앞으로 금융회사와 전자금융업자는 별도의 혁신금융서비스 심사 없이도 클라우드 기반의 응용소프트웨어(SaaS)를 사무관리 및 업무지원에 활용할 수 있게 된다.

금융위원회와 금융감독원은 이같은 내용을 포함한 '전자금융감독규정시행세칙'이 규제개혁위원회 심사를 마치고 20일부터 시행된다고 밝혔다. 이번 조치는 금융회사의 내부 업무를 효율화하고, 의사결정 속도를 개선할 수 있도록 수 개월 간의 시범운영 이후 결정됐다.

단, 이번 조치가 망분리 규제 예외에 해당하는 만큼 금융당국은 금융회사의 SaaS 도입 시 엄격한 정보보호통제장치 마련도 의무화한다.

금융회사는 ▲침해사고 대응기관(금융보안원 등) 평가를 거친 SaaS 이용 ▲접속 단말기(컴퓨터, 모바일단말 등)에 대해 보호대책 수립 등 세칙을 준수하고 정보보호통제 이행 여부를 반기마다 1회 평가해 금융회사 내 정보보호위원회에 보고해야 한다.

또한 개인정보 유출 우려를 감안해 금융회사가 이용자의 고유식별정보 또는 개인신용정보를 처리하는 경우에는 망분리 예외를 허용하지 않는다. 가명정보를 활용하는 경우에도 기존과 동일하게 별도의 혁신금융서비스 지정 절차를 거친 후 SaaS 활용이 가능하다.

금융당국은 금융회사가 관련 보안통제를 보다 쉽게 이해하고 현장에 적용할 수 있도록 보안해설서를 배포했다. 보안해설서에는 정보보호 통제 의무를 보다 쉽게 이행할 수 있도록 SaaS 활용 과정에서 발생할 수 있는 주요 보안위협과 그에 대한 대응방안 등 내용을 포함했다.

금융당국은 "망분리 규제는 그간 금융회사 보안을 위한 중요 수단으로 활용됐지만, 해킹 수법이 고도로 발달하고 AI 혁신 등을 위해 외부 네트워크 전산자원 활용이 절실해진 상황에서 더 이상 현재 규제에 안주할 수 없는 상황"이라며 "SaaS에 이어 생성형 AI 서비스 관련 규제도 금융사와 적극적으로 소통해 최대한 신속히 망분리 규제 예외가 적용될 수 있도록 추진하겠다"라고 목표를 밝혔다.