영국, 클라우드 등 외부 기술 공급자를 ‘중대 제3자(CTP)’로 지정해 관리
금융 당국, 기술 공급사 스트레스 테스트·주요 장애 보고 의무화
금융 당국, 기술 공급사 스트레스 테스트·주요 장애 보고 의무화
이미지 확대보기영국 가디언(The Guardian)은 지난 10일(현지시각) 영국 중앙은행(Bank of England)과 금융행동청(FCA)이 아마존웹서비스(AWS), 구글 클라우드, 오라클, 마이크로소프트 등 4개 기업을 ‘중대 제3자(Critical Third Parties, CTP)’로 지정하고, 오는 13일(현지시각)부터 직접적인 감독 권한을 행사한다고 보도했다.
CTP란 금융 시스템의 기능 유지에 중대한 영향을 줄 수 있는 외부 기술 공급자를 의미한다. 이번 조치는 기술 기업을 금융 안전망의 핵심 주체로 보고 당국이 직접 통제권 안에 두는 선도적인 사례로 평가받는다.
직접 감독의 핵심…기술 공급자의 ‘안정성’ 입증 의무화
기존 금융 규제는 금융사가 외부 서비스를 이용할 때 스스로 리스크를 관리하도록 하는 방식이었다. 그러나 이번 조치는 기술 기업 자체를 금융 시스템의 필수 인프라로 간주해 금융 당국이 직접 감시한다는 점에서 차이가 있다.
이들 4개 기업은 앞으로 ▲당국이 요구하는 사이버 복원력 기준 준수 ▲가상 시나리오 기반의 스트레스 테스트 이행 ▲주요 장애(사이버 공격, 전력 중단 등) 발생 시 당국에 대한 즉시 보고 의무를 진다.
영국 중앙은행은 기술 공급자가 금융 시장의 안정성을 담보할 수 있는 체계를 갖췄는지 직접 실시간으로 점검하게 된다.
금융권 내 빅테크 의존도는 이미 임계점을 넘었다. 영국 재무위원회 보고서에 따르면 2023년부터 2025년까지 금융권에서 발생한 IT 장애 시간은 합산 시 한 달을 훌쩍 넘는 수준이다.
클라우드 서비스가 금융의 사회간접자본(SOC) 역할을 수행하면서, 기술 기업의 작은 오류가 금융 시스템 전체의 ‘나비효과’를 유발하는 구조가 고착화됐다는 지적이다.
국내 금융권 ‘망 분리 완화’와 규제 공백의 현실
그러나 한국은 영국과 같은 ‘공급자 직접 규제’ 체계와는 거리가 있다. 금융위원회는 최근 망 분리 규제를 완화하며 AI 도입을 장려하고 있으나, CSP를 당국이 직접 감독하기보다는 금융사가 CSP를 관리·감독하도록 하는 ‘책임 귀속’ 방식을 취하고 있다.
정호석 금융 보안 전문 변호사는 “한국도 글로벌 CSP 의존도가 높지만, 당국이 AWS나 구글 같은 거대 기업에 직접적인 시정 명령이나 제재를 내릴 법적 근거는 미비하다”며 “영국의 이번 조치는 기술 기업의 서비스가 금융 안정성과 직결된다는 점을 명확히 한 것”이라고 진단했다.
규제 실효성과 혁신 저해 우려 사이의 고심
이번 규제 도입을 두고 시장 안팎의 시각은 엇갈린다.
보안 업계의 한 관계자는 “금융 시스템의 필수 인프라에 대한 국가적 관리 차원에서 불가피한 선택”이라며 긍정적인 입장을 밝혔다.
반면, 기술 업계 일각에서는 “글로벌 기업에 대한 규제가 과도할 경우 투자 위축과 서비스 혁신 저해로 이어질 수 있다”는 우려도 제기된다.
특히 영국 정부가 대형 기술 기업의 투자를 유치하기 위해 18개월간 고심 끝에 이 방안을 내놓았다는 점은 규제와 혁신 사이의 균형점을 찾는 것이 얼마나 어려운 과제인지를 보여준다.
유럽연합(EU)의 디지털운영복원법(DORA) 등 기술 공급자 규제가 확산되는 가운데, 영국의 이번 직접 감독 모델은 향후 글로벌 금융 규제의 흐름에 상당한 영향을 미칠 것으로 보인다.
국내 금융 당국 또한 글로벌 흐름에 발맞춰 CSP에 대한 실질적인 통제력을 어떻게 확보할 것인지에 대한 정책적 고민이 필요한 시점이다.
진형근 글로벌이코노믹 기자 jinwook@g-enews.com

































