주메뉴 바로가기 본문 내용 바로가기

eg(전자정부)이 누리집은 대한민국 공식 전자정부 누리집입니다.

금융권도 클라우드를 활용할 수 있습니다
2016-06-29 조회수 : 12240
담당부서전자금융과 담당자김영민 사무관 연락처2100-2975

1.개정배경

클라우드(클라우드컴퓨팅 서비스)새로운 IT 기술이 확산되고, 핀테크 산업이 활성화됨에 따라 변화된 현실에 맞게 관련규제를 합리적으로 개선하고,

 

간편결제 활성화에 따른 소비자 보호 강화, 보안위협 대응을 위한 금융보안원의 역할 명확화 등을 위한 제도개선 사항 반영

 

2.주요개정내용

< 클라우드 이용 활성화 >

클라우드 이용 활성화를 위한 관련 규제 개선 (규정 §7의2)

 

(현행) 정보보호중요성과 상관없이 금융회사의 모든 시스템에 대해 물리적 망분리 등 높은 수준의 보안 규제를 일률적으로 적용함에 따라,

 

- 고객정보 보호와 무관한 시스템*클라우드 이용이 어려운 과도한 측면이 있었음

 

* 예) 상품개발, 리스크관리, 경영지원 등 고객정보를 처리하지 않는 시스템

 

(개선) 개인신용정보 등 고객정보 처리시스템제외한 전산시스템 대해서는 금융회사가 자율적으로 클라우드를 이용할 수 있도록 개선

 

- 클라우드 이용 시스템에 대해서는 클라우드 활용을 어렵게 하는 물리적 망분리 등 일부 규제도 적용을 제외

 

※ 금융회사의 안전한 클라우드 이용을 지원하기 위해 클라우드 활용 및 관련 보안대책 적용 예시 등을 담은 금융보안원 가이드라인 등 배포

 

[기대효과] A증권사는 빅데이터 기반의 통계분석 시스템 신규 도입 방식으로 클라우드 이용을 검토하였으나 물리적 망분리 등 관련 규제로 인해 도입이 사실상 불가능하였음

 

금융회사가 지정한 클라우드 활용 시스템의 경우 물리적 망분리 등 규제 적용 대상에서 배제함에 따라 해당 시스템을 클라우드로 도입 가능

 

⇒ 전산시스템을 직접 구입하는 것 대비 50% 이상의 비용절감 효과 기대

< 전자금융업 관련 제도 개선 >

 카드정보저장 전자금융업자의 책임보험 금액 기준 상향 (규정 §5)

 

(현행) 간편결제 서비스 제공 등을 위해 고객의 신용카드 등의 정보를 저장하는 PG업자에게도 일반 PG업자와 동일한 금액(1억)보험 가입 또는 준비금 적립 기준 적용

 

(개선) 카드정보저장 PG업자의 경우 실질적으로 거래 승인 기능을 수행하고 거래에 대한 책임도 부담하는 등 일반 PG업자에 비해 전자금융사고 발생 시 보상 책임 범위가 크므로,

 

- 피해자에게 적절한 수준의 보상이 이루어 질 수 있도록 보험 가입 또는 준비금 적립 금액 기준 상향(1억 → 10억)

 

카드사의 보험 가입 또는 준비금 적립 최소금액(10억)과 동일

금융사고 피해보상을 위한 준비금의 지급절차 마련 의무화 (규정 §5)

 

(현행) 전자금융사고 발생 시 피해보상을 위해 금융회사 등의 보험가입 또는 준비금 적립을 의무화하고 있으나,

 

- 외부보험사가 지급하는 보험과는 달리 준비금의 경우 자체적으로 관리지급함에 따라 신속한 보상이 이루어지지 못할 우려

 

(개선) 피해보상이 신속하게 이루어 질 수 있도록, 준비금을 적립하는 금융회사의 준비금 관리지급 관련 절차 마련 의무화

전자금융업자 안전자산 유지의무 기준 개선 (규정 §63)

 

