- 영란은행(Bank of England)과 FCA(Financial Conduct Authority)가 아마존·구글을 포함한 4대 클라우드·기술 서비스 제공업체에 대한 직접 규제 권한을 공식 위임받았다.
- 규제 초점은 은행에 제공되는 서비스의 복원력(resilience) 확보와 사이버 공격 리스크의 능동적 축소로 정의된다.
- 이번 조치는 빅테크가 영국 금융 시스템의 핵심 인프라로 작동함에 따라 전통 금융 감독이 기술 공급망으로 확장된 사례로 평가된다.
금융과 기술의 경계가 사라지는 시대, 감독의 무게중심도 은행에서 공급망 위로 이동하고 있다.
영란은행이 2026년 7월 10일 아마존과 구글을 포함한 주요 4대 기술 서비스 제공업체에 대한 직접 규제 권한을 공식 행사하기 시작했다. 영국 가디언 보도에 따르면 이번 권한 위임은 금융 시스템의 안정성을 사후 대응이 아닌 사전 구조적 차원에서 관리하겠다는 감독 기조의 전환을 의미한다. 빅테크가 영국 금융 인프라의 근간으로 작동하는 현실이 제도권 감독의 전면에 나선 것이다.
왜 영란은행이 아마존·구글을 직접 규제하기 시작했나
영국 금융권의 클라우드 의존도 현황
영국 대형 은행과 보험사 다수는 핵심 업무 시스템과 데이터 분석 환경을 아마존 AWS, 구글 클라우드 등 외부 hyperscaler에 상당 부분 의존하고 있는 것으로 알려져 있다. 업계에서는 일부 금융기관의 경우 비핵심 업무 영역을 중심으로 클라우드 전환 비중이 절반을 넘어섰다는 평가도 나온다. 이러한 의존 구조는 운영 효율을 높였지만 특정 공급사 장애가 곧 은행 서비스 중단으로 이어지는 단일 실패점(single point of failure) 리스크를 동시에 키웠다.
공급망 리스크가 은행 안정성에 미치는 경로
클라우드 공급사의 장애는 크게 세 경로로 은행에 전이된다. 첫째, 데이터 센터 가용성 저하로 인한 결제·뱅킹 서비스 중단, 둘째, 인증·API 게이트웨이 마비로 인한 채널 접근성 상실, 셋째, 사이버 침투 시 금융 데이터 노출이다. 영란은행과 FCA는 이러한 리스크가 전통적인 은행 내부 통제 범위를 넘어선다는 점에 주목해 왔으며, 이번 권한 확대는 그 대응의 제도적 결실로 해석된다.
기존 제도의 한계와 새 권한의 법적 근거
기존에는 은행이 제3자 리스크 관리(outsourcing risk management) 차원에서 클라우드사를 간접 점검하는 구조였다. 그러나 공급사의 실제 통제 수준을 банк이 완전히 검증하기 어렵고, 사고 발생 시 책임 소재도 모호했다. 새로 부여된 권한은 FCA·BoE가 클라우드사 자체에 대해 복원력 기준과 사이버 통제 요건을 직접 부과하고 점검할 수 있는 법적 근거를 마련했다는 점에서 의미가 크다.
규제 대상 4사와 핵심 요구사항
아마존 AWS·구글 클라우드의 영국 금융 시장 점유율
글로벌 금융 클라우드 시장에서 AWS와 구글은 마이크로소프트 Azure와 함께 3대 하이퍼스케일러로 분류된다. 영국 금융권 내에서도 두 회사의 점유율이 상위에 집중되어 있는 것으로 알려지며, 마이크로소프트와 오라클 등 다른 대형 공급사와 함께 핵심 4사 구도가 형성된 것으로 평가된다. 따라서 4사 중 일부라도 감독 대상에서 제외된다면 규제의 실효성이 떨어질 수밖에 없는 구조다.
