금융권 SaaS 빗장 풀렸지만…HR·ERP·CRM은 여전히 '그림의 떡' 작성일 03-12 22 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="GB4Op8jJTs"> <figure class="figure_frm origin_fig" contents-hash="220e7f5202e64a03034e10e63f99b0d6948e91dd1304299d40554a76d8c79080" dmcf-pid="Hb8IU6Aiym" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202603/12/552796-pzfp7fF/20260312140020638kbwi.jpg" data-org-width="640" dmcf-mid="Y7XROZ2uhO" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202603/12/552796-pzfp7fF/20260312140020638kbwi.jpg" width="658"></p> </figure> <p contents-hash="7b7aa4db745a8cc4e43ba42721698e1f221bd2f2a8a5bd44c7ec0710cf73b237" dmcf-pid="XK6CuPcnhr" dmcf-ptype="general">[디지털데일리 이안나기자] 금융권 오랜 숙원이었던 망분리 규제가 완화되면서 소프트웨어(SW) 업계 기대감이 높아지고 있다. 다만 이번 조치 수혜 범위가 당초 기대보다 좁다는 지적도 함께 나온다. 개인정보 처리 여부라는 단서 조항 하나가 서비스 유형별로 명확한 선을 긋고 있어서다.</p> <p contents-hash="0b31fe684ad071a83f662b9f4e8c7338a80f2e275df9acf7e86f9d53fdd3c2cc" dmcf-pid="Z9Ph7QkLhw" dmcf-ptype="general">12일 금융·IT업계에 따르면 금융사가 내부 업무망에서 서비스형소프트웨어(SaaS)를 별도 심사 없이 활용할 수 있도록 허용하는 내용의 ‘전자금융감독규정 시행세칙’ 개정안이 이르면 이달 중 시행될 전망이다. 지난 1월20일 사전예고 이후 2월9일까지 의견수렴을 마쳤으며 현재 규제개혁위원회 심사 등 행정 절차가 진행 중이다.</p> <p contents-hash="2ede974c2c733a77d28e9276a7e4c0c47922bd3e36a8eadb53041fcdc19e3a11" dmcf-pid="52QlzxEoyD" dmcf-ptype="general">이번 조치는 2013년 대규모 전산망 마비 사태를 계기로 도입된 물리적 망분리 원칙이 처음으로 제도적으로 완화된다는 점에서 의미가 있다. 금융당국은 2023년 9월부터 혁신금융서비스 샌드박스를 통해 SaaS 도입을 허용해왔고 총 32개 금융사가 85건 서비스를 지정받아 운영해왔다. 보안 사고 없이 안정적으로 운영된 사례가 쌓이면서 이번 제도화로 이어진 것이다.</p> <p contents-hash="fb6f6aed4fa74aea7cc799afa4395c0a6019831f38eb9f6426be039c14b1b8c8" dmcf-pid="1VxSqMDgTE" dmcf-ptype="general">이번 개정안의 수혜 범위를 결정짓는 건 단서 조항 하나다. ‘이용자의 고유식별정보 또는 개인신용정보를 처리하지 않는 SaaS’에 한해 예외를 허용한다는 규정이다. 고유식별정보는 주민등록번호·여권번호 등을, 개인신용정보는 금융거래·신용평가 관련 정보를 뜻한다. 화상회의, 협업 플랫폼, 문서작성 도구처럼 이와 무관한 서비스는 별도 심사 없이 바로 도입할 수 있다.</p> <p contents-hash="f4caf12fdd68618bbb52e2541b13a920501d400a720f0541be0f8549d85a8a4d" dmcf-pid="tfMvBRwaWk" dmcf-ptype="general">반면 인사관리(HR)·급여 SaaS는 4대보험 신고와 연말정산 처리에 주민등록번호 활용이 불가피해 이번 완화 혜택을 받기 어렵다. 전사적자원관리(ERP), 고객관계관리(CRM) 등도 서비스 특성에 따라 개인정보 처리가 수반되는 경우도 마찬가지다. 업계에서 “기업 경영 근간이 되는 서비스는 빠지고 주변 도구만 혜택을 받는 구조”라는 지적이 나오는 이유다.</p> <p contents-hash="f8f35520670aad3fed64916b017e6fa833de3a2e22a11b0ce64e97ee8afabab1" dmcf-pid="Fwh2jlpXTc" dmcf-ptype="general">금융감독원 관계자는 “HR·급여처럼 식별정보 처리가 수반되는 경우에는 이번 완화 적용이 어렵다”며 “망분리 개선 로드맵에 따라 계속 검토될 부분이 있지만 현재 제도와 관련해서는 이 정도 수준”이라고 설명했다.