(현행) PG업자 등에 대해 총자산 대비 안전자산*을 10% 이상 보유하도록 규정하여, 통신사 등 전체 사업규모 대비 전자금융업 영업 비중이 낮은 겸영 PG업자에게 과도한 규제로 작용

 

* 현금, A등급이상 회사채, 국채, 은행채 등 투자위험성이 낮은 자산

 

(개선) 동 규정의 규율 취지가맹점에 대한 미정산 잔액의 안정적 지급임을 고려, 안전자산 유지 기준을 “총자산대비 10%의 안전자산 보유” 또는 “미정산 잔액 대비 100%의 안전자산 보유”로 개선

 

[사례예시] 주력 사업분야 외 PG업을 겸업하는 B 전자금융업자의 경우, 주력 사업분야와 관련된 대규모 고정자산을 유지하고 있어 현행 총자산 대비 안전자산 기준 유지가 사실상 불가능

 

“총자산대비 10%의 안전자산 보유” 또는 “미정산 잔액 대비 100%의 안전자산 보유” 중 한기준만 충족하면 되므로, 미정산 잔액 만큼의 안전자산 보유로 규정 준수 가능

< 침해사고 대응기관(금융보안원) 역할 명확화 >

금융권 통합보안관제 센터 운영 근거 명확화 (규정 §37의4)

 

(현행) 침해사고 대응기관(금보원)에서 금융권 보안성 확보를 위해 금융권 통합보안관제*업무를 수행중이나,

 

* 사이버 공격 시도를 실시간으로 탐지분석하고 이를 전체 금융회사에 공유하여 사이버 공격을 사전 차단하는 체계

 

- 현행 규정 상 침해사고대응기관의 업무에는 포함되지 않아 관제업무의 안정적 수행을 위한 법령상 근거 미흡

 

(개선) 침해사고대응기관의 업무금융권 통합보안관제 센터 운영을 추가하여 안정적 관제업무 수행 근거 마련

금융회사 사용 소프트웨어 취약점 조사분석 근거 마련 (규정 §37의4)

 

(현행) 최근 보안 소프트웨어 취약점을 이용보안업체 대상 해킹사고* 및 이를 이용한 금융권 침해시도 등 발생

 

* I사 코드서명 인증서 유출 사고, N사 솔루션 취약점 이용 해킹 사고 등

 

- 금융보안원이 이러한 침해시도를 사전에 탐지차단할 수 있도록 금융회사 보안 소프트웨어 취약점 조사분석 등의 수행을 위한 근거 마련 필요

 

금융보안원은 I사 사고 사실을 최초 발견하고 해당 회사 통보 등 초동조치수행 하였으나, 소프트웨어에 대한 조사분석을 위한 근거 규정이 없어 프트웨어 취약점을 이용한 침해시도의 선제적 대응에 애로

 

(개선) 침해사고대응기관(금보원)이 금융회사가 사용중인 소프트웨어를 조사분석할 수 있는 근거 마련

 

[사례예시] 금융보안원은 악성코드 발견을 통해 보안업체인 I사 사고 사실을 최초 발견하고 해당 회사 통보 등 초동조치를 수행

 

금융권에서 사용중인 소프트웨어를 조사분석하여 사고로 이어질 수 있는 취약점을 사전에 발견대응하는 등 소프트웨어 취약점을 사용한 침해시도의 선제적 대응 가능

 

 

3.향후추진계획

□ 규정변경예고 : ’16.6.30 ~ ’16.8.9 (40일간)

 

□ 규정변경예고, 규제심사를 거쳐 ’16.9월 금융위에서 의결

 

 

※ 개정안의 세부내용은 다음에서 확인할 수 있습니다.

금융위원회(www.fsc.go.kr) → 지식마당 → 법령정보 → 입법예고/규정변경예

첨부파일 (2)첨부파일 열림
보도자료_「전자금융감독규정 일부개정규정안」 규정 변경예고.hwp (234 KB) 파일뷰어 파일다운로드
보도자료_「전자금융감독규정 일부개정규정안」 규정 변경예고.pdf (444 KB) 파일뷰어 파일다운로드
콘텐츠 내용에 만족하셨나요?