사진=스마트이미지 제공
내년부터 금융회사들이 고객의 개인신용정보나 주민번호・운전면허번호・여권번호와 같은 고유식별정보를 암호화된 상태에서 외부 클라우드에 저장하고 활용할 수 있게 된다.
금융회사들이 이런 정보를 인공지능 상담이나 신상품 개발, 빅데이터 분석에 활용할 수 있도록 규제를 푸는 것이다.
금융위원회는 7일 이런 내용으로 전자금융감독규정을 개정해 내년 1월 1일부터 시행한다고 밝혔다.
클라우드(cloud)서비스는 미국 아마존(Amazon)처럼 대형의 서버와 스토리지, 네트워크, 소프트웨어를 갖춘 정보기술회사로부터 필요한 컴퓨팅 시스템을 빌려쓰는 서비스로 지난해말 현재 27개 금융회사가 52개 업무용 클라우드 서비스를 이용하고 있다.
금융회사들은 방대한 거래정보나 고객관련 정보를 저장하고 관리하는 설비가 필요하지만 자체적으로 구축하는 경우 비용 부담이 큰데 따라 이런 클라우드 서비스를 이용하고 있다.
지금은 금융회사들이 이런 클라우드에 저장하고 활용할 수 있는 정보에 개인신용정보와 고유식별정보와 같은 중요 정보는 제외돼 있으나 앞으로는 포함된다.
이런 정보는 금융회사가 아닌 클라우드 서비스 제공자가 갖고 있는 설비에 저장되는 것이어서 유출 가능성이 있기 때문에 암호화한다.
따라서 유출 가능성이 높지 않지만 완전히 배제할 수도 없어 이런 정보를 클라우드에서 활용하도록 하되 금융회사들이 보안과 책임을 강화하는 방향으로 금융위는 관련 규정을 개정했다.
새 규정은 금융회사가 클라우드 서비스의 안전성을 평가하고 자체 정보보호위원회의 심의, 의결을 거쳐 운영하도록 하고 정보의 중요도에 따라 클라우드 이용 현황을 감독당국에 보고하며 법적 책임과 감독 및 검사 의무가 있다는 점을 클라우드 서비스 회사와의 사용계약서에 명시하도록 했다.
클라우드 서비스의 장애나 정보 유출 등의 사고로 고객의 피해가 발생하면 금융회사가 직접 손해를 배상하고, 클라우드 제공자는 연대 배상책임을 지도록 했다.
또 데이터 보호를 위해 같은 클라우드서비스 이용자가 해당 금융회사의 정보시스템에 접근하지 못하도록 통신만을 차단하는 등의 개인정보 보호와 관련법들에 규정된 안전성 확보조치를 취하도록 하고, 클라우드 제공자도 중요정보를 관리하는 실비는 했다.
금융위는 미국의 해외정보이용법(CLOUD법, Clarifying Lawful Overseas Use of Data Act)에 따라 미국 정부가 국내 금융회사에 데이터제공을 요청하는 경우 개인정보가 유출될 수 있지 않느냐는 우려에 대해서는 이 법에 범죄조사에 필요한 해외 데이터 확보는 외국 정부의 법령을 고려해 요청하게 돼 있어 거부할 수 있다고 밝혔다.
이번 규정개정은 국내에 전산센터 등 시스템의 기반을 둔 클라우드 서비스에만 적용돼 해외 기반의 클라우드 서비스를 이용하는 경우 개인신용정보 등 중요 정보는 계속 활용이 제한된다.
금융위는 금융분야의 특수성을 반영한 안전성 확보 조치 등 금융권이 클라우드 서비스를 이용할 때의 기준을 이달안에 가이드라인(행정지침) 형식으로 만들겠다고 밝혔다.