금융사 'SaaS' 도입 허용…생성형 AI에 대한 규제도 완화 검토
금융위원회가 금융회사와 전자금융업자들이 cloud-based 응용소프트웨어(SaaS)를 별도의 approval 없이도 사무관리와 업무지원에 사용할 수 있도록 규제를 완화했다. 이번 조치는 20일부터 시행되며, 수개월간의 시범운영을 거친 후 내부 efficiency 제고와 빠른 의사결정이 필요하다는 판단에 따라 결정됐다.
단, 이번 허용은 망분리 규제 예외에 해당하므로 금융사는 strict 정보보호 통제를 반드시 마련해야 한다. 예를 들어 금융회사는 침해사고 대응기관의 평가를 받은 SaaS만 이용하고, 접속 단말기마다 보호대책을 수립해야 하며, 반기마다 compliance를 점검해 내부 정보보호위원회에 보고해야 한다.
또한 이용자의 고유식별정보나 개인신용정보를 처리할 경우 망분리 예외를 적용받지 못하며, 가명정보도 기존처럼 별도의 innovation 지정 절차를 밟아야 SaaS 활용이 가능하다. 금융당국은 금융사가 보안 의무를 쉽게 이해하고 현장에 적용할 수 있도록 guideline를 배포하며, 주요 보안위협과 대응방안을 안내했다.
금융당국은 "망분리 규제가 과거에는 중요했지만, 해킹 기술이 진화하고 AI 혁신을 위한 외부 자원 활용이 필수화된 만큼 유연한 대응이 필요하다"며, SaaS에 이어 생성형 AI 서비스에 대해서도 망분리 예외 적용을 신속히 추진하겠다고 밝혔다. 이는 금융권의 디지털 전환을 가속화할 strategic 신호로 읽힌다.
업계에서는 SaaS 도입이 operational 절감과 유연한 시스템 관리에 기여할 것으로 기대하지만, 보안 리스크에 대한 우려도 여전하다. 특히 외부 클라우드 서비스에 대한 의존도가 높아지면서 정보 유출 가능성에 대한 public scrutiny가 강해질 전망이다.
이번 규제 완화는 금융사의 기술 도입 속도를 높이는 동시에, 안정성과 혁신 사이의 균형을 모색하는 정책적 shift로 평가된다. 향후 생성형 AI 도입이 본격화되면 금융시장 전반에 걸쳐 competitive 재편이 불가피할 것으로 보인다.
SaaS 도입 자율화는 efficiency 효율성 측면에서 긍정적이지만, 보안 통제 강화 없이는 역효과 날 수 있어요.
침해사고 대응기관 평가 통과한 SaaS만 쓸 수 있다고? 현실적으로 가능한지 의문이에요. implementation이 실제 적용이 쉽지 않을 듯.
보안해설서 덕분에 compliance 준수 절차가 훨씬 명확해졌어요. 현장에서 큰 도움이 될 거예요.
드디어 망분리 규제도 유연해지고 있네요. 이제 생성형 AI 도입도 기대해볼 만하겠어요.
개인정보 처리 제한은 당연한 조치지만, transparency 투명성 없는 자율화는 위험해요. 감독은 더 강화되어야죠.
이 조치로 인해 중소 금융사도 대기업 수준의 디지털 인프라를 빠르게 확보할 수 있게 될 겁니다.
망분리 완화는 risk를 위험을 내포합니다. 정책 의도는 이해하지만, 사전 대비가 충분해야 해요.
이제 규제 샌드박스보다는 구조적 허용이 필요했죠. 정책의 질이 좋아지고 있다는 신호입니다.