□ 금융업무의 디지털 전환이 가속화되면서 클라우드, 빅데이터, 인공지능(AI) 등 디지털 신기술에 대한 금융권 수요가 늘어나고 있습니다.

□ 한편, 클라우드, 망분리 등 현행 금융보안 규제가 엄격하여 디지털 신기술 도입∙활용을 통한 금융혁신을 저해한다는 의견이 지속 제기되어 왔습니다.

□ 이에 정부는 클라우드 이용절차를 합리화하고 망분리 규제를 개선하기 위해 `22.4.14. ｢클라우드 및 망분리 규제 개선방안｣을 마련하고,

ㅇ 제도 개선방안이 금융현장에 원활하게 안착할 수 있도록 ｢전자금융 감독규정｣을 일부 개정하였습니다.

[1] 클라우드 이용업무의 중요도 평가 기준을 마련하고, 업무 중요도에 따라 이용절차를 차등화

ㅇ (현행) 클라우드 이용업무의 중요도 평가 기준이 모호하며, 중요도와 관계없이 이용 절차가 일률적으로 규정되어 있었습니다.

ㅇ (개선) 클라우드 이용업무의 중요도 평가 기준을 구체화하여 명시하고,

- 비중요 업무에 대해서는 클라우드서비스제공자(CSP)의 건전성 및 안전성 평가, 업무 연속성 계획, 안전성 확보조치 절차를 완화하여 수행할 수 있도록 개선하였습니다.

[2] 클라우드서비스제공자(CSP)의 건전성 및 안전성 평가항목을 정비

ㅇ (현행) 평가항목이 유사‧중복되고, 물리적 설비 기반의 클라우드를 기준으로 구성되어 소프트웨어 형태의 클라우드(SaaS)에 적용이 곤란했습니다.

ㅇ (개선) 유사‧중복된 평가항목을 정비(141개→54개)하고, 소프트웨어 형태의 클라우드(SaaS)의 완화된 평가 기준을 마련하였습니다.

[3] 클라우드 이용 시 사전보고를 사후보고로 전환하고, 제출서류를 간소화

ㅇ (현행) 금융회사 등이 중요업무에 대해 클라우드를 이용하려는 경우 7영업일 이전에 금융감독원장에 사전보고할 의무가 있었습니다.

ㅇ (개선) 금융회사 등이 클라우드 이용계약을 신규로 체결하거나 계약 내용의 중대한 변경 등이 있는 경우 3개월 이내에 금융감독원장에 사후보고하도록 변경하였습니다.

[4] 연구·개발 분야의 망분리 규제 완화

ㅇ (현행) 프로그램 개발 등을 위해 오픈소스 등을 활용할 필요가 있는 금융회사 등의 연구·개발 분야에도 물리적 망분리 규제가 일률적으로 적용되어 혁신을 저해한다는 지적이 있었습니다.

- 이에, 금융규제 샌드박스를 통해 카카오뱅크의 ‘금융기술연구소’를 혁신금융서비스로 지정(`20.4.)하여, 망분리 규제 특례를 부여하였습니다.

< 카카오뱅크의 ‘금융기술연구소’ 운영 사례 >

ㅇ (개선) 금융규제 샌드박스를 통해 운영성과 및 안정성 등이 검증된 만큼, 이용자의 고유식별정보 또는 개인신용정보를 처리하지 않는 것을 전제로 연구·개발 분야에 대해서는 망분리의 예외를 허용하였습니다.

 * 다만, 금융회사 등이 자체 위험성 평가를 실시한 후 금융감독원장이 정한 망분리 대체 정보보호통제를 적용할 필요

□ 오늘 금융위에서 의결된 ｢전자금융감독규정｣ 개정안은 `23.1.1일(日)부터 시행됩니다.

□ 제도개선에 따른 세부 절차, 구체적인 사례 및 유권해석반을 통해 회신된 금융회사 등의 질의사항을 반영하여 ｢금융분야 클라우드컴퓨팅서비스 이용 가이드｣를 개정*하였으며,

 * 全 금융권이 실무적으로 참고할 수 있도록 ｢전자금융감독규정｣ 개정에 맞춰 배포 예정

   (배포일시 : `22.11.24(木), 배포처 : 금융보안원 홈페이지(www.fsec.or.kr)-자료마당-가이드 탭)

ㅇ 금융감독원, 금융보안원과 함께 제도 시행 전 두달 간(11~12월) 금융회사 등의 정보보호위원회 구성‧운영 현황, 정보기술부문 내부통제현황 등에 대한 서면‧현장 점검 및 컨설팅을 진행할 예정입니다.