금융권 SaaS 허용 상시화 … 10년 숙원 ‘망분리 규제’ 완화

금융권의 숙원 과제였던 망분리 규제가 본격 완화된다. 금융사가 문서 작성·화상회의·성과관리 등 클라우드 기반 SaaS(Software as a Service)를 내부 업무망에서 상시 활용할 수 있도록 제도화가 추진되면서다. 데이터·AI 기반 경쟁이 글로벌 금융산업의 핵심으로 부상한 가운데 금융당국이 뒤늦게 제도 정비에 나섰다는 평가가 나온다.

금융위원회와 금융감독원은 20일 SaaS를 전자금융감독규정상 망분리 예외사유로 명시하는 시행세칙 개정안을 사전예고했다고 밝혔다. 그동안 금융사는 외부 SaaS를 도입하려면 ‘혁신금융서비스’ 지정을 받아야 했으며, 내부망과 외부망을 물리적으로 나누는 망분리 규제로 기업들이 보편적으로 사용하는 협업 소프트웨어조차 자유롭게 쓰기 어려웠다. 

개정안은 SaaS를 망분리 예외로 허용하되 고유식별정보·개인신용정보를 처리하는 서비스는 제외한다. 이를 대신해 정보보호 통제를 대폭 강화했다. 금융사는 ▲금융보안원 등 침해사고 대응기관 평가 ▲접속단말 보안대책·강화 인증·최소권한 관리 ▲정보 입력·처리·유출 모니터링 ▲데이터 무단 공유 차단 및 외부 인터넷 접근 통제 ▲네트워크 구간 암호화 등을 의무적으로 적용해야 한다. 또한 이행 결과는 반기 1회 정보보호위원회(CISO 주재)에 보고하도록 했다.

업계는 기대감을 감추지 않고 있다. SaaS 도입으로 업무 효율과 협업환경이 개선될 뿐 아니라 해외법인·글로벌 그룹사 간 표준화된 업무 처리가 가능해지기 때문이다. 금융당국도 “IT자원 최적화에 따른 비용 절감 효과가 상당할 것”이라고 설명했다. 실제 글로벌 금융사는 이미 자사 ERP·HR·협업툴·고객지원시스템 상당 부분을 SaaS로 치환한 상태다. 국내 금융권은 망분리 규제로 해당 전환이 사실상 10년 지체돼 왔다는 지적이 있었다.

다만, 보안 리스크 우려는 완전히 해소되지 않았다. 최근 국내외 금융권에서 해킹 시도가 늘고 있고 생성형 AI 기반 침해 공격도 강화되는 상황이다. 

금융위 관계자는 “제도 완화와 보안 감독을 병행하겠다”며 “생성형 AI 관련 망분리 개선 과제도 후속 검토 중”이라고 밝혔다.

개정안은 사전예고 후 규제심사 절차를 거쳐 시행된다. 시행 시점에 맞춰 SaaS 보안 가이드라인도 배포될 예정이다.