디지털 금융의 미래: 2025년 금융분야 클라우드컴퓨팅서비스 이용 가이드

2025년 한국 금융 산업의 클라우드 전환 및 보안 강화 로드맵

금융 산업의 디지털 혁신이 가속화되는 가운데, 한국 금융위원회는 "금융분야 망분리 개선 로드맵"을 발표하고 금융보안원은 "금융분야 클라우드컴퓨팅서비스 이용 가이드(2025 개정)"를 개정했습니다. 이번 포스트에서는 이러한 최신 정책 변화와 금융권의 클라우드 전환 동향을 살펴보겠습니다.

금융분야 클라우드컴퓨팅서비스 이용 가이드(2025 개정).pdf

2.00MB

출처 : 금융보안원

망분리 규제 완화와 금융 보안 체계의 패러다임 전환

금융 당국은 약 10년간 지속된 기존 금융권 망분리 규제를 개선하고, 혁신과 보안의 새로운 균형을 찾기 위한 패러다임 전환을 추진하고 있습니다. 이는 인터넷 등 외부 통신과 분리된 환경을 전제로 구성된 기존 금융 보안 체계에서 벗어나, 변화하는 IT 환경에 대한 신속한 대응을 가능하게 하는 자율보안-결과 책임 원칙으로의 규제 선진화를 지향합니다.

"낡은 규제를 개선하고 중·장기적으로 금융 보안 법·제도를 전면 개편하는 등 혁신과 보안의 새로운 균형을 찾기 위한 패러다임 전환을 추진할 계획"

금융 당국은 급격한 규제 완화보다는 단계적 개선을 추진하며, 규제 샌드박스 등을 활용하여 즉각적인 규제 애로를 해소하되, 자율 보안 체계 확립까지는 충분한 안전 장치를 마련할 예정입니다.

생성형 AI 활용 확대 및 연구 개발 환경 개선

금융위원회는 생성형 AI 활용을 허용하고 연구 개발 환경을 개선하여 혁신적인 금융 상품 및 서비스 개발을 촉진할 계획입니다.

• 클라우드 기반의 인터넷 환경에서 제공되는 생성형 AI 도입의 제약 해소
• 연구 개발 환경에서의 물리적 분리 및 개인신용정보 활용 금지 규제 완화
• 「전자금융감독규정」 개정을 통해 연구·개발 결과물의 간편한 이관 가능

"｢전자금융감독규정｣을 개정하여 금융회사 등이 연구·개발 결과물을 보다 간편하게 이관할 수 있도록 물리적 제한을 완화하고, 가명정보 활용을 허용하는 등 혁신적인 금융상품을 개발할 수 있는 환경을 제공하고자 한다."

또한 단계적으로 가명정보 활용을 허용한 1단계 샌드박스의 성과 검증 후, 빠르면 내년에는 개인신용정보까지 직접 처리할 수 있는 2단계 샌드박스를 추진하여 규제 특례를 고도화할 예정입니다. 다만, 데이터 활용 범위 증가에 따른 추가 보안 대책도 함께 부과됩니다.

금융 산업 디지털화 및 클라우드 컴퓨팅의 중요성

클라우드 컴퓨팅과 모바일 플랫폼의 발전으로 금융 서비스의 디지털화가 가속화되고 있으며, 고객들은 언제 어디서나 금융 서비스를 이용할 수 있게 되었습니다.

"클라우드 컴퓨팅과 모바일 플랫폼의 발전 덕분에, 고객들은 언제 어디서나 금융 서비스를 사용할 수 있는 환경이 조성되고 있습니다."

이러한 디지털 전환은 다음과 같은 이점을 제공합니다.

• 금융 기관의 업무 효율성 향상
• 운영 비용 절감
• 개인화된 서비스 제공
• 고객 경험 개선
• MZ세대의 금융 참여 활성화

300x250

특히 네이버클라우드의 금융 클라우드와 같이 금융 분야에 특화된 전용 클라우드 서비스는 금융 기관이 민감한 금융 데이터를 안전하게 다루면서도 엄격한 전자 금융 감독 규정을 준수할 수 있도록 지원하고 있습니다.

클라우드 서비스 이용을 위한 핵심 보안 및 거버넌스 요구사항

2025년 개정된 금융분야 클라우드컴퓨팅서비스 이용 가이드에서는 다음과 같은 핵심 보안 및 거버넌스 요구사항을 강조하고 있습니다.

