이 누리집은 대한민국 공식 전자정부 누리집입니다.
|
주요 내용
□ 그간 과도한 클라우드 및 망분리 규제로 인해 디지털 신기술을 도입∙활용하는데 어려움이 있다는 의견이 지속 제기
□ 금융 분야의 디지털 전환을 안정적으로 뒷받침하기 위해 클라우드 및 망분리 규제 개선을 추진
ㅇ 클라우드 이용이 가능한 ①업무 범위를 명확히 하고, ②중복되거나 유사한 이용절차를 정비하고, ③사전보고를 사후보고로 전환
ㅇ 일률적∙획일적으로 적용되어온 망분리 규제를 개발∙테스트 분야 등부터 단계적으로 완화 |
|
1. 추진 배경 |
□ 금융업무의 디지털 전환이 가속화되면서 클라우드, 빅데이터, 인공지능(AI) 등 디지털 신기술에 대한 금융권 수요가 늘어나고 있습니다.
□ 한편, 클라우드, 망분리 등 현행 금융보안 규제가 지나치게 엄격하여 적극적인 디지털 신기술 도입∙활용을 통한 금융혁신을 저해한다는 의견이 지속 제기되어 왔습니다.
□ 이에 정부는 전문가 및 이해관계자 등의 의견을 청취*하여 디지털 혁신을 위한 클라우드 및 망분리 규제 개선방안을 마련하였습니다.
* 금융위원장 주재 “핀테크산업 혁신 지원 간담회(2021.12. 9.)” 등
|
2. 클라우드 및 망분리 규제 현황 |
|
(1) 클라우드 이용규제 현황 |
□ (이용현황) 그간 금융권은 클라우드*를 내부업무(메일, 메신저 등), 고객서비스(고객상담, 마케팅) 등 후선업무에 주로 활용하였습니다.
* 전산설비를 직접 구축하는 대신 전문업체로부터 IT자원을 필요한 만큼 탄력적으로 제공받아 사용하는 컴퓨팅 환경
ㅇ 최근에는 데이터 분석, 시스템 관리, 인터넷‧모바일 뱅킹 등 핵심업무에도 클라우드 활용도를 높여 나가는 추세입니다.
|
< 금융권의 클라우드 이용사례 >
① 고객 맞춤형 금융상품 개발을 위해 클라우드 내의 AI기술을 활용한 빅데이터 분석을 활용 ② 클라우드가 제공하는 고성능 서버를 활용하여 리스크 분석, 파생상품 개발 등 복잡한 계리업무를 빠르게 처리 |
□ (이용절차) 금융권은 후선업무 등 비중요업무 뿐만 아니라 중요업무에 대해서도 클라우드 이용이 가능합니다.
ㅇ 다만, 금융회사 등은 ①업무중요도 평가, ②업무연속성 계획 및 ③안전성 확보조치 방안 수립, ④업무위수탁기준 보완, ⑤클라우드서비스제공자(Cloud Service Provider : 이하 ‘CSP’) 안전성 평가 등을 수행한 후,
- ⑥정보보호위원회의 심의‧의결을 거쳐 클라우드 이용계약을 체결하고 금융감독원에 ⑦사전보고*하여야 합니다.
* 비중요업무의 경우 「정보처리위탁규정」에 따라 사후보고
|
➀ (업무중요도 평가) 1. 고유식별‧개인신용정보 처리 또는 2. 전자금융거래의 안전성 및
➁ (업무연속성 계획) 데이터 백업, 재해복구, 침해사고 대응 훈련계획, 출구전략 등을 수립
➂ (안전성 확보조치 방안) 금융회사 등은 계정관리, 접근통제 등 클라우드 이용시 자체
➃ (위수탁기준 보완) 위수탁계약의 결정‧해지 절차 및 재위탁, 모니터링, 비상대책, 조사‧
➄ (CSP 평가) CSP의 재무 건전성 및 안정성에 대한 평가를 실시
|
□ (평가) 불명확한 기준, 과도한 보고 절차 등으로 금융회사 등의 클라우드 수요에 탄력적으로 대응하는데 한계가 있다는 지적이 있습니다.
ㅇ 또한, 비중요업무의 경우에도 클라우드 이용시 준수해야 하는 규제‧절차가 중요업무와 큰 차이가 없는 상황입니다.
|
(2) 망분리 규제 현황 |
□ (개요) 망분리 규제는 외부의 침입으로부터 내부 전산자원을 보호하기 위해 내부망과 외부망을 분리하는 네트워크 보안기법의 일종입니다.
ㅇ 망분리는 내부망과 외부망에 접속하는 단말기를 물리적으로 분리(PC 2대 사용)하는 방식과 가상화 기술 등을 이용하여 내부망과 외부망에 접속하는 단말기를 논리적으로 분리(PC 1대 사용)하는 방식으로 구분됩니다.
□ (규제현황) `13년 대규모 금융전산사고를 계기로 금융 분야에 망분리 규제를 도입하면서 그 방식으로 물리적 망분리를 채택하였습니다.
ㅇ 즉, 금융회사, 전자금융업자는 내부망에 연결된 전산시스템‧단말기를 외부망과 물리적으로 분리하여 접속을 제한하여야 합니다.