</p> <p contents-hash="3843d2a738909d12e371007ccec6c6df6b75d3343688ca8c599a0caaad02d025" dmcf-pid="3rlVASUZTA" dmcf-ptype="general">이번 개정안 대상이 아니더라도 기존 혁신금융서비스 제도를 통해 개별 심사를 거치면 개인정보를 처리하는 SaaS도 도입할 수 있다. 실제로 토스뱅크는 지난해 12월 이 경로로 AI 컨택센터(AICC) 서비스 운영을 허가받았다. 다만 금융사들이 심사 절차 자체를 부담스러워하는 게 현실이다.</p> <p contents-hash="5ece6d5761d24f3cff7cecdb6e5cbc1a2e83da18b7ac882bf5f6ceeba7749319" dmcf-pid="0mSfcvu5Cj" dmcf-ptype="general">AICC 업계 관계자는 “승인 절차를 번거롭게 여겨 금융사들이 먼저 나서려 하지 않는다”며 “벤더들도 고객사가 움직이지 않으니 때가 아니라고 보는 분위기”라고 전했다. 워낙 보수적인 산업 특성상 개정안이 시행되더라도 금융사들이 발빠르게 움직일지는 미지수라는 시각이다.</p> <p contents-hash="20ab0cd8fe512f63c7c533bb586005c4397617e1793b3084769e7d1555b3bffe" dmcf-pid="psv4kT71lN" dmcf-ptype="general">반면 개인정보를 처리하지 않는 영역에서는 기회를 포착하는 움직임도 있다. CRM 솔루션을 제공하는 세일즈포스는 영역에 따라 온도 차를 뒀다. 세일즈포스 코리아 측은 “이번 개정안이 특정 소프트웨어 유형을 열거하는 방식이 아니라 개인신용정보를 처리하지 않는 SaaS 전반에 원칙적으로 예외를 허용하는 구조”라고 설명했다.</p> <p contents-hash="f269fdb96fec85c1c78c60166fb529e645a7afec0abe3f34294a30868faac2f0" dmcf-pid="UOT8Eyztya" dmcf-ptype="general">기업금융 등 B2B 금융 영역에서는 기업 고객 관계 관리, 영업 파이프라인, 파트너·채널 관리, 내부 프로세스 자동화 등 개인신용정보를 직접 처리하지 않는 영역이라면 즉각 도입이 가능해졌다는 평가다. 실제 이번 금융당국 발표 이후 여러 금융사로부터 SaaS 도입 범위와 보안 요건에 대한 구체적 문의가 늘고 있다.</p> <p contents-hash="a10140d2e079f5e51263211e2c2a08174b8d97152d322fbc14b4894df8d69798" dmcf-pid="uIy6DWqFCg" dmcf-ptype="general">반면 개인 고객 대상 리테일(B2C) 영역에 대해서는 신중론을 폈다. 개인신용정보 처리와 관련해 기존 규제가 유지되는 만큼 단계적 접근이 필요하다는 입장이다. 세일즈포스 코리아는 이에 대비해 데이터 암호화, 고객 키 관리 체계, 기존 온프레미스 시스템과의 하이브리드 연동 등 기술적 준비를 갖추고 있다고 밝혔다.</p> <p contents-hash="910dade9d27485f37099f99526c292b3991dfb923bf620a3f4ed1d7e761a73e0" dmcf-pid="7CWPwYB3Wo" dmcf-ptype="general">한편 망분리 예외를 적용받는 대신 금융사가 짊어져야 할 보안 의무도 만만치 않다. 금융보안원 등 침해사고 대응기관의 평가를 통과한 SaaS만 사용할 수 있고 다중 인증·최소 권한 관리 등 접근 통제와 네트워크 구간 암호화, 중요 정보 모니터링 등을 갖춰야 한다. 이행 여부는 반기마다 자체 평가해 정보보호위원회에 보고하는 의무도 생긴다.</p> <p contents-hash="9be77342b6b891aab79a41da6e816776123e1f9733d0c1db4565509a9b7592dc" dmcf-pid="zhYQrGb0yL" dmcf-ptype="general">개인정보 처리 여부 판단을 금융사 자체에 맡긴 구조인 만큼 도입에 앞서 충분한 내부 검토가 선행돼야 한다는 게 당국의 입장이다. 금감원 관계자는 “어떤 SaaS가 개인정보를 처리하는지는 금융사가 자체 판단하고 CISO에게 내부 보고한 뒤 반기마다 점검하는 의무가 있다”고 설명했다. 금융당국은 생성형 AI 등 추가적인 망분리 개선 과제도 금융권과 협의해 추진할 계획이라고 밝혔다.</p> </section> </div> <p class="" data-translation="true">Copyright © 디지털데일리. All rights reserved. 무단 전재 및 재배포 금지.</p> 관련자료 이전 안선영, 치매 투병 모친과 네일숍 데이트‥일 내려놓은 근황 “살다보니 살아져” 03-12 다음 K-게임 미래 키운다…한콘진, 글로벌게임허브센터 신규 입주기업 모집 03-12 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
