이 누리집은 대한민국 공식 전자정부 누리집입니다.
- 금융회사가 클라우드를 자율적으로 안전하게 활용할 수 있게 됩니다.
1. 개정 배경
□ 금융위원회는 ‘18.12.5(水) 제21차 정례회의를 개최하여, 「전자금융감독규정 개정안」을
심의·의결하고 ’19.1.1일 시행할 예정
ㅇ 지난 ’16년부터 금융권은 개인신용정보가 아닌 ‘비중요 정보’에 한해 클라우드를 허용하였으나,
- 최근 금융분야 디지털화(digitalization)가 폭넓게 확산됨에 따라 클라우드 이용 확대와 관련한
추가 규제완화 필요성이 지속 제기
* 클라우드 규제완화 건의, 전문가 의견 수렴(핀테크 간담회(4.11), 클라우드 간담회(4.17))
ㅇ 이에 금번 개정안은 클라우드 활용 범위를 개인신용정보까지 확대하되, 금융권 보안수준 및
관리·감독체계를 강화하도록 함
2. 주요 내용
[1] 금융권 클라우드 이용범위 확대(§14조의2 제1항·제8항)
ㅇ (현행) 금융회사·전자금융업자는 중요정보(개인신용정보·고유식별정보)를 포함하지 않은 非중요정보만
클라우드에서 이용 가능
ㅇ (개선) 개인신용정보·고유식별정보도 클라우드에서 이용 가능
[2] 금융권 클라우드서비스 안전성 기준 제시 (§14조의2 제1항, 별표2의2)
ㅇ (현행) 금융회사 등이 비중요정보만을 이용할 수 있고, 별도의 클라우드 서비스의
안전성 기준이 없음
ㅇ (개선) 금융분야 특수성을 반영한 안전성 확보조치 등 금융권 클라우드 이용·제공 기준을 제시
< 금융 클라우드 안전성 기준 >
|
데이터 보호 |
금융권 통합보안관제 지원, 전산자료 접근통제, 정보시스템 가동기록 보존, 중요정보 암호화 등 데이터 보호, 개인(신용)정보법 등 금융관련 법령 준수 |
|
서비스장애 예방/대응 |
클라우드 이용시에도 주요 전산장비 이중화 및 백업체계를 구축, 서비스 연속성 보장, 장애 발생시 비상 대응조치·통지 의무 |
[3] 클라우드에 대한 내부통제 강화(§14조의2 제1항·제2항 등)
ㅇ (현행) 개인신용정보·고유식별정보를 포함하지 않은 비중요 정보시스템에 대해서 별도의 안전성
평가없이도 지정·운영
ㅇ (개선) 금융회사가 클라우드 서비스의 안전성을 평가하고, 자체 정보보호위원회 심의·의결을
거치도록 함
[4] 클라우드 이용 관련 보고의무 등 감독 강화 (§14조의2 제3항~제6항)
ㅇ (현행) 비중요정보 처리시스템 운영현황에 대해서만 보고
ㅇ (개선) 정보의 중요도에 따라 클라우드 이용 현황을 감독당국에 보고하고, 법적책임, 감독·검사 의무 등을
계약서에 명확화
[5] 국내 소재 클라우드 운영 (§14조의2 제8항)
ㅇ 사고 발생시 법적 분쟁, 소비자 보호, 감독 관할 등을 고려해 개인신용정보 처리는 국내 소재
클라우드에 한해 우선 허용
[6] 기타 : 허가·등록의 물적요건 정비 등
3. 향후 운영방안
|
[1] 클라우드 운영원칙 : 이용 촉진, 자율보안·감독 강화 |
① 금융회사가 인공지능(AI) 상담, 상품개발, 데이터 분석 등을 위해 클라우드에서 개인신용정보도 이용하되,
자체 보안 수준을 강화
* 클라우드 이용시 금융회사가 중요정보를 직접 통제·관리하고, 안전성 확보방안을 수립
② 클라우드 이용의 안전성을 위해 보고의무를 강화하고, 금융회사와 감독당국의
조사·접근권(현장방문 포함)을 확보
|
[2] 금융회사 내부통제 절차 마련 |
① (중요도 평가) 금융회사는 클라우드 이용 업무에 대해 정보의 중요도를 평가하고,
개인신용정보 처리 여부 등을 사전확인
② (안전성 평가) 클라우드의 기술적·관리적 보호조치 등 안전성을 자체 평가하여 안전성이 확보된
클라우드를 이용
→ 금융보안원이 금융회사의 클라우드 안전성 평가를 지원
③ (정보보호위원회 심의·의결) 금융회사內 자체 정보보호위원회*에서 안전성 평가결과와
클라우드 위수탁 운영기준 등을 심의·의결하여 관리·감독하고, 의결사항을 감독당국에 보고
* 금융회사의 정보보호최고책임자를 위원장으로 하며, 위원은 정보보호업무 관련 부서장,
