내년부터 국내 금융기관이 해외 클라우드를 사용할 수 있도록 규제가 완화되는 가운데 글로벌 시장을 장악하고 있는 해외 클라우드 업체에 대한 규제 집행력을 확보해야 한다는 지적이 나온다.
금융위원회가 지난 9월 입법예고한 ‘전자금융감독규정’은 금융기관의 클라우드 활용 범위를 비중요정보에서 개인신용정보, 고유식별정보까지 확대하는 것이 핵심이다. 클라우드 사업자가 이 정보를 처리할 때 정보처리시스템을 국내에 설치해야 한다고 규정하고 있다.
먼저 전자금융감독규정에서 금융 민감정보 처리시스템을 국내에 두도록 규정한 것에 대한 허점이 지적됐다. 글로벌 클라우드 사업자들은 각 국가에 데이터센터를 두고 있으나 이를 관리하는 시스템은 해외 본사 등에서 처리한다. 실제로 아마존웹서비스(AWS)와 마이크로소프트(MS)는 국내에 클라우드센터를 두고 있으나 운영과 관리는 호주 지사, 미국 본사 등이 하는 것으로 알려졌다. 이 경우 국내 규제기관의 관리·감독이 제한적이다.
백두현 KT 클라우드사업부 팀장은 “글로벌 클라우드 사업자의 운영·관리체계를 보면 이들이 클라우드 센터를 국내에 입주해도 실질적인 센터 운영·관리는 대부분 해외에서 이뤄지고 있다”며 “국내 현지 법인이 있지만 이들의 역할은 세일즈(영업)다. 금융사고 발생했을 때 직접적인 운영체계를 확인하지 못하면 감독·조사가 어렵다”고 강조했다.
최민식 상명대 교수는 “정보처리시스템의 핵심인 ‘관리시스템’까지 국내에서 처리하도록 해야 한다는 내용이 포함한다고 명시돼야 진정한 국내 소재 요건에 부합하다”며 “핵심 관리 인력이 국내에 있어야 정보유출 문제 발생 시 빠른 조치가 가능할 것”이라고 말했다.
정부가 해외 클라우드 사업자에 대한 행정권, 사법권 집행력도 높일 필요가 있다는 주장이 제기됐다. 현재 개인정보보호 관련, 한국 정부의 글로벌 기업에 대한 법제 집행 능력은 낮은 수준이다. 2016년부터 지난 9월까지 개인정보 침해 사건에 대한 방송통신위원회의 행정처분은 401건이나, 이 중 해외 사업자에 대한 제재는 한 건도 없었다. 페이스북과 구글, 인스타그램 등 글로벌 기업 대상 개인정보 침해 사건 조사에선 자료 확보 단계에서만 6개월 넘도록 지연되고 있다.
차재필 인기협 정책실장은 “금융 서비스가 개방되면 우리 국민 데이터가 전세계로 나가는데, 규제 집행력을 높이기 위해 조사권을 강화해야 한다”며 “특히 해외에서 인증받지 않은 기관이 정보에 접근하는 것을 막는 물리적 장치가 필요하며, 해외 클라우드 감독권 강화를 염두에 두고 제도를 정비해야 한다”고 말했다.
윤철한 경제정의실천시민연합 국장은 “글로벌 기업 국내 서버 설치, 대리인 지정 제도가 도입되더라도 국제무대에서 집행력을 확보할 수 있을지 의문”이라며 “이용자 주권을 위해 규제가 제대로 집행되도록 제도를 정비해야 한다”고 말했다.