하지만 금융당국은 글로벌 기업에 대한 직접 감독보다는 금융권을 통한 자율 규제 즉, 간접감독에 무게를 두고 있다. 자칫 해킹사고가 발생했을 경우 글로벌 기업에 대한 정부의 행정력이 제대로 작동할 수 없을 것이라는 우려가 나온다.
또 글로벌 기업이 국내 금융권을 위한 클라우드 서비스를 제공하기 위해 데이터 센터 국내 설치만 의무화할 것이라 아니라 이를 관리하는 관리시스템을 두지 않으면 국내 이용자의 개인신용정보가 해외로 유출될 것이라는 지적도 제기된다.
3일 금융위원회와 관련 업계에 따르면 내년 1월부터 금융기관의 퍼블릭 클라우드 활용 범위를 개인신용정보·고유식별정보로 확대하는 '전자금융감독규정' 개정안이 시행된다. 현재도 금융권이 아닌 다른 분야에서는 클라우드를 제한없이 활용하고 있다. 이에 금융위는 핀테크 혁신성장을 이끌어보자는 취지로 현재 '금융권 클라우드 서비스 가이드라인'을 개정하고 있다.
문제는 이 가이드라인에 정부의 클라우드 제공 기업에 대한 직접 감독은 빠져있다는 점이다. 금융위는 금융회사와 클라우드 서비스 기업 간 계약을 맺을 때 금융당국의 현장방문을 포함 한 조사·접근에 협조할 의무를 명시하겠다는 입장이다. 즉, 금융권을 통한 간접감독으로 1차적인 감독권을 확보할 수 있다는 판단이다. 반면 유럽연합(EU), 영국 등은 클라우드 서비스 기업에 대해 직접 감독을 하고 있다.
이에 대해 금융위 관계자는 "직접감독을 명시한 EU도 권고사항이고 (직접 감독은 ) 각 나라가 국내법으로 별도 입법을 해야 한다"면서 "금융회사를 통해 계약서에 (조사 등을) 협조할 의무를 명시하면 검사권이 확보된다고 본다"고 말했다. 향후 운용상황을 보고 직접감독 등의 입법을 검토해보겠다고만 했다.
실제 지난달 22일 발생한 AWS의 클라우드 서비스 장애 사고와 관련, 주무부처인 과학기술정보통신부는 하루 뒤 클라우드컴퓨팅법에 따라 직권조사를 결정, 중앙전파관리소에 공문을 보냈고, 규정에 맞춰 오는 6일 현장 조사를 나갈 예정이다. 하지만 피해 기업은 AWS로부터 사고에 관한 아무런 설명도 여전히 듣지 못한 상황이다. 반면 KT 화재사고는 사고 다음날인 지난달 25일 과기정통부가 현장방문을 했고, KT는 그날 바로 보상책을 내놨다. 최민식 상명대 지적재산권학과 교수는 "자율규제는 그곳에 속하지 않은 사람이 보면 '그들만의 리그'가 된다"면서 "금융 소비자 입장에서는 피해가 생겼을 때 최소한의 구제조치, 보상 등의 정보를 알 수 없게 되기 때문에 정부가 필수적인 감독을 해주는 것이 맞다"고 강조했다.
문제는 하나 더 있다. 클라우드 서비스 관리시스템을 국내에 두지 않으면 운영관리, 거버넌스 관리 주체는 해외 본사에 있어 개인신용정보의 해외유출을 막을 수 없게 된다는 것이다.
금융위가 개정 중인 가이드라인에는 클라우드 데이터 센터만 국내에 두도록 하고 있다. 업계 관계자는 "민감정보가 유출될 수 있으니 위험하기도 하지만 이 기회에 우리나라의 금융 등 민감정보의 관리체계는 어떻게 돼 있는지 이 정보가 왜 중요한지도 체크해봐야 한다"면서 "시행시기를 늦추더라도 관리 감독 체계를 강화하고 피해 구제안 등도 마련해야 한다”고 말했다.
gogosing@fnnews.com 박소현 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지