금융권 클라우드 사고 법적 책임범위는 어떻게 될까. 클라우드 이용과 관련해 소비자 피해가 생기면 우선적으로 금융회사가 1차적 손해배상 책임주체가 된다. 클라우드 제공자는 수탁자로서 연대배상책임을 부담해야 한다. 금융당국은 7일 전자금융감독규정 개정을 통해 금융사와 클라우드 제공자 간 법적 책임관계를 명확히 한다고 밝혔다.
다음은 일문일답.
중요정보 클라우드 허용에 따른 보안성 저하 우려 대책은
개인신용정보 등 중요정보도 클라우드로 이용하는 만큼 금융회사 스스로 엄격한 내부통제·보안 방안을 갖출 필요가 있다. 금융회사는 자체 정보보호위원회에서 클라우드 제공자 건전성과 안전성을 평가해 이용해야 한다. 아울러 클라우드 제공자는 전자금융거래법·신용정보법 등에 따른 암호화, 데이터 위·변조 방지 등 보호조치를 준수해야 한다.
해외소재 클라우드 허용 계획은
클라우드 이용 확대를 추진하면서 금융보안 중대성·사고발생 시 소비자 보호·감독관할 등은 충분히 고려돼야 한다. 해외 소재 클라우드 허용은 국내 소재 클라우드 운영 이후 성과와 문제점 등을 고려해 점진적으로 검토할 예정이다.
다만 금융회사는 국내 클라우드 사업자 뿐만 아니라 이미 국내에 전산센터를 둔 해외 클라우드 사업자 서비스도 이용할 수 있다. 개인신용정보를 포함하지 않은 비중요 정보·비식별 조치된 데이터는 해외 소재 클라우드 이용이 가능하다.
클라우드 이용 시 클라우드서비스 제공자 개인정보 열람 등 정보 유출 위험이 있는 건 아닌가
클라우드를 이용하는 경우에도 고객 개인정보는 개인정보보호법·신용정보법에 따라 암호화돼 전송된다. 클라우드서비스 제공자 등 접근 권한이 없는 자는 열람이 불가하다.
주요 클라우드 사업자 서비스 장애 발생 시 금융권 주요 서비스가 마비될 가능성은 없나
사고 발생 시 신속한 대응을 위해 국내 전산센터 내 필수 운영인력이 상주하고 장애 발생 사실을 지체없이 대응 하도록 할 예정이다. 관리시스템을 포함해 개인신용정보를 처리하는 모든 시스템을 국내에 설치하도록 해 신속한 장애 대응과 복구가 가능하도록 할 방침이다.
클라우드 이용 중 사고가 발생하면 금융사와 클라우드 서비스 제공자 간 법적 책임 범위는
클라우드 이용 관련 소비자 피해 발생 시 금융회사·클라우드 제공자가 고객에게 연대배상 책임을 부담해야 한다. 또한 손해배상·계약해지·재판관할 사항 등을 명시하도록 해 금융회사·클라우드 제공자 간 법적 책임관계를 명확히 할 예정이다.
美정부가 클라우드법에 따라 미국 클라우드 서비스업체에 저장되는 우리 국민 정보에 접근할 수 있다는데
국내 클라우드 시스템은 미국 해외 정보 이용법(클라우드법)에 따른 美정부 데이터 제공 요청에 반드시 따라야 하는 건 아니다. 클라우드 법은 범죄조사에 필요한 해외 소재 데이터 확보·안보 유지를 위해 제정한 것으로 외국 정부 법령을 고려해 데이터를 요청할 수 있도록 하고 있다.
외국계 클라우드 사업자는 국내 개인정보보호 법규를 따르지 않아 개인정보 보호에 취약한 건 아닌가
외국계 클라우드 사업자도 국내 개인정보보호 법령을 준수해야 한다. 따라서 중요정보 암호화·접속기록 위변조 방지·시스템 접근 통제 등 개인정보 보호 관련 제반 보호조치 사항을 준수해야 한다.
클라우드서비스 제공자 관리시스템을 국내에 설치해야 하는지 여부가 불명확하다
현재 전자금융감독규정은 국내에 본점을 둔 금융회사 전산실과 재해복구센터를 국내에 설치하도록 하고 있다. 전산실은 전산장비·통신 보안장비·전산자료가 보관된 장소를 의미하므로 정보처리시스템을 포함하고 있다.
또한 개인신용정보를 처리하는 업무의 정보처리시스템을 국내에 설치하도록 명시하고 있다. 관련 법령 정의상 클라우드 관리시스템도 정보처리시스템에 해당하므로 개인신용정보를 처리할 때 이를 국내에 둬야 한다.
외국계 클라우드 서비스 업체 감독·조사권이 실질적으로 확보될 수 있나
금융회사·클라우드 제공자 간 계약 체결 시 현장방문을 포함한 클라우드 제공자의 감독·검사 의무를 계약서에 명시하도록 하고 있다. 감독당국은 사고 발생, 예방·점검 등 필요 시 자료 제출 요구, 현장점검을 통해 관리·감독할 수 있다.
또한 관리시스템을 포함한 개인신용정보를 처리하는 모든 시스템을 국내에 두도록 해 신속한 현장 감독·조사가 가능해진다. 국내외 클라우드 운영 상황과 해외 사례 분석 등을 토대로 클라우드 제공자에 대한 감독당국 감독·조사권을 보다 강화하는 방안을 추진할 예정이다.
클라우드 보안수준 관련해 국내외 클라우드 업체 간 규제 형평성 차이는 없나
금융 클라우드 서비스 제공 보호조치 기준에서 제시하는 안전성 확보조치 사항은 국내외 클라우드 사업자 모두에게 동일하다. 클라우드 안전성 확보조치 평가·검증과 관련해 국내는 클라우드 서비스 보안인증이 있다.
해외는 FedRAMP(미국)·CSA STAR(글로벌 협회)·MTCS(싱가포르) 등 국내 기준에 부합하는 일정한 인증을 받은 경우 이에 상응하는 보호조치를 갖춘 것으로 간주한다. 다만 이런 경우에도 운영과정에서 미비점이 발견되면 금융회사·감독당국 관리·감독을 통해 보완 등 조치가 가능하다.
해외 클라우드 사업자가 국내외 클라우드 보안인증을 취득하면 운영관리나 물리적 보호조치에 대한 관리·감독을 건너뛸 수 있는 건 아닌가
국내·외 유효한 클라우드 관련 보안인증을 취득·유지하고 있는 클라우드 서비스는 인증기준이 현행법상 클라우드가 갖춰야 할 기술적·관리적·물리적 보호조치 기준을 이미 포함하고 있어 이를 평가한 것으로 본다.
클라우드 보안인증 외에도 금융회사가 수행하는 클라우드서비스 제공자에 대한 안전성 평가를 금융보안원이 지원해 안전성이 확보된 클라우드만을 이용할 수 있도록 내부 통제를 강화한다. 실제 운영과정에서 미비점이 발견되면 금융회사 또는 감독당국 관리·감독으로 보완 등 조치가 가능하다.
송금종 기자 song@kukinews.com
