2024년 1월 20일, 금융권에서 SaaS 활용에 대한 규제가 대폭 완화되면서 금융산업의 보안 패러다임이 변화하고 있습니다. 이번 개정된 전자금융감독규정 시행세칙은 금융회사가 내부 업무망에서 SaaS를 활용할 수 있도록 허용하며, 이를 통해 자율보안과 결과책임의 원칙을 도입하고 있습니다.
과거에는 금융사들이 혁신금융서비스 심사를 통과해야만 한정적인 기간 동안 SaaS를 활용할 수 있었으나, 이제는 이러한 제약이 사라져 제도권 내에서 안정적인 SaaS 활용이 가능해졌습니다. 그러나 고객의 고유식별정보 및 개인신용정보를 처리하는 업무는 여전히 보안상의 이유로 제한됩니다. 이러한 변화는 금융업계에 클라우드 기반의 혁신적인 서비스 도입을 촉진하고, 글로벌 시장에서의 경쟁력을 강화하는 데 기여할 것입니다.
보안 패러다임 전환의 핵심은 금융회사가 스스로 리스크를 분석하고 최적의 보안 체계를 구축해야 한다는 점입니다. 이는 금융사가 SaaS 도입 시, 반드시 침해사고대응기관의 보안성 평가에서 ‘충족’ 결과를 얻은 소프트웨어를 이용해야 하며, 지속적인 보안 관리 체계를 유지해야 함을 의미합니다. 이러한 자율보안 체계는 사고 발생 시 금융사가 그에 따른 결과 책임을 져야 한다는 구조로 재편되었습니다.
SaaS의 도입과 활용에 있어 금융사는 여러 가지 보안 통제 수단을 마련해야 합니다. 우선 각종 접속 기기에 대한 보호 대책을 수립하며, 관리자 계정에 다중 인증을 적용해야 합니다. 또한, 직무 수행에 필요한 최소한의 권한을 부여하고, 사전 등록된 사용자만이 시스템에 접근할 수 있도록 철저히 관리해야 합니다. 데이터 이동 과정에서도 유출이나 오용을 방지하기 위한 기술적인 조치가 필수적이며, 모든 접속 기록과 이용 로그를 수집하여 이상 징후를 상시 모니터링해야 합니다.
이외에도 금융사는 외부 업체의 사이버 보안 역량을 철저히 검증하고, 계약 시 법적 안전장치를 마련해야 합니다. 업체의 서비스 중단과 같은 비상 상황에 대비하여 데이터를 안전하게 회수하거나 다른 업체로 즉시 이전할 수 있는 전략을 수립하는 것도 필수입니다. 이러한 조치는 금융 서비스의 안정성을 확보하는 데 중요한 요소로 작용할 것입니다.
지속 가능한 디지털 금융 생태계를 구축하기 위해서는 정책 방향도 유연하게 변화해야 합니다. 기술 중립적인 원칙을 통해 금융사가 최신 보안 기술을 자사에 최적화된 방식으로 적용할 수 있는 기반을 마련해주어야 하며, 금융 정보의 민감도에 따라 클라우드 활용 범위와 보안 통제 수준을 차등화하는 규제가 필요합니다.
결국, 디지털 금융의 성패는 혁신과 보안 간의 균형을 얼마나 잘 맞추느냐에 달려 있습니다. 금융사들은 이러한 변화를 통해 AI 중심의 금융 생태계에서 경쟁력을 유지하고, 글로벌 금융 강국으로 도약할 수 있는 기회를 얻을 것입니다.
[관련기사] https://n.news.naver.com/mnews/article/015/0005250297?sid=101
답글 남기기