내년 1월부터는 은행 등 금융회사가 소비자의 신용등급, 주민등록번호 등 개인정보를 인터넷 기반인 클라우드 서비스에 보관하고 이용할 수 있게 된다. 하지만 이렇게 되면 정보유출 등 후폭풍을 감당하기 어려울 것이라고 우려하는 목소리도 나오고 있다.
7일 금융위원회는 금융권 클라우드 활용 범위를 개인신용정보까지 확대하는 내용 등이 담긴 '전자금융감독규정' 개정안을 2019년 1월 1일부터 시행한다고 밝혔다. 지금까지 금융회사와 전자금융업자는 개인신용정보, 고유식별정보를 포함하지 않는 정보만 클라우드에서 이용할 수 있었다. 하지만 앞으로는 신용등급 등 중요정보도 활용할 수 있다.
금융당국은 개인정보 유출 등을 막는 보호장치도 마련했다고 설명했다. A회사와 B회사가 같은 클라우드 서비스를 이용하더라도 각각 통신망을 분리하고, 중요정보를 암호화 처리한다는 것이다. 금융위는 또 클라우드 서비스업체 등 개인신용정보 접근권한이 없는 사람은 정보를 열람할 수 없도록 하고, 위반 시 형사처벌 등 제재 대상이라고 밝혔다.
주홍민 금융위 전자금융과장은 "은행이 클라우드 서비스업체에 정보관리 등을 위탁할 뿐, 업체에 정보를 제공하는 것이 아니다"라며 "암호화한 정보를 전송하기 때문에 개인정보 열람·유출 위험이 적다'고 설명했다. 금융회사가 아마존 등 클라우드 서비스업체에 개인정보를 보관할 때 원본을 확인할 수 없는 형태로 정보를 전송하는데, 권한이 있는 사람만 이 정보를 복원해 이용할 수 있으므로 안전하다는 얘기다.
또 금융당국은 금융회사가 클라우드 서비스가 안전한지 판단할 수 있도록 전산자료 접근통제, 주요 전산장비 이중화 등 안전성 기준도 마련했다. 이와 함께 금융회사가 클라우드 서비스의 안전성을 평가하고 자체 정보보호위원회의 심의를 거치도록 하는 내부통제 강화 방안도 개정안에 포함했다.
금융위는 사고에 따른 법적 분쟁, 소비자 보호 등을 고려해 국내 기 정보처리시스템을 두고 있는 클라우드 서비스 업체에 한해 개인신용정보 처리 등을 허용할 방침이다.
"정보 유출시 심각한 문제... 후폭풍 감당 못할 것"
하지만 금융당국이 성급하게 규제를 완화했다는 비판도 나왔다. 양홍석 참여연대 공익법센터 변호사는 "개인신용정보도 클라우드에 공유할 경우 정보가 유출되면 문제가 아주 심각해질 수 있다"고 말했다. 그는 "내밀한 개인정보를 모두 끌어 모아 뭉쳐놓겠다는 얘긴데, 상당히 곤란한 일"이라고 덧붙였다.
양 변호사는 "지금의 기술은 개인정보를 완벽한 형태로 보호하지 못하는 단계에 머물러 있다"며 "개인정보를 암호화한다고 해도 안전하지 않다"고 설명했다. 이어 "(해킹이) 상당히 어려운 수준, 정보가 매우 잘 보호된다는 느낌이 들 정도로 기술이 발달하지 않았는데 산업계나 금융위는 그렇다고 판단한 것 같다"고 했다.
그는 "지금까지 정보유출로 인한 피해가 그나마 적었던 것은 개인정보가 여러 바구니에 나뉘어 있었기 때문인데, 이 많은 바구니들을 합치겠다고 한 것"이라고 비유했다. 현재에는 은행, 카드회사 등이 가지고 있는 소비자 개인신용정보를 회사별로 따로 보관하고 있는데, 이를 클라우드에 모아 보관하게 되면 정보유출 때 피해가 커질 수 있다는 뜻이다.
또 클라우드의 개념을 명확하게 정리하지 않은 상태에서 규제를 풀게 되면 이후 기술발전으로 '변종' 클라우드가 등장해 문제가 발생해도 제재하기 어려울 수 있다고 지적했다. 양 변호사는 "규정을 보면 클라우드의 정의가 너무 광범위하다"며 "이번 개정안으로 새로운 클라우드 서비스가 등장할 수 있는데 어떤 것이 나올지 기술자들도 예상하기 힘들다"고 했다.
그는 "새 기술을 검증하고, 사회가 어떻게 받아들일지 고민하는 시간이 필요한데, 그렇지 않은 상태에서 함부로 이를 허용하게 되면 후폭풍을 감당할 수 없게 될 것"이라고 경고했다.