금융권 SaaS 이용 규제 완화, 자율보안과 결과책임의 시대로 [린의 행정과 법률]

샌드박스를 넘어 제도권으로

금융산업은 그동안 세계적으로도 유례를 찾기 힘든 강력한 수준의 물리적 망분리 규제를 준수해 왔다. 내부 업무 시스템을 인터넷과 완전히 단절시키는 이 방식은 외부 해킹 위협을 원천적으로 차단하여, 수많은 글로벌 사이버 위협 속에서도 국내 금융 망을 안정적으로 지켜낸 든든한 방어벽 역할을 수행했다.

하지만 클라우드 컴퓨팅과 인공지능(AI) 기술이 산업 전반의 표준이 된 현재, 이러한 물리적 고립은 금융 혁신을 저해하는 장벽이 되었다. 특히 생성형 AI와 혁신적인 SaaS(Software as a Service) 솔루션은 대부분 클라우드 환경을 전제로 제공되는데, 국내 금융사들은 규제로 인해 이러한 글로벌 기술 트렌드에서 소외되어 왔다. 이는 단순한 업무 불편을 넘어 글로벌 무대에서의 경쟁력 약화로 이어질 수 있다는 위기감을 불러일으켰다.

이러한 한계를 극복하기 위해 금융당국은 2024년 8월 「금융분야 망분리 개선 로드맵」을 발표하며 패러다임 전환을 선언했고, 그 후속 조치로 2026년 1월 20일, 「전자금융감독규정 시행세칙」 개정안이 마련되었다.

이번 개정안의 핵심은 금융회사가 내부 업무망에서 SaaS를 활용할 경우, 일정한 보안 규율을 준수한다는 전제 아래 망분리 규제 예외를 상시 허용한다는 점이다. 과거에는 '혁신금융서비스(금융규제 샌드박스)' 심사를 통과해야만 한시적으로 가능했던 절차가 이제는 제도권 안으로 들어오게 된 것이다. 다만, 고객의 고유식별정보나 개인신용정보를 직접 처리하는 업무는 여전히 예외 대상에서 제외하여 보안의 최전선은 유지하도록 설계되었다.

금융권 SaaS 도입을 위한 보안 통제 전략

이번 규제 완화의 본질적인 변화는 보안 패러다임이 '자율보안'과 '결과책임'으로 전환되었다는 점에 있다. 이는 금융회사가 스스로 리스크를 분석하여 최적의 보안 체계를 수립할 자율성을 얻는 동시에 사고 발생 시 그에 따른 엄중한 책임을 지는 구조로 재편되었음을 의미한다.

이에 따라 금융회사는 「전자금융감독규정 시행세칙」 개정안에 맞춰 상시 허용되는 SaaS를 안전하게 활용하기 위해 다음과 같은 구체적인 보안 통제 수단을 마련해야 한다.

금융회사는 SaaS 도입 시, 반드시 침해사고대응기관(금융보안원)의 보안성 평가에서 ‘충족’ 결과를 획득한 SaaS만을 이용해야 한다. 이는 외부 소프트웨어 제공자의 안전성을 공신력 있는 기관을 통해 1차적으로 검증하는 필수 절차이다. 도입 이후에도 관련 서류를 항상 최신 상태로 유지하여 상시 관리 체계를 증명해야 하며, 특히 개정 규정에 명시된 SaaS 전용 ‘필수 평가 항목'에 대해서는 빠짐없는 점검이 요구된다.

SaaS 접속 환경에 대한 통제도 필요하다. 모바일 단말기를 포함한 모든 접속 기기에 대해 보호대책을 수립하고 적용해야 한다. 단순한 ID와 비밀번호 방식에서 탈피하여, 관리자 계정과 같은 중요 계정에는 다중 인증을 적용해야 한다. 직무 수행에 필요한 최소한의 권한만 부여하는 최소 권한 원칙을 준수하고, 사전에 등록된 사용자 및 단말기만이 시스템에 접근할 수 있도록 접근통제 및 관리가 필수다.

데이터 이동 과정에서 유출이나 오용을 방지하기 위한 기술적 조치도 동반되어야 한다. SaaS 이용을 위한 네트워크 구간 전반에 걸쳐 암호화 보호대책을 수립해야 하고, 중요 정보가 SaaS를 통해 외부로 유출되거나 불필요하게 공유·처리되지 않도록 실시간으로 모니터링하고 통제해야 한다. 허용된 SaaS 서비스 외의 다른 외부 인터넷 접근은 엄격히 차단하며, SaaS 내부에서도 검증되지 않은 제3자 앱이나 플러그인 등 추가 기능에 대한 접속과 이용을 제한해야 한다.

보안은 도입 시점의 일회성 점검이 아닌, 서비스 이용 전 과정에 걸친 지속적인 프로세스여야 한다. 금융회사는 SaaS 이용 중 발생하는 모든 접속 기록과 이용 로그를 수집·분석하여 이상 징후를 상시 모니터링해야 한다. 특히 실질적인 사후 관리를 위해 정보보호위원회(CISO 주관)에 반기 1회 보안 통제 이행 현황을 보고해야 한다. 이러한 보고 절차는 단순히 형식적인 보고 절차를 넘어, 조직 전체의 보안 책임 의식을 고취하고 경영진의 감독 기능이 실효성 있게 작동하는 전사적 보안 거버넌스 체계를 안착시켜야 할 것이다.

지속 가능한 디지털 금융 생태계를 위한 유연한 규제와 정책의 필요성

SaaS 활용의 확대는 금융 서비스의 안정성이 외부 업체(3rd Party)에 의해 좌우될 수 있음을 의미한다. 따라서 금융회사는 수탁 업체 선정 시 사이버 보안 역량을 철저히 검증해야 한다. 또한 계약 단계에서 검사 권한, 자료 요구권, 사고 발생 시 배상 책임 등을 명확히 규정하여 법적 안전장치를 마련해야 한다. 특히 업체의 서비스 중단 등과 같은 비상 상황에 대비하여 데이터를 안전하게 회수하거나 타 업체로 즉시 이전할 수 있는 전략을 사전에 수립하는 것이 금융 서비스의 안정성을 확보하는 최우선 과제이다.

향후 지속 가능한 디지털 금융 생태계를 구축하기 위해 정책 방향 또한 유연하게 진화해야 한다. '기술 중립적 원칙'을 견지하고, 이를 통해 금융회사가 최신 보안 기술을 자사 환경에 최적화된 방식으로 자유롭게 조합하여 사용할 수 있는 토대를 마련해주어야 한다.

또한, 금융 정보의 민감도에 따라 등급을 분류하고 그 등급에 맞춰 클라우드 활용 범위와 보안 통제 수준을 차등화하는 규제 체계가 필요하다. 이와 더불어 상대적으로 보안 자원이 부족한 중소 금융사와 핀테크 기업들을 위해 맞춤형 컨설팅 지원을 확대함으로써, 기술적 장벽으로 인한 혁신의 격차를 줄이는 정책적 배려도 병행되어야 할 것이다.

결국 디지털 금융의 성패는 혁신의 속도와 보안의 견고함 사이에서 얼마나 유기적이고 조화로운 균형을 찾아내느냐에 달려 있다고 볼 수 있다. 이 두 마리 토끼를 모두 잡아 기술과 신뢰를 동시에 거머쥔 지능형 보안 체계를 확립함으로써, AI 금융 강국으로 우뚝 설 수 있기를 기대해 본다.