이 누리집은 대한민국 공식 전자정부 누리집입니다.
|
금융사들이 손쉽게 클라우드 기반 소프트웨어를 활용하도록 망분리 규제를 개선합니다.
- SaaS를 망분리 예외사유로 「전자금융감독규정시행세칙」 개정
- 금융社 사무처리·대내외 기업간 협업·IT자원 비용절감 효과 기대 |
< 개 요 >
금융회사들이 클라우드 기반의 다양한 사무관리·업무지원용 응용 소프트웨어를 별도의 혁신금융서비스 심사 절차를 거치지 않고도 원활히 활용할 수 있도록 망분리 규제 완화가 추진된다.
금융위원회·금융감독원은 1.20일, “금융회사가 내부 업무망에서 클라우드 기반 응용소프트웨어(SaaS*)를 활용할 경우, 일정한 보안 규율을 준수하는 전제로 망분리 규제 예외를 허용”하는 내용의 「전자금융감독규정시행세칙」 개정안 사전예고(1.20~2.9)를 실시한다고 밝혔다.
* SaaS : Software as a Service(클라우드 기반 응용소프트웨어)
⤷ 문서작성, 화상회의, 가상 업무공간, 인사·성과관리 등에 주로 활용
< 배 경 >
SaaS 서비스는 ▲소프트웨어 사업자들이 업데이트·유지보수 등을 지원하고 ▲클라우드 기반으로 다양한 단말기에서 유연한 사무 업무가 가능하며, ▲외부 저장공간 활용 등으로 기업 내 전산 시설 관리 부담을 덜 수 있는 등 다양한 장점을 가지고 있어 많은 기업의 사무관리·업무지원 용도로 활용도가 빠르게 높아지고 있는 상황이다.
다만, SaaS 서비스의 경우 외부 소프트웨어 업체가 운영하는 클라우드 서버와 금융회사의 내부 업무용 서버간 데이터 교환 등이 필수적인 점에서 금융권에 적용되는 “망분리 규제”와 상충되는 측면이 있었고
이에 금융위·금감원은 ▲혁신금융서비스 심사를 통해 충분한 보안조치(보안위협 대비한 제공자평가, 금융사 자체 보안대책 등) 등을 갖춘 서비스에 대해 SaaS 활용을 허용하되, ▲SaaS 운영과정에서 보안성 문제를 해소할만한 충분한 사례가 축적된 시점에 규정화를 통해 망분리 규제의 예외로 허용할 계획을 마련·추진해 왔다.
(「망분리 개선 로드맵」(’24.8월))
’23.9월부터 현재까지 총 32개 금융회사가 SaaS 관련 총 85건의 혁신금융서비스를 허용받아 안정적으로 운영해 왔다는 점에서 동 서비스를 망분리 예외로 상시적으로 운영할 수 있는 충분한 사례 축적이 이뤄졌으며, 금융위·금감원은 이러한 운영사례를 바탕으로 면밀한 제도 검토를 거쳐 금번 개정안을 마련하였다.
< 개정안 주요내용 >
[1] SaaS 서비스를 망분리 규제 예외사유로 명시
「클라우드컴퓨팅 발전 및 이용자보호에 관한 법률 시행령」 제3조제2호에 따른 “응용프로그램 등 소프트웨어를 사용하는 서비스(SaaS)”는 전자금융거래법 제21조 및 전자금융감독규정 제15조에 따른 망분리 규제를 적용받지 않도록 명시된다.
다만, 개인정보 유출사고 우려 등을 감안하여 이용자의 고유식별정보 또는 개인신용정보를 처리하는 경우에는 망분리 예외를 허용하지 않도록 할 예정이다.
[2] 정보보호 통제를 위한 제도적 장치 마련
망분리 규제 예외가 허용되는 만큼, 이를 보완하기 위한 엄격한 정보보호통제장치 마련을 의무화한다. 구체적으로 금융회사는 ▲침해사고 대응기관(금융보안원 등) 평가를 거친 SaaS를 이용, ▲접속 단말기(컴퓨터, 모바일단말 등)에 대해 보호대책 수립, 안전한 인증방식 적용, 최소권한 부여 등 엄격한 보안관리, ▲중요정보 입력·처리·유출 여부 모니터링 및 통제, ▲SaaS 내 데이터의 불필요한 공유·처리 방지나 허용되지 않은 외부 인터넷 접근 통제, ▲SaaS 이용 네트워크 구간 암호화 수립 적용 등 규율을 마련 운영해야하며
동 정보보호통제 이행 여부를 반기에 1회 평가하고 금융사 내 정보보호위원회(위원장:CISO)에 보고하여야 한다.
< 기대효과 >
금번 「전자금융감독규정시행세칙」 개정이 완료되면 금융사는 혁신금융서비스 심사 절차를 일일이 거치지 않고도 다양한 SaaS 서비스를 업무에 활용할 수 있게 되면서 ▲금융회사 사무처리·조직·성과관리·보안관리 등 업무 전반에 효율성이 크게 향상될 수 있을 것이며 ▲해외 지사, 글로벌 그룹사 등과 표준화된 사무처리 시스템을 갖추면서 기관 내·외간 협업이 훨씬 용이해질 것으로 기대된다. ▲아울러, 금융사가 보유한 IT 자원의 효율적 활용을 통해 상당한 비용절감 효과도 예상된다.
「전자금융감독규정시행세칙」 개정안은 사전예고(1.20~2.9일, 20일간), 규제개혁위원회 심사 등의 절차를 걸쳐 신속히 확정·시행 될 예정이며, 시행시점에 맞춰 보안위협에 대응하기 위한 상세 대응요령을 담은 보안해설서도 마련해 배포할 예정이다.
금융위·금감원은 “AI기술·데이터 활용 등을 통해 금융서비스의 본질적 혁신을 이루어 나가야하는 중대한 시기인 한편, 최근 일련의 해킹사고 등으로 침해사고 등에 대한 우려도 높은 상황”이라고 진단하며
“금융회사가 다양한 IT기술을 활용하여 서비스 개선에 매진할 수 있도록 제도개선을 적극적으로 추진하는 한편, 망분리 규제 완화가 자칫 금융권 보안 수준 약화로 이어지지 않도록 금융권이 자율적·체계적으로 보안을 철저히 챙기도록 유도하는 제도 마련도 서두를 계획”이라고 언급했다.
아울러 “생성형AI 등 추가적인 망분리 개선과제도 최대한 신속하게 성과가 나타날 수 있도록 금융권과 긴밀히 협의해 나갈 계획”이라고 밝혔다.
|
< 규정변경예고 관련 안내사항 >
■ 예고기간 : 2026.1.20일(화) ~ 2026.2.9일(월), (20일)
■ 규정변경예고 된 내용에 대해 의견이 있으시면 다음 사항을 기재한 의견서를 아래의 제출처로 제출해 주시기 바랍니다.
- 예고 사항에 대한 찬성 또는 반대 의견(반대의 경우 이유 명시)
- 성명(기관ㆍ단체의 경우 기관ㆍ단체명과 대표자명), 주소·전화번호
※ 개정안 전문(全文)은 “금융감독원 홈페이지(www.fss.or.kr) › 업무자료 › 금융감독법규정보 › 세칙 제·개정 예고”에서 확인 가능합니다. |