해외 클라우드에 국내 개인 금융정보 올라가는데...곳곳에 '구멍 숭숭'

내년 1월 시행에 들어가는 개정 '전자금융감독규정'을 두고 해외 클라우드 사업자에 대한 정부 규제 집행력 강화를 요구하는 목소리가 높다. 섣부른 시행보다는 안전장치를 충분히 갖추고 활성화에 나서야 한다는 주장이다.

개정된 전자금융감독규정은 금융기관과 공공부문 클라우드 활용 범위를 기존 비중요정보에서 개인신용정보와 고유식별정보까지 확대 적용한다. 핀테크 등 새로운 금융서비스 활성화가 목적이다. 아마존웹서비스(AWS) 등 국내 클라우드 시장을 독과점한 글로벌 사업자 클라우드 서비스에 은행 등 국내 금융기관이 보유한 민감한 개인정보가 실릴 수 있도록 문호를 개방했다. 한국인 개인정보가 해외 서버로 이동하는 것이다.

개정안은 이에 대한 안전장치로 고유식별정보 또는 개인신용정보를 클라우드에서 처리할 때 정보처리시스템을 국내에 설치해야 한다고 규정했다. 하지만 일각에서는 이 조항에 구멍이 있다고 지적한다. 관리시스템을 명시하지 않았다는 것이다.

백두현 KT 클라우드 팀장은 최근 한국인터넷기업협회와 오픈넷이 주관한 '금융 클라우드 규제완화와 디지털 정책 전망'에서 “글로벌 사업자들이 국내에 데이터 센터를 설치하더라도 실질적인 운영 관리는 해외서버에서 해 국내법을 통해 한국 규제기관이 이에 대한 관리감독 권한을 행사하는 것은 불가능하다”고 지적했다.

국내 금융기관이 해외사업자 클라우드 이용 중 금융정보 유출 문제가 발생해도 실태조사 등을 효과적으로 진행하기 어렵다는 이야기다.

상위법과 충돌 가능성도 크다. 정보통신망법은 국외에서 조회가 가능한 경우 '개인정보의 국외 이전'으로 다룬다. 전자금융감독규정이 관리서버 국내 설치조건을 분명히 하지 않을 경우 개인정보 국외 이전에 따른 대응에서 문제가 생길 소지가 크다.

국내 클라우드 업계 관계자는 “전자금융감독규정에서 관리시스템까지 국내 설치를 의무화해 정보통신망법과의 충돌 가능성을 제거해야 한다”고 말했다.

아마존웹서비스(AWS) 글로벌 리전 현황. AWS코리아 제공
아마존웹서비스(AWS) 글로벌 리전 현황. AWS코리아 제공

클라우드 사업자에 대한 실질적 조사 권한을 정부에 부여하는 것도 대안으로 꼽힌다. 금융위원장이 과학기술정보통신부, 방송통신위원회, 개인정보보호위원회와 협력해 클라우드 업체에 대한 조사와 감독을 할 수 있도록 명문화해야 한다는 것이다.

윤철한 경제정의실천시민연합 국장은 “최근 개인정보 규제 완화를 골자로 한 법 개정은 이용자 동의 없이 비영리·영리 목적으로 개인정보를 활용할 수 있도록 허용하는 것으로 위험이 전제된다”면서 “글로벌 기업 국내 서버 설치, 대리인 지정 제도가 국내에서 통과되더라도 국제무대에서 집행력을 확보할 수 있을지는 의문”이라고 말했다.

윤 국장은 “다국적 기업이 자국 국민의 개인정보를 보유했을 때 국민이 자기 정보에 대한 주권을 제대로 행사할 수 있도록 정부에 관리 의무가 있다”면서 “이용자 주권을 위해 규제가 제대로 집행되도록 제도를 정비해야 한다”고 강조했다.

국내 인터넷업계 관계자는 “클라우드 확산에 따른 제도 변화는 어쩔 수 없다”면서도 “최근 AWS 서비스 중단 사태에서 정부가 조사, 제재 등 행정력에 한계를 드러낸 것을 봐도 글로벌 사업자에 대한 감독 정책을 더 치밀하게 짜야 한다”고 말했다.

김시소 게임/인터넷 전문기자 siso@etnews.com