- 금융회사가 클라우드를 자율적으로 안전하게 활용할 수 있게 됩니다.

 

1. 개정 배경

 

□ 금융위원회는 ‘18.12.5(水) 제21차 정례회의를 개최하여, 「전자금융감독규정 개정안」을

 심의·의결하고 ’19.1.1일 시행할 예정

 

ㅇ 지난 ’16년부터 금융권은 개인신용정보가 아닌 ‘비중요 정보’에 한해 클라우드를 허용하였으나,

 

- 최근 금융분야 디지털화(digitalization)가 폭넓게 확산됨에 따라 클라우드 이용 확대와 관련한

 추가 규제완화 필요성이 지속 제기

 

* 클라우드 규제완화 건의, 전문가 의견 수렴(핀테크 간담회(4.11), 클라우드 간담회(4.17))

 

ㅇ 이에 금번 개정안은 클라우드 활용 범위를 개인신용정보까지 확대하되, 금융권 보안수준 및

 관리·감독체계를 강화하도록 함

 

2. 주요 내용

 

[1] 금융권 클라우드 이용범위 확대(§14조의2 제1항·제8항)

 

ㅇ (현행) 금융회사·전자금융업자는 중요정보(개인신용정보·고유식별정보)를 포함하지 않은 非중요정보만

 클라우드에서 이용 가능

 

ㅇ (개선) 개인신용정보·고유식별정보도 클라우드에서 이용 가능

 

 

[2] 금융권 클라우드서비스 안전성 기준 제시 (§14조의2 제1항, 별표2의2)

 

ㅇ (현행) 금융회사 등이 비중요정보만을 이용할 수 있고, 별도의 클라우드 서비스의

 안전성 기준이 없음

 

ㅇ (개선) 금융분야 특수성을 반영한 안전성 확보조치 등 금융권 클라우드 이용·제공 기준을 제시

 

< 금융 클라우드 안전성 기준 >

 

데이터 보호	금융권 통합보안관제 지원, 전산자료 접근통제, 정보시스템 가동기록 보존, 중요정보 암호화 등 데이터 보호, 개인(신용)정보법 등 금융관련 법령 준수
서비스장애 예방/대응	클라우드 이용시에도 주요 전산장비 이중화 및 백업체계를 구축, 서비스 연속성 보장, 장애 발생시 비상 대응조치·통지 의무

 

[3] 클라우드에 대한 내부통제 강화(§14조의2 제1항·제2항 등)

 

ㅇ (현행) 개인신용정보·고유식별정보를 포함하지 않은 비중요 정보시스템에 대해서 별도의 안전성

 평가없이도 지정·운영

 

ㅇ (개선) 금융회사가 클라우드 서비스의 안전성을 평가하고, 자체 정보보호위원회 심의·의결을

 거치도록 함

 

[4] 클라우드 이용 관련 보고의무 등 감독 강화 (§14조의2 제3항~제6항)

 

ㅇ (현행) 비중요정보 처리시스템 운영현황에 대해서만 보고

 

ㅇ (개선) 정보의 중요도에 따라 클라우드 이용 현황을 감독당국에 보고하고, 법적책임, 감독·검사 의무 등을

 계약서에 명확화

 

[5] 국내 소재 클라우드 운영 (§14조의2 제8항)

 

ㅇ 사고 발생시 법적 분쟁, 소비자 보호, 감독 관할 등을 고려해 개인신용정보 처리는 국내 소재

 클라우드에 한해 우선 허용

 

[6] 기타 : 허가·등록의 물적요건 정비 등

 

3. 향후 운영방안

 

[1] 클라우드 운영원칙 : 이용 촉진, 자율보안·감독 강화

 

① 금융회사가 인공지능(AI) 상담, 상품개발, 데이터 분석 등을 위해 클라우드에서 개인신용정보도 이용하되,

 자체 보안 수준을 강화

 

* 클라우드 이용시 금융회사가 중요정보를 직접 통제·관리하고, 안전성 확보방안을 수립

 

② 클라우드 이용의 안전성을 위해 보고의무를 강화하고, 금융회사와 감독당국의

 조사·접근권(현장방문 포함)을 확보

 

[2] 금융회사 내부통제 절차 마련

 

① (중요도 평가) 금융회사는 클라우드 이용 업무에 대해 정보의 중요도를 평가하고,

 개인신용정보 처리 여부 등을 사전확인

 

② (안전성 평가) 클라우드의 기술적·관리적 보호조치 등 안전성을 자체 평가하여 안전성이 확보된

 클라우드를 이용

 

→ 금융보안원이 금융회사의 클라우드 안전성 평가를 지원

 

③ (정보보호위원회 심의·의결) 금융회사內 자체 정보보호위원회*에서 안전성 평가결과와

 클라우드 위수탁 운영기준 등을 심의·의결하여 관리·감독하고, 의결사항을 감독당국에 보고

 

