같은데, 다른 정부부처와 협의를 좀 하셨던 건지, 이런 내용이 좀 궁금합니다.

<답변> 이것 아까 말씀드렸지만, 이게 클라우드에 대한 부분은 이 정보 자체를 다루는 것이 아니기 때문에 이것은 관련 내용, 개인정보보호법 그다음에 신용정보법 그것에 따른 보호는 그대로 다 받습니다.

지금 이것 말씀드렸던 것은 이 정보에 대한 아웃소싱을 어떤 방식으로 할 것이냐에 관한 문제이기 때문에 사실 클라우드 자체에 대해서는 제한이 없기 때문에 저희가 그동안에 전자금융감독규정상으로 저희만 제한적으로 운영해왔던 겁니다, 금융권에서만.

그래서 그것을 풀어나가는 내용이기 때문에 관계부처에도 저희가... 지금 과학기술부가 클라우드 컴퓨팅 확대 방안을 계속해서 추진을 하고 있거든요. 거기에 대한 어떤 일환이라고 보시면 되는데, 저희만, 사실 금융권에서만 좀 제한적으로 운영되어 온 것을 다른 쪽 전체적인 정부정책 방향과 부합하게 넓혀 나가는 것이라고 보시면 되겠습니다.

<질문> ***

<답변> 아, IFRS요?

<질문> ***

<답변> 지금 그러니까... 지금 말씀하신 게 보면, 우리 지금 보험사들도 대형 보험사들은 자체적으로 하잖아요. 자체적으로 준비를 하고 있는 것으로 알고 있고, 중소형사 같은 경우에 개발비용에 대해서 여러 가지 투입비용이 굉장히 막대하다는 것 때문에 애로를 사실 호소하고 있는데요.

IFRS 시스템 자체를 소프트웨어적으로 하는 방법이 있고, 이것을 어디에다 저장해서 활용하는 방식이 있고. 그래서 아까 말씀드렸던 클라우드라는 게 단순히 정보를 저장하는 것만 말하는 것이 아니고요. 플랫폼으로 활용하는 것과 소프트웨어를 이용하는 방법 여러 가지 방식이 있거든요.

그래서 중소형사들이 지금 내년... 지금 개발 중에 있습니다만, 어떤 방식으로 이것을 해나갈 것인지에 대해서는 실질적으로 수요가 있기 때문에 이게 2021년도에 IFRS17 시행 전에 이 방법에 대해서 만약에 중소형 보험사들 간에 합의가 이루어지고 하면, 클라우드 이용환경 컴퓨팅으로 해서도 대비를 할 수 있다고 저는 생각이 됩니다.

이게 내년 1월 초에 시행이고요. 저희가 지금 이제 보험사들이 하고 있는 것은 시스템을 계속 개발 중에 있거든요. 그러니까 그게 물려서 간다면 내년 이후에는 이 방향으로 해서 움직일 수도 있을 것이고.

그다음에 아까 말씀드렸던 대로 이 IFRS라는 이 시스템적으로, 회계적으로 처리하는 시스템이 있고, 그다음에 들어오는 정보들을 가지고서는 그것을 갖다가 서비스 개발하는 걸로 활용해야 되는 그런 방식이 또 있을 수 있거든요.

그러니까 여러 가지 방... 클라우드 컴퓨팅을 이용해서 할 수 있는 다양한 것이 있기 때문에 어느 것을 할 것이냐는, 어느 부분을 이용할 것이냐에 대해서는 그것은 해당 보험사들이라든가 이런 게 자체적으로 결정을 해야 될 건데, 저희가 이런 기반이 마련되면 IFRS17 준비하는 과정에서 활용할 수 있을 거라고 저희는 생각이 됩니다.

<질문> 국내에 클라우드 제공 업체들이 어느 정도인지는 모르겠는데요. 일단 핀테크 업체나 금융사들이나 이렇게 비용절감, 이익을 더 창출하기 위해서 이제 규제를 풀어주는 것이지 않습니까?

<답변> 네.

<질문> 그런데 이게 자연재해나 해킹 등의 문제로 그런 클라우드 시스템에서 문제가 생겼을 경우, 태풍으로 데이터센터가 잠기는 경우는 없겠지만 최악의 경우 그런 것을 가정했을 때. 그런데 금융위에서는 이것을 규제는 풀어주는데 그러면 앞으로 이것을 사고를 방지하기 위해서 핀테크 기업이나 금융사들의 어떤 규제를 좀 더 구체적으로 만드는 것을 검토하시는 건지, 아니면 외국은 자율적으로 미국 같은 경우가 많이 그런데, 자율적으로 하는데 거기에 대한 피해가 발생되면 금융사가 책임을 지든지... 복구하는 책임을 져라, 이런 식인데, 앞으로 그러면 문제 발생했을 때 제재나 처벌을 강화하실 건지, 아니면 규제를 더 많이 가져가실 건지 그 방침에 대해서 좀...