FCA·BoE의 복원력 기준과 사이버 통제 요건
| 분류 | 핵심 요구사항 | 감독 주체 |
|---|---|---|
| 서비스 복원력 | 중단 허용 시간 한도, 백업 지역 분산, 장애 복구 훈련 정기 실시 | BoE |
| 사이버 통제 | 위협 탐지 체계, 취약점 점검, 침투 테스트 보고 의무 | FCA |
| 리스크 전이 차단 | 은행 고객 영향 평가, 사고 발생 시 보고 체계 구축 | BoE·FCA 공동 |
| 데이터 거버넌스 | 데이터 위치, 접근 통제, 영국 외 반출 통제 | FCA |
위 기준은 기존 금융기관 대상 운영복원력 규제 프레임워크의 정신을 공급사 측으로 확장한 형태로, 단순 기술 요건을 넘어 거버넌스 수준을 요구한다.
실패·사고 시 은행에 대한 리스크 전이 차단
핵심은 공급사 사고가 은행 손실로 이어지는 경로를 제도적으로 차단하는 것이다. 이를 위해 계약 단계부터 가용성 보장 수준(SLA), 사고 통지 기한, 은행 측 감사 권한, 데이터 반환·이전 절차가 표준화될 가능성이 높다. 업계에서는 향후 영국 금융기관이 클라우드 계약 갱신 시 이러한 요건을 실질 조항으로 요구하는 사례가 늘 것으로 보고 있다.
글로벌 규제 흐름과 한국에 대한 시사점
미국·EU의 클라우드 서비스 공급업체 직접 감독 논의
미국 연방준비제도(Fed)도 일부 시스템적으로 중요한(systemically important) 클라우드 사업자에 대해 직접 감독을 강화하는 방안을 검토해 온 것으로 알려져 있다. EU 역시 디지털 운영복원력법(DORA)을 통해 금융 분야 ICT 공급사에 대한 직접 감독 요소를 포함했다. 영국의 이번 조치는 이러한 글로벌 흐름의 영국판 구현으로, 표준 모델이 될 가능성이 점쳐진다.
국내 금융 클라우드 이용 가이드라인과의 비교
한국 금융위원회와 금융감독원은 클라우드 이용 가이드라인을 운영하며, 금융기관의 안전성 평가와 데이터 보호를 관리해 왔다. 그러나 규제 대상이 금융기관 자체에 집중되어 있어, 해외 하이퍼스케일러에 대한 직접 감독 권한은 제한적이다. 영국 사례는 향후 국내에서도 공급사 차원의 감독 강화가 논의될 수 있는 정책적 시사점을 제공한다.
기업 대응 체크리스트: 컴플라이언스, 분산 계약, 감사 로그
- 클라우드 계약서에 영란은행·FCA 수준의 복원력·보안 조항 반영 여부 점검
- 단일 공급사 의존도를 낮추기 위한 멀티 클라우드·멀티 리전 설계 검토
- 감사 로그와 접근 기록의 영구 보관·열람 절차 사전 정의
- 공급사 사고 시 보고·대응 플레이북을 은행 리스크 관리 체계와 연동
- 데이터 residency, 개인정보 반출 통제 요건을 조달 단계부터 적용
해석 차원에서 보면, 이번 영란은행의 결단은 빅테크가 더 이상 금융의 외부가 아니라 금융 그 자체임을 인정한 행위로 읽힌다. 따라서 향후 빅테크를 이용하는 금융기관은 단순 이용자에서 동등한 책임의 파트너로 전환될 것이며, 이는 클라우드 거버넌스 표준의 재편으로 이어질 가능성이 높다.
핵심 정리
- 영란은행과 FCA가 아마존·구글 등 4대 빅테크에 직접 규제 권한을 공식 행사한다.
- 규제는 은행 서비스의 복원력과 사이버 리스크 통제에 초점을 맞추며 공급망 차원의 선제 감독이다.
3. 글로벌 추세인 가운데 한국도 공급사 감독 강화와 기업 대응 체계 재정비 필요성이 커지고 있다.