1. 클라우드 서비스 제공자(CSP) 평가

• 금융회사는 CSP의 보안성을 종합적으로 평가하고 정기적으로 재평가
• CSP의 보안 사고 발생 또는 IT 인프라 전면 재구축과 같은 중대한 변화 발생 시 즉시 평가 실시

2. 계정 및 접근 통제

• 특별 권한이 있는 계정은 별도로 분리된 단말기에서만 접근 가능
• 시스템 접근 기록을 주기적으로 검토
• 제로 트러스트 모델을 지향한 설계

3. 데이터 보안 및 암호화

• 송수신되는 모든 정보에 대해 금융 회사의 데이터 관리 및 통제 원칙 적용
• 중요 정보 저장 및 송수신 시 암호화 조치 의무화
• 암호화 키는 접근이 통제된 보안 네트워크에 저장하고 안전하게 관리

4. 로그 관리 및 모니터링

• 정보 처리 시스템의 사용 현황 및 추이 분석 정기 실시
• 시스템 장애 및 긴급 사태에 대비한 백업 및 복구 절차 수립·운용
• 클라우드 환경에서도 정보 처리 시스템 및 전산 자료에 대한 로그 관리 실시

5. 사업 연속성 계획 및 출구 전략

• 클라우드 서비스 중단, 오류, 계약 해지 또는 서비스 제공 업체 파산 시에도 비즈니스를 영위할 수 있는 비상 계획 수립
• 명확하게 정의된 출구 전략 마련 및 테스트
• 출구 전략에는 데이터 또는 서비스의 기업 내 복구나 백업 서비스 공급자에게 이전 등 운영 복원력 유지 방법 포함

6. 재위탁 관리

• 위탁 서비스 제공 업체가 다른 공급 업체에게 서비스를 재위탁하는 경우와 관련된 위험 고려
• 재위탁 계약서에 본 가이드의 계약서 명시 사항 중 관련 부분 포함
• 중요 업무의 신규 재위탁 또는 기존 재위탁의 중요 사항 변경 시 금융 회사에 사전 통지 의무화

7. 감독 당국 및 감사인의 접근 권한

• 금융위원회, 금융감독원 및 내외부 감사인은 클라우드 서비스에 이용되는 모든 범위의 장치, 시스템, 네트워크 및 데이터에 접근 가능
• 클라우드 서비스 제공자는 이에 적극 협조 의무

리스크 관리 및 집중 위험 고려

금융 회사는 클라우드 서비스 이용으로 인한 리스크, 특히 제3자 의존 위험 및 집중 위험을 주기적으로 평가하고 관리해야 합니다.

"복수의 금융회사가 의존하는 제품이나 서비스 설계의 잠재적 결함이 모든 사용자에게 영향을 미칠 가능성 존재"

"클라우드 활용이 특정업체에 집중됨으로 인해 효과적인 경쟁이 줄어듦에 따라"

금융 당국은 클라우드 서비스 제공자(CSP)와 같은 시스테믹 리스크를 가진 제3자는 중요 IT 서비스 제공자로 지정하여 감독 당국이 직접 규제 수행을 검토할 수 있도록 하고 있습니다.

계약 체결 시 필수 고려 사항

클라우드 서비스 이용 계약 체결 시 다음 사항을 명확히 명시해야 합니다.

• 데이터에 대한 접근 통제
• 전산 사고 등에 따른 이용자 피해에 대한 위·수탁 회사 간 책임 관계
• 수탁 회사에 대한 감독 당국의 감독·검사 수용 의무
• 분쟁 해결 과정에서의 재판 관할

"클라우드서비스 제공자와 금융회사는 사고발생에 따른 손해배상 및 계약해지 관련 사항을 명확하게 정의"

서비스 제공 수준(SLA)을 명확히 제시하고 이에 미달하는 경우 손해를 배상하도록 하여 서비스의 품질을 보장해야 합니다. 또한 관련 법령 위반, 반복적인 계약상 의무 불이행 등 중요 계약 사항 위반 시 금융 회사가 위약금 없이 계약을 해지할 수 있도록 명시해야 합니다.

 

한국 금융 산업은 클라우드 컴퓨팅 및 생성형 AI와 같은 신기술 도입을 통해 디지털 전환을 가속화하고 있습니다. 이러한 변화는 혁신적인 금융 서비스 개발 및 고객 경험 개선으로 이어지지만, 동시에 새로운 보안 및 거버넌스 과제를 야기합니다. 금융 당국은 망분리 규제 완화 및 금융 보안 체계의 패러다임 전환을 통해 이러한 변화에 대응하고 있으며, 금융 회사는 클라우드 서비스 이용 및 아웃소싱 시 엄격한 보안 관리, 철저한 리스크 평가 및 관리, 그리고 명확한 계약 체결을 통해 안전하고 신뢰할 수 있는 디지털 금융 환경을 구축해야 합니다.

 

특히, 예상치 못한 상황 발생 시 비즈니스 연속성을 확보하기 위한 출구 전략 수립 및 테스트는 필수적입니다. 이러한 노력들을 통해 한국 금융 산업은 혁신과 보안의 균형을 이루며 지속 가능한 성장을 이룰 수 있을 것입니다.