<답변> 아까 설명드린 내용이 크게 보면 이겁니다. 3가지를 크게 말씀을 드린 건데, 기본적으로 이용을, 클라우드 컴퓨팅을 이용하는 범위를 확대하겠다, 그런데 이것과 병행해서 해당 그것을 이용하려고 하는 금융회사, 그다음에 그 클라우드 컴퓨팅 환경을 제공하는 제공자, 여기에 대한 보안기준을 강화를 하겠다, 지금 현재 비중요 시스템에 관한 가이드라인이 있습니다만, 이것을 전면개정해서 강화하겠다, 하는 내용이 있고. 그다음에 감독체계도 강화하겠다, 그러니까 좀 더 이용은 확대되지만 여기에 따른 보안장치나 감독체계는 강화되는 내용입니다.

그래서 저희 15페이지에, 저희가 설명 자료에 방안 15페이지에 보시면 클라우드 제공 환경에 따라서 사실은 과학기술정통부에서 클라우드 컴퓨팅에 대해서는 정보보호에 관한 기준이 원래 있습니다. 어떻게 관리를 해야 되고, 어떻게 물리적으로 그 환경을 보호해야 되고, 기술적으로는 또 어떻게 해야 되는지가 있거든요.

그런데 그것에 대해서 공공기관에서 클라우드를 쓸 때는 조금 더 보호되... 강화되는 조치, 기준이 있고요. 저희 같은 경우에 지금 금융권에 특화된 보호기준을 만들려고 하고 있고 그것을 검토 중인데, 아까 말씀드렸던 대로 물리적인 위치를 국내로 한정하는 것들도 그것이 하나가 되고, 그다음에 접근권이라든지 현장조사권 같은 것들 저희가 가져가야 되지 않겠습니까? 현재는 없습니다만.

그다음에 사실 이것도 백업체계가 있거든요. 백업시스템이 다 뒤에 따라갑니다. 그러니까 일반적으로 클라우드에 들어가 있다고 해서 멸실되는 형태로 가져가지는 않고요. 금융권 백업체계를 마련한다든지 취약적 분석·평가, 비상대응, 통합보안관제라든지 이런 기준과 관련 가이드라인들은 충분히 앞으로 다 하반기 동안 마련될 겁니다.

요컨대, 그냥 이용확대만 하는 것이 아니고요. 거기에 따른 보안조치와 감독체계는 강화된다, 말씀드립니다.

<질문> 이런 질문을 드린 게요. 다른 내용일 수는 있는데 얼마 전에 우리은행이 75만 건 해킹 시도 사례가 있었고 또 어제인가는 또 네이트, 싸이월드 이게 또 개인정보 유출문제가 SK 책임은 없다, 라는 최종판결이 나왔다고 하는데, 이게 정말 큰, 크게 잘못될 경우에는 아예 서버 자체가 망가질 수도 있는 게 클라우드 시스템의 그럴 일은 없겠지만 위험인데.

최근에 소비자들, 금융소비자들 입장에서 불안감을 느낄 만한 사건들이 잊을 만하면 한 번씩 나오다 보니까 앞으로 계속 제재나 규제 이쪽으로 가는 게 맞다고 보시는지, 아니면 징벌적, 이것은 국내 정서상으로는 힘들다는 말씀도 많이 하시는데 이런 쪽을 고민하시는 게 일부 있는지 그게 좀 궁금해서요.

<답변> 지금 지난번 우리은행 케이스나 이런 것들은 어디 다른 쪽에서 나와 있는 정보를 가지고 그것을 가지고서는 시스템에, 우리은행에 있는 시스템에 접근하는 과정에서 생긴 문제고요.

그래서 단적인 예를 들어보면, 이를테면 어떤 아주 잘 나가는 핀테크 기업이 있다고 보시면 이 사람들이 자체 서버를 가지고 서비스를 운영한다, 라고 했을 때 여기는 사실은 금융권에서 금융 규제에서 요구하는 수준의 보안기준을 맞추기 위해서 노력은 합니다만, 핀테크 기업이 가지는 한계가 있기 때문에 자체 서버로 하다보면 보안수준이 떨어질 우려가 사실 많거든요.

