금융기관이 내부 업무망에서도 클라우드 기반 소프트웨어(SaaS)를 활용할 수 있는 길이 공식적으로 열렸다. 금융당국이 오랫동안 핵심 원칙으로 유지해 온 ‘망 분리’ 규제에 대해 범용적으로 적용 가능한 예외를 처음으로 구체화하면서다. 이는 2024년 ‘망분리 개선 로드맵’ 발표 이후 약 1년 8개월 만에 샌드박스 의존 구조를 벗어난 첫 상시 제도화 사례라는 평가가 나온다. 다만 현장에서는 여전히 핵심 영역인 AI와 개인정보 처리가 제외되면서 ‘반쪽짜리 완화’라는 지적도 제기된다.
20일 금융권에 따르면 금융위원회와 금융감독원은 ‘전자금융감독규정시행세칙’ 개정안을 시행하고, 금융회사가 내부 업무망에서 사무관리·업무지원용 SaaS를 사용할 경우 일정한 보안 규율을 전제로 망 분리 규제 예외를 허용하기로 했다. 망분리는 외부 인터넷망과 내부 업무망을 물리적으로 분리하는 금융권의 대표적 보안 규제로 20년 넘게 유지돼 왔다.
당국, 세칙변경…사무·협업용 SaaS는 ‘원칙적 허용’
그동안 금융기관이 협업툴·문서도구 등 SaaS를 쓰려면 ‘혁신금융서비스(규제 샌드박스)’ 지정을 통해 개별적으로 특례를 받아야 했지만 앞으로는 별도 심사 없이 내부망 도입이 가능해진다. 금융위는 “클라우드 기반 사무용 응용소프트웨어를 보다 손쉽게 활용할 수 있도록 망분리 예외 사유를 구체화한 것”이라고 설명했다.
이번 조치는 메일·메신저·문서·프로젝트 관리 등 이른바 저위험 사무·협업 영역부터 단계적으로 개방하는 접근으로 풀이된다.
다만 예외 범위는 엄격하다. 이번 개정은 전자금융거래와 직접 관련이 없는 사무·관리·협업 영역에 한정된다. 특히 해당 서비스를 통해 주민등록번호 등 고유식별정보나 고객 개인신용정보를 처리하는 것은 여전히 금지된다. 즉 민감정보 전반은 기존과 동일하게 외부 SaaS 활용이 제한된다. 가명정보를 활용하는 경우에도 기존과 마찬가지로 별도의 보안성 검토와 혁신금융서비스 지정을 거쳐야 한다.
생성형 인공지능(AI) 서비스는 넓은 의미의 SaaS에 포함되지만 이번 세칙 개정의 적용 대상에서는 제외됐다. 금융위는 챗GPT 등 생성형 AI에 대해서는 보안 우려를 고려해 기존과 같이 혁신금융서비스를 통한 개별 승인 방식을 유지할 계획이다. 업계에서는 이를 ‘실질적인 금융 AI 혁신을 가를 2라운드 과제’로 보고 있다.
보안 의무는 사후 관리 중심으로 강화됐다. 금융사는 금융보안원 등 전문기관의 보안성 평가를 받은 SaaS를 중심으로 서비스를 도입해야 하며, 접속 단말기에 대한 다중인증(MFA) 등 보호 대책을 수립해야 한다. 또한 망분리 예외 업무에 대해 반기 1회 이상 정보보호 통제 이행 현황을 점검하여 내부 정보보호위원회에 보고해야 하는 등 ‘자율보안·결과책임’ 원칙이 강화됐다. 이는 사전 규제 중심에서 사후 책임 기반 관리 체계로의 전환이라는 의미도 갖는다.
2024년 ‘망분리 개선 로드맵’ 1단계 제도화 완료
이번 세칙 개정은 2024년 8월 금융위가 발표한 ‘금융분야 망분리 개선 로드맵’의 1단계 조치다. 당시 당국은 생성형 AI와 SaaS 등 클라우드 기술 도입을 위해 20년 넘게 유지된 물리적 망분리 규제를 단계적으로 완화하겠다고 선언한 바 있다. 이는 글로벌 금융권의 클라우드 전환 흐름과 국내 금융사의 디지털 경쟁력 확보 필요성이 반영된 조치로 해석된다.