* 금융회사의 정보보호최고책임자를 위원장으로 하며, 위원은 정보보호업무 관련 부서장,

 전산운영 및 개발 관련 부서장, 준법업무 관련 부서의 장 등으로 구성

 

 

<금융권 클라우드 서비스 안전이용 절차>

 

[3]금융회사·클라우드 제공자간 법적 책임 명확화

 

① (사고예방) 클라우드 제공자는 금융회사에 데이터의 물리적 위치(중요정보는 국내 한정)를 알리고, 정보보호 의무와 서비스 장애 방지대책 등 클라우드 관리·보안요구사항을 이행

 

② (사고대응) 사고 발생시 비상대응을 위해 국내 전산센터內 필수 운영인력이 상주*하고,

 장애 발생 사실을 신속 통지·대응**

 

- 특히, 신속한 장애 대응 및 복구가 가능토록 개인신용정보를 처리하는 모든 시스템(관리시스템 포함)을

 국내에 설치

 

* 전자금융감독규정 제23조 : 비상 상황시 신속 원상복구를 위한 비상지원인력을 확보

 

** 장애 발생시 이를 지체없이 통보하고, 진행상황 파악 등을 위한 컨택 포인트를 지정한 후 장애원인 분석 및

 재발방지 대책을 금융회사에 제공

 

③ (손해배상) 손해배상, 재판관할 사항 등을 계약서에 명시하여 금융회사·클라우드 제공자간

 법적 책임관계를 명확화

 

- 고객 손해 : 고객 피해 발생시 금융회사가 이용자에 대해 직접 손해를 배상하고, 클라우드 제공자는

 연대 배상책임을 부담

 

- 금융회사 손해 : 고의·과실로 인한 서비스 품질 저하·장애 등 발생시 클라우드 제공자가 금융회사의

 손해를 배상

 

[4]클라우드 이용 감독 강화

 

① 클라우드 이용시 금융회사가 안전성 확보조치, 계약 내용 등을 감독당국에 보고토록 하여 모니터링을 강화

 

② 금융회사·감독당국 조사·접근권(현장방문 포함)을 계약서에 명시*

 

- 또한, 클라우드 이용계약 시정·보완 요구권(전자금융거래법 제40조제2항), 클라우드

사업자(전자금융보조업자)에 대한 자료제출 요구권을 통해 관리·감독(전자금융거래법

 제40조제3항,4항,5항)

 

* EU·영국 등과 같이 클라우드 이용 계약서에 금융회사와 감독당국의 조사·접근권을 명시

 

※ 국내외 클라우드 운영 상황, 해외 사례 분석 등을 토대로 클라우드 제공자(전자금융보조업자)에 대한  감독당국의 감독·조사권을 보다 강화(법개정 사항)하는 방안을 추진

[5]클라우드 이용 관련 데이터 보호장치 마련

 

① 전자금융거래법·신용정보법 등에서 규정한 안전성 확보조치에 따른 보호장치를 마련

 

- 외부 통신망과 분리·차단*되도록 하고 사고 발생시 원인 파악을 위해 정보시스템 기록을 보존

 

* 클라우드 서비스를 이용하는 금융회사의 정보처리시스템에 대해 동일 클라우드를 이용하는 외부기관의

 통신망과 분리·차단하고 접속을 금지

 

- 중요정보는 암호화 처리하고, 클라우드 제공자 등 접근권한이 없는 자의 열람은 불가

 

② 범죄 수사를 위한 외국 정부의 정보제공 요청시 국내법 위반 소지가 있을 경우 거부가 가능

 

- 클라우드 제공자는 해당국의 관계 법령을 사전 보고하고, 요청이 있을 경우 금융당국·금융회사에

 사전 통지하여 동의 받도록 함

 

※ 국내 클라우드 시스템에 대해서는 미국 해외 정보 이용법(CLOUD법)*에 따른 미국정부의  데이터 제공 요청에 반드시 따라야 하는 것은 아님 * Clarifying Lawful Overseas Use of Data Act   ㅇ 동 법은 범죄 조사에 필요한 해외 소재 데이터 확보 및 안보 유지를 위해 제정한 것으로,  외국 정부의 법령을 고려하여 데이터를 요청할 수 있도록 함   * ① 고객 또는 가입자가 미국인이 아니며 미국에 거주하지 않고, ② 요구된 데이터 공개로 인해 사업자가  자격 있는 외국 정부의 법을 위반할 중대한 위험이 있는 경우, 사업자는 미국 정부의 데이터 요구에 대한 각하·변경을 법원에 청구할 수 있음 (Clarifying Lawful Overseas  Use of Data Act §2703)

 

4. 향후 일정

 

□ 개정규정 : ‘19.1.1일 시행 예정

 

□ 「금융권 클라우드 서비스 가이드라인」개정안 마련(12월중)

 

※ 별첨 : 금융권 클라우드 이용 확대 관련 Q&A