전산운영 및 개발 관련 부서장, 준법업무 관련 부서의 장 등으로 구성
<금융권 클라우드 서비스 안전이용 절차>
|
[3]금융회사·클라우드 제공자간 법적 책임 명확화 |
① (사고예방) 클라우드 제공자는 금융회사에 데이터의 물리적 위치(중요정보는 국내 한정)를 알리고, 정보보호 의무와 서비스 장애 방지대책 등 클라우드 관리·보안요구사항을 이행
② (사고대응) 사고 발생시 비상대응을 위해 국내 전산센터內 필수 운영인력이 상주*하고,
장애 발생 사실을 신속 통지·대응**
- 특히, 신속한 장애 대응 및 복구가 가능토록 개인신용정보를 처리하는 모든 시스템(관리시스템 포함)을
국내에 설치
* 전자금융감독규정 제23조 : 비상 상황시 신속 원상복구를 위한 비상지원인력을 확보
** 장애 발생시 이를 지체없이 통보하고, 진행상황 파악 등을 위한 컨택 포인트를 지정한 후 장애원인 분석 및
재발방지 대책을 금융회사에 제공
③ (손해배상) 손해배상, 재판관할 사항 등을 계약서에 명시하여 금융회사·클라우드 제공자간
법적 책임관계를 명확화
- 고객 손해 : 고객 피해 발생시 금융회사가 이용자에 대해 직접 손해를 배상하고, 클라우드 제공자는
연대 배상책임을 부담
- 금융회사 손해 : 고의·과실로 인한 서비스 품질 저하·장애 등 발생시 클라우드 제공자가 금융회사의
손해를 배상
|
[4]클라우드 이용 감독 강화 |
① 클라우드 이용시 금융회사가 안전성 확보조치, 계약 내용 등을 감독당국에 보고토록 하여 모니터링을 강화
② 금융회사·감독당국 조사·접근권(현장방문 포함)을 계약서에 명시*
- 또한, 클라우드 이용계약 시정·보완 요구권(전자금융거래법 제40조제2항), 클라우드
사업자(전자금융보조업자)에 대한 자료제출 요구권을 통해 관리·감독(전자금융거래법
제40조제3항,4항,5항)
* EU·영국 등과 같이 클라우드 이용 계약서에 금융회사와 감독당국의 조사·접근권을 명시
|
※ 국내외 클라우드 운영 상황, 해외 사례 분석 등을 토대로 클라우드 제공자(전자금융보조업자)에 대한 감독당국의 감독·조사권을 보다 강화(법개정 사항)하는 방안을 추진 |
|
[5]클라우드 이용 관련 데이터 보호장치 마련 |
① 전자금융거래법·신용정보법 등에서 규정한 안전성 확보조치에 따른 보호장치를 마련
- 외부 통신망과 분리·차단*되도록 하고 사고 발생시 원인 파악을 위해 정보시스템 기록을 보존
* 클라우드 서비스를 이용하는 금융회사의 정보처리시스템에 대해 동일 클라우드를 이용하는 외부기관의
통신망과 분리·차단하고 접속을 금지
- 중요정보는 암호화 처리하고, 클라우드 제공자 등 접근권한이 없는 자의 열람은 불가
② 범죄 수사를 위한 외국 정부의 정보제공 요청시 국내법 위반 소지가 있을 경우 거부가 가능
- 클라우드 제공자는 해당국의 관계 법령을 사전 보고하고, 요청이 있을 경우 금융당국·금융회사에
사전 통지하여 동의 받도록 함
|
※ 국내 클라우드 시스템에 대해서는 미국 해외 정보 이용법(CLOUD법)*에 따른 미국정부의 데이터 제공 요청에 반드시 따라야 하는 것은 아님 * Clarifying Lawful Overseas Use of Data Act
ㅇ 동 법은 범죄 조사에 필요한 해외 소재 데이터 확보 및 안보 유지를 위해 제정한 것으로, 외국 정부의 법령을 고려하여 데이터를 요청할 수 있도록 함
* ① 고객 또는 가입자가 미국인이 아니며 미국에 거주하지 않고, ② 요구된 데이터 공개로 인해 사업자가 자격 있는 외국 정부의 법을 위반할 중대한 위험이 있는 경우, 사업자는 미국 정부의 데이터 요구에 대한 각하·변경을 법원에 청구할 수 있음 (Clarifying Lawful Overseas Use of Data Act §2703) |
4. 향후 일정
□ 개정규정 : ‘19.1.1일 시행 예정
□ 「금융권 클라우드 서비스 가이드라인」개정안 마련(12월중)
※ 별첨 : 금융권 클라우드 이용 확대 관련 Q&A