금융 현장에서는 그동안 망분리 규제가 디지털 전환의 가장 큰 벽이었다. 인터넷망과 업무망을 물리적으로 분리한 구조는 보안에는 효과적이었으나 실시간 공유가 핵심인 클라우드 협업툴 도입에는 제약으로 작용했다. 혁신금융서비스 신청을 하려 해도 수개월이 소요되는 보안성 심사와 컨설팅 부담 탓에 중소 금융사들에게는 ‘그림의 떡’이라는 지적이 많았다.
이번 개정으로 제도적 상시 통로가 열리면서 생산성 향상이 기대된다. 금융위는 “프로젝트, 일정, 문서 등을 실시간 공유함으로써 부서 간·해외 지점 간 협업이 강화되고, 결과적으로 IT 비용 절감 효과가 발생할 것”으로 내다봤다.
비용 절감·업무 효율 혁신…우리투자證 ‘두레이’ 선행 사례 주목
금융권이 SaaS 도입에 주목하는 배경에는 ‘IT 투자 효율화’가 자리 잡고 있다. 기존 온프레미스(직접 구축) 방식은 서버 구매 등 막대한 초기 자본지출(CAPEX)과 유지보수 인력이 필수적이었다. 반면 구독형 SaaS는 사용량만큼 비용을 지불하는 운영비용(OPEX) 중심 구조로 IT 예산이 한정된 신생 증권사나 인터넷전문은행, 중소형 금융사에 특히 적합한 모델이다.
대표적 선행 사례는 우리금융그룹이다. 우리금융은 2024년 말 우리금융지주와 우리투자증권이 혁신금융서비스 지정을 받으며 NHN의 올인원 협업툴 ‘두레이(Dooray!)’를 도입했다. 현재 지주를 포함한 8개 계열사로 범위를 넓힌 상태다. 두레이는 메신저와 프로젝트 관리를 결합해 메일 중심의 폐쇄적 보고 문화를 공유형 게시판과 위키 형태로 전환했다. AI 챗봇과 API 연계를 통해 시스템 장애 모니터링 및 업무 알림 자동화(RPA)를 시도하며 ‘디지털 워크플레이스’ 구축 사례로 평가된다.
업계 “2단계 로드맵 서둘러야”…전문가 “AI·데이터 연동이 핵심”
그럼에도 실무자들의 반응은 신중하다. 금융권 관계자는 “사내 메신저나 문서 협업에는 제약이 일부 완화됐지만, 고객 데이터를 다루는 영업·심사 시스템까지 클라우드로 옮기는 것은 여전히 쉽지 않다”며 “진정한 디지털 전환은 이제부터가 시작”이라고 말했다.
해외에서는 이미 JP모건, 골드만삭스 등 글로벌 투자은행(IB)들이 클라우드와 AI를 업무에 적극 도입하고 있다. 다만 이들 역시 엄격한 내부 통제 체계 아래 제한적으로 활용하고 있다는 점에서, 국내와의 차이는 활용 범위와 속도의 차이라는 분석이 나온다.
사후 책임에 대한 심리적 부담도 여전하다. 복수 금융사 보안 책임자들은 “규제 문구는 완화됐지만, 보안 사고 발생 시 책임 범위가 불명확한 부분이 있어 내부적으로는 여전히 보수적인 접근이 불가피하다”고 입을 모은다.
김승주 고려대 정보보호대학원 교수는 “이번 세칙 개정은 국가 차원의 다층보안체계(MLS) 개편 흐름과 궤를 같이한다”며 “기밀(C)·민감(S)·일반(O) 등 등급별 보안 체계로 전환하는 과정에서 금융권의 ‘일반 사무’ 영역이 먼저 개방된 것”이라고 분석했다.
김 교수는 이어 “AI가 경쟁력을 좌우하는 시대에 금융사가 폐쇄망 중심으로만 기술을 활용하는 데는 한계가 있다”며 “기재부 예산 시스템 같은 정부 핵심 전산도 민간 클라우드 활용을 검토하는 흐름 속에서 금융권 역시 데이터 보안 대책을 전제로 한 2단계(개인신용정보 활용) 전환 논의가 필요하다”고 강조했다.
이번 전자금융감독규정 개정은 그간 강하게 유지돼 온 망분리 규제에 일정 부분 변화를 가져온 조치로 평가된다. 다만 이번 1단계 조치가 협업툴 활용 확대에 그칠지, 생성형 AI와 데이터 활용으로 이어지는 금융 혁신의 출발점이 될지는 향후 당국의 후속 정책과 금융사의 보안 역량에 따라 결정될 전망이다.