그런데 지금 어떻게 보면 이런 기업이 만약에 조금 더 컴퓨팅 환경을 강화하고자 한다면 클라우드를 쓰는 것이 오히려 나을 수 있다는 것이죠. 왜냐하면 이제 국내 클라우드 자체가 가지고 있는 장벽을 쳐놓는 수준이 훨씬 더 강하기 때문에 그 핀테크 기업은 자체로 하다보면 오히려 거기에 있는, 거기와 거래를 하는 고객들 입장에서는 클라우드에서 오히려 하는 것이 이 기업보다 훨씬 낫다고 생각할 수도 있는 것이거든요. 그래서 그런 부분에 있어는 오히려 보안이, 핀테크 기업에는 오히려 보안을 더 강화해주는 수단이라고 보실 수 있을 거고요.

기존 금융회사도 자체 데이터센터라든가 이런 것을 통해서 물리적으로 굉장히 기술적으로 다 보안강화를 하고 있습니다만, 모든 정보를 계속해서 자체적인 방식으로 해 나가는 데 한계가 있을 수 있거든요. 그럴 경우에는 바깥에서 보안장치가 잘 되어 있는 클라우드 서비스를 이용하는 게 나을 수가 있다는 것이죠.

그래서 그 부분은 자기들의 자체적인 IT 투자에 대한 의사결정이라든가를 포함해서 해야 되겠습니다만, 그것을 통해서 클라우드를 이용할 수 있는 그런 부분을 좀 활성화하겠다는 취지이고. 그동안에는 너무 제한적으로만 비중요정보라고 했기 때문에, 이를테면 금융회사 입장에서 영업과 관련해서 별다른, 사실 부가가치가 없는 정보만 밖에 나뒀던 거라면 지금은 이제 조금 더 그런 제한 없이 클라우드를 활용할 수 있다는 취지로 이해하시면 될 겁니다.

아마존이라든가 구글이 전 세계적으로 지금 클라우드가 강하지만, 굉장히 제공을 많이 하고 있습니다만, 그쪽에서 가지고 있는 보안, 그 클라우드의, 클라우드 서버의 보안 상태가 일반 회사들이 스스로 소프트웨어를 개발하고 보안장치를 하는 것보다 사실은 훨씬 더 뛰어난 부분이 있거든요. 그럴 경우에는 클라우드를 쓰는 것이 오히려 일반소비자들 입장에서는 보안에 대한 우려를 더 줄일 수 있는 길이라는 것이죠.

<질문> 아까 국장님이 설명해 주셨던 것처럼 클라우드라는 게 사실상 물리적인 것만 있는 게 아니고 소프트웨어적인 것도 있고 플랫폼도 있잖아요?

<답변> 예.

<질문> 그렇기 때문에 저는 국내로 물리적 위치를 한정한다는 면이 이해가 잘 안 가는데, 제공업체의 법인이 국내에 있다는 건지, 아니면 국내 데이터만 활용하는 이런 건지 물리적 위치 한정에 대해서 조금 자세히 설명 부탁드릴게요.

<답변> 서버를 여기에 두라는 얘기죠. 물리적으로.

<질문> 그런데 서버 말...

<답변> 그러니까 왜냐하면...

<질문> 해외 업체들도 그러면 국내에서 여기 와서 서버만...

<답변> 그렇죠. 지금 대부분 설치를 하고 있습니다. 지금 추가로 어디가 와 있죠? 그게 아마존이 와 있고 구글이 검토하고 있는 중이고, 대부분의 나라들이 클라우드에 대한 수요가 많거나, 그러니까 우리나라에도 클라우드... 대형업체들 중심으로 클라우드업체들이 있습니다만, 전 세계를 무대로 하는 구글이라든가 아마존이나 이런 업체들도 클라우드 이용 수요가 많은 나라들에 대해서는, 우리나라처럼 국내적인 강제를 좀 하거든요.

왜냐하면, 이를 테면 금융당국이, 감독당국이 해외에 나가서 조사를 하는 것은 이게 역외적용하는 문제이기 때문에 쉽지 않을 수가 있거든요. 그래서 현장조사권을 확보하기 위해서 국내에다가 시설을 갖다 놓으라고 이렇게 요구를 하는 그런 규제를 적용을 합니다. 그래서 해외업체들도 우리 쪽에서 영업을 확대하기 위해서는 국내에다가 갖다놔야죠. 그리고 실제로 그런 움직임이 있고요. MS라든가 구글, 구글 같은 경우에 이미 지금 그렇게 하면서 앞으로 오히려 확대를 해나가겠죠.

고맙습니다.

<끝>

이전다음기사

다음기사정례브리핑