내년부터 금융회사가 클라우드(가상 저장공간)에 주민등록번호·신용등급 등 개인신용정보도 저장할 수 있게 된다.
7일 금융위원회는 제21차 정례회의를 열고 이 같은 내용을 담은 '전자금융감독규정 개정안'을 의결했다. 이 개정안은 내년 1월부터 시행될 예정이다.
금융당국은 지난 2016년 금융회사가 '비중요 정보'에 한해 클라우드 사용을 허용했다가 규제를 풀어달라는 금융권의 목소리를 반영해 클라우드 이용범위를 넓혔다.
이에 따라 전자금융감독규정은 '금융회사·전자금융업자는 비중요정보만 클라우드에 이용가능하다'에서 '개인신용정보·고유식별정보도 클라우드에서 이용 가능하다'로 바뀌게 된다.
내년부터 법이 개정되면 금융회사는 클라우드에 저장된 개인신용정보를 활용해 인공지능(AI) 상담, 상품개발 등에 나설 수 있게 된다. 외부 클라우드에 고객 정보를 보관할 수 있어 전산시설 건축 비용 등도 줄일 수 있다.
민감한 정보가 클라우드에 저장되는 만큼 보안성도 강화된다.
우선 금융회사는 클라우드 제공자의 건전성과 안전성을 평가하는 자체 정보보보위원회를 설치해야 한다. 이 위원회는 클라우드 안전성을 관리하고 의결 사항은 감독당국에 보고해야 한다.
아울러 데이터 보호를 위해 금융권 통합보안관제 지원, 전산자료 접근통제, 정보시스템 가동기록 보존, 중요정보 암호화 등 금융관련 법령을 준수해야 한다. 클라우드 이용시에도 주요 전산장비를 이중화하고 백업 체계를 구축해야 한다.
금융당국의 감독도 강화된다. 금융회사와 클라우드 제공업체간 계약 체결시 클라우드 제공업체의 감독·검사 의무를 계약서에 명시하기로 했다. 금융사가 아닌 클라우드 제공업체도 금융당국의 감독 범위에 들어오게 되는 것이다.
원활한 감독과 소비자 보호를 위해 개인신용정보 처리는 국내에 소재한 클라우드에 한해 허용하기로 했다.
개인정보유출 등 사고발생시 법적 책임관계도 명확하게 구분했다. 고객 피해는 금융회사가 직접 손해 배상하고 클라우드 제공업체는 연대 배상책임을 진다. 금융회사의 손해에 대해선 클라우드 제공자가 손해를 배상해야 한다.