금융당국이 금융권 내부망 서비스형 소프트웨어(SaaS) 사용을 위한 규제 샌드박스를 추진하는 가운데, 업계서는 실효성에 대한 지적이 이어지고 있다. 금융위원회는 업계 의견 등을 수렴해 3분기 내 종합안을 마련한다는 방침이다.
최근 금융보안원은 금융회사를 대상으로 내부망 SaaS 이용과 관련 규제 샌드박스 설명회를 진행했다. SaaS는 소프트웨어를 별도로 소유해 설치할 필요 없이 인터넷에 접속해 서비스를 빌려 쓸 수 있는 형태다. 장소에 구애받지 않고 인프라 구축 비용을 절약할 수 있는 등 장점이 크지만 망분리 규제로 인해 금융사 내부망에 대한 SaaS 도입이 어려웠다. 디지털 금융이 확산되는 상황에서 클라우드, 생성형 AI, 빅데이터, 협업툴 등의 활용을 어렵게 만든다는 지적이 계속돼왔다.
금융당국은 규제 샌드박스를 통해 개인정보, 신용정보, 거래정보 등을 제외한 비중요업무에 한해 금융사도 내부망에 SaaS를 도입할 수 있도록 했다. 금융 업무를 '중요업무'와 '비중요업무' 로 나눠 보안관리·IT개발운영·고객관리와 같은 업무는 SaaS 도입을 막고, 협업도구·ERP·마케팅 지표분석·금융지표분석 등의 업무에는 SaaS를 이용할 수 있도록 했다.
보안을 위해 SaaS 접속 단말기(PC)는 고객정보 및 전자금융거래정보를 처리하는 시스템과 연결하지 않도록 하고, 허용된 SaaS 외 인터넷에 접속하지 않도록 보안통제를 적용했다. 또 비인가 단말기에 대한 접속은 차단하도록 했다.
그러자 업계에서는 보안대책을 준수하기 위해 물리적 분리를 적용해 업무용 PC와 SaaS용 PC를 나눠 활용할 경우 SaaS 효용성이 대폭 떨어진다는 비판을 제기했다.
금융업계 IT관계자는 “업무 효율성을 높이기 위해 SaaS를 사용하는 것인데, 별도 PC를 쓸 경우 기존 업무에 SaaS를 적용하기 힘들뿐만 아니라 다른 조직원들과 시너지를 기대하기도 힘들다”고 말했다.
업계 비판이 확산되자 금융당국은 규제 샌드박스 신청을 잠시 미루고 의견 수렴에 나서고 있다. 금융위 관계자는 “물리적 분리로 별도 PC를 구비해야 한다는 점을 엄격하게 적용할지 여부에 대해서는 논의 중”이라며 “다만 중요정보가 외부로 유출되지 않도록 조치하는 것은 중요하다”고 말했다.
금융당국은 1개 PC에서 내부망과 외부망을 분리하는 논리적 분리 등을 적용하는 방안 등도 고려하고 있는 것으로 알려졌다. 또 회사별 보안대책 수립 등을 적용하는 방안도 검토한다. DRM을 통해 SaaS 단말기 내 데이터를 암호화 하거나 DLP 등을 통해 단말기 내 중요 데이터를 유출 차단하는 방식 등이다.
업계에서는 규제 샌드박스가 적용되도라도 국내에만 엄격하게 적용되고 있는 금융사 망 분리에 대해 지속적인 제도 개선이 필요하다는 입장이다.
금융업계 관계자는 “해외에서는 인증 체계에 대한 가이드라인을 준수하면 회사별로 자체 보안을 적용할 수 있다”며 “공공 관련 분야에서도 점점 SaaS 적용이 완화되는가운데 금융 분야에서도 진정한 혁신을 고민해야 한다”고 말했다.
정예린 기자 yeslin@etnews.com