전자금융거래법 일부개정법률안(이하 전금법)을 놓고 외국계 클라우드 기업과 국내 클라우드 기업 간 의견이 갈라졌다. 비금융사인 클라우드 컴퓨팅 기업에 금융 당국이 직접 자료 제출을 요구하거나 조사하고, 필요 시 과징금을 부과하는 방안에 대해 외국계는 반발하고 국내업계는 환영한다는 입장이다.
그동안 외국계 클라우드 기업이 본사 방침을 이유로 시스템 오류나 보안사고 등 문제 발생 시 국내 고객사에 불리한 조건을 내거는 관행이 공공연했다. 상대적으로 규모가 작고 후발주자인 국내 클라우드 기업은 이로 인해 역차별을 당하고 있다는 지적이 제기돼 왔다.
15일 금융 당국과 업계에 따르면 정부는 전금법 개정안에 국내 클라우드 기업과 동일하게 해외 클라우드 기업에도 직권조사와 관리·감독을 이행할 수 있도록 하는 근거 조항을 신설한다. 물론 국내 기업도 동일한 규제를 받게 된다. 하지만 국내에 인프라가 없거나 거점 없이 본사 규정만을 이행하고 있는 외국계 기업은 데이터 이관 등 그동안 유리했던 관행을 모두 접어야 할 상황에 놓이게 된다.
금융위원회는 주요 수탁사 범위를 클라우드 서비스 기업 외에 밴(VAN)사도 포함하는 방안을 검토하고 있다. 전금법 개정안에는 변화하는 금융 환경을 고려, 제3자 리스크에 대한 관리·감독을 강화하는 내용이 포함돼 있다.
기존에는 클라우드 서비스 기업이나 밴사 등을 전자금융보조업자 개념으로 포괄했지만 개정안은 이를 폐지하고 수탁자, 전자서명인증사업자, 금융플랫폼운영자 등으로 세분화해 규정했다. 또 금융회사 등이 제3자에게 정보자산 관리·운영업무를 위탁하는 경우에 대해 '금융보안 원칙'(제20조의 2)을 신설했다. 금융회사 업무를 위탁받은 사업자로 인해 보안 리스크가 불거지는 문제를 예방하기 위해 일정 책임과 의무를 부여하는 조치다. 위탁받은 사업자가 해당 업무를 다른 사업자에 다시 위탁할 수 없도록 하는 조항도 조건부로 포함했다. 그럴 경우 해외기업은 본사 규정을 들어 책임을 회피할 수 없게 된다.
이에 더해 수탁자 업무가 전자금융거래의 안정성이나 신뢰성에 큰 영향을 미치는 '주요 수탁자'에 한해 정기검사 외에도 수탁자에게 직접 자료 제출을 요구하거나 조사할 수 있도록 규제 수위를 높였다. 그동안 외국계 클라우드 기업은 이에 응할 필요가 없었다. 한국 금융사업자라는 정의가 없고, 본사 규율을 들이밀어 불공정 계약을 맺는 사례가 많았다는 게 국내 금융사들의 의견이다.
이를 지키지 않을 경우 해외기업도 과징금 철퇴를 맞을 수 있다는 것이다. 과징금 규모는 수입 등의 100분의 50(50억원을 초과하는 경우 50억원)을 초과하지 않는 범위 안에서 부여하도록 했다.
이를 두고 국내기업과 해외기업 간 의견이 시장에서 갈렸다. 최근 해외 클라우드 기업은 주한미국상공회의소를 통해 수탁사인 클라우드 서비스 기업을 금융 당국이 직접 규제하는 것이 과도하다는 의견을 금융위에 전달한 것으로 확인됐다. 과징금 부과 조항을 삭제해 달라는 요청도 제기했다.
또 금융 당국이 금융사와의 계약 내용이나 기업 규모 등 광범위한 자료에 접근할 권한을 지나치게 많이 갖는 것은 명확성 원칙에 어긋난다고 주장했다.
주한미국상공회의소는 “금융감독원의 조사는 수탁자가 자료 제출 의무를 이행하지 않은 경우 등으로 한정할 필요가 있다”며 “과징금 부과 조항은 삭제해야 한다”고 밝혔다.
반면 국내기업은 금융 당국이 전금법을 통해 동일한 규제를 적용해야 한다는 입장이다. 초대형 글로벌 기업들이 클라우드 시장을 선점해 상대적으로 국내기업 입지가 약했는데 금융 당국의 가이드라인을 동일하게 적용받을 경우 공급사 추가 확보가 용이하고 사업에 속도를 낼 수 있기 때문이다.
국내 클라우드 시장은 아마존웹서비스(AWS), 마이크로소프트(MS) 등 외국계 기업이 시장을 70% 이상 점유했다. 최근 네이버클라우드, NHN 등 국내기업이 뛰어들었지만 초기 단계여서 점유율 간격 좁히기에는 다소 시일이 걸릴 것으로 보인다.
국내 클라우드 기업의 한 관계자는 “정부 정책이 외국계 기업을 제외하고 국내기업에만 적용돼 역차별로 이어지면 국내기업의 입지는 더 줄어들 수밖에 없다”면서 “공공도 '클라우드 보안인증' 도입 후 클라우드 확산에 긍정적 영향을 미쳤듯 금융도 정책 시행을 계기로 국내외 기업 모두 안정적 서비스 제공에 더 책임감을 갖도록 유도해야 한다”고 말했다.
금융위의 입장은 단호하다. 이미 금융권의 퍼블릭 클라우드 도입이 시작됐고 클라우드 기반 금융서비스가 증가하는 점을 감안하면 금융소비자 보호를 위해 제3자 리스크에 대한 관리·감독이 반드시 필요하다고 봤다. 성역 없는 관리 체계를 만들겠다는 취지다.
특히 특정 해외 클라우드 서비스 제공사가 한국은 물론 세계 시장에서 영향력이 지속 확대하는 점을 감안하면 예기치 않은 서비스 장애나 서비스 중단·파산, 데이터 유출 등이 발생할 경우 금융 안정성이 크게 흔들릴 수 있다고 강조했다.
금융위 관계자는 “서비스 사업자가 국내든 해외든 우리 국민의 정보가 저장된 곳이기 때문에 접근·감사 한계가 발생하면 안 된다”면서 “추후 언제 어떤 사고가 발생할지 모르는 상황에서 선제적으로 예방장치를 마련할 필요가 크다”고 말했다.
배옥진기자 withok@etnews.com, 김지선기자 river@etnews.com