※ 미국, EU, 호주 등 주요국의 금융당국은 보안 강화를 위해 금융회사의 망분리 정책을 권고하면서 논리적 망분리를 허용
□ (평가) 망분리 규제는 도입 이후 금융전산사고가 크게 감소*하는 등 해킹 등으로부터 금융시스템을 안전하게 보호한 것으로 평가됩니다.
* ’17년 전세계가 랜섬웨어 감염 사고로 피해를 입었음에도 국내 금융권은 피해가 전무
ㅇ 다만, 기업별‧업무별 차이를 감안하지 않고 일률적으로 물리적 망분리 규제가 적용됨에 따라 개발업무 등의 효율성이 저해*되고 혁신기술의 활용에 어려움**이 있다는 지적이 제기되었습니다.
* 최근 개발업무는 폐쇄된 형태가 아닌 인터넷에 공개된 소스코드 등을 적극 활용
** AI, 빅데이터 등이 오픈소스 형태로 제공되고 있어 인터넷과 연계가 불가피
|
3. 개선 방안 |
|
(1) 클라우드 이용규제 개선방안 |
|
[1] 클라우드 이용 업무에 대한 중요도 평가기준 명확화 |
ㅇ (문제점) 클라우드를 이용하는 경우 해당 업무의 중요도를 평가해야 하나, 중요도의 판단 기준이 불명확한 지적이 있었습니다.
* 중요도평가를 통해 비중요업무로 분류될 경우 업무연속성 계획 수립 등에 있어 금융회사 등의 부담이 일부 완화
- 현재 “개인신용정보” 처리여부, “전자금융거래의 안정성 및 신뢰성에 중대한 영향”을 미치는 경우 등을 규정하고 있으나, 실제 적용에는 어려움이 있습니다.
ㅇ (개선방안) 해외 사례 등을 감안하여 업무 중요도 평가에 대한 구체적 기준을 마련할 예정입니다.
* 업무중요도 평가는 금융회사 등이 내부의 정보보호위원회 등 심의를 통해 결정
|
< 업무중요도 평가 기준(해외사례) >
‣ (싱가포르-MAS) ①아웃소싱 할 업무의 수익 및 이윤에 대한 기여도, ②아웃소싱이 소득·지급능력·유동성 등에 미치는 잠재적인 영향력, ③아웃소싱 실패 시 치러야 하는 비용, ④아웃소싱 비용이 기관의 운영 비용 총액에서 차지하는 비율 ⑤업체 서비스 중단 및 기밀성·보안 침해가 발생하는 경우 고객에게 미치는 영향 등을 평가 |
|
[2] CSP 평가항목을 141개에서 54개로 축소 |
ㅇ (문제점) 금융회사 등은 클라우드 이용 전에 클라우드서비스사업자(CSP)의 건전성‧안전성 평가를 수행하여야 합니다.
- 이 경우 평가항목은 총 141개(‘기본 보호조치 항목*’ 109개, ‘금융부문 추가보호조치**’ 32개)로 평가항목이 많고 항목간 중복이 존재하여 現 절차 중 가장 큰 부담으로 작용하고 있었습니다.
* 기본보호조치 항목은 클라우드서비스 보안인증제(과기부)의 평가항목을 준용하고 있으며, 국내외 보안인증을 취득하는 경우 생략이 가능
** 금융 부문에 특화된 기준으로서 CSP의 건전성 및 추가 보안사항을 평가
ㅇ (개선방안) 총 141개 CSP 평가항목을 54개(필수 16개+대체 38개)로 간소화하고, 특히 비중요업무의 경우에는 그 중 필수항목(16개)만 평가하도록 평가항목을 대폭 간소화하였습니다.
※ CSP 평가 등 절차는 합리적으로 개선하되, 정보보호위원회의 심의‧의결을 거치도록 하여 금융회사 등의 책임성은 확보할 계획임
※ 국내외 보안인증을 취득한 CSP의 경우 인증시 평가항목을 제외한 항목만 평가
|
[3] 업무 중요도에 따른 클라우드 이용절차 차등화 |
ㅇ (문제점) 업무 중요도 평가 결과 비중요업무라 하더라도 중요업무와 동일한 클라우드 이용절차를 준수해야 하는 문제가 있습니다.
- 즉, 비중요업무는 업무연속성 계획 수립시 금융회사 등이 자율적으로 일부 항목을 조정할 수 있으나 실무적으로는 중요업무와 유사한 수준으로 수행하고 있었습니다.
< 현행 중요업무와 비중요업무의 이용절차 비교 >
|
|
업무연속성 계획 수립 |
안전성확보 조치 수립 |
업무위수탁 기준 보완 |
CSP 평가 |
정보보호위원회 의결 |
|
중요업무 |
○ |
○ |
○ |
○ |
○ |
|
비중요업무 |
△ |
△ |
△ |
○ |
○ |
* △의 경우 금융회사 등이 자율적으로 점검항목이 조정가능함을 의미
ㅇ (개선방안) 비중요업무의 경우 클라우드서비스사업자(CSP) 평가항목 중 일부 면제 등 클라우드 이용절차를 완화하겠습니다.
- 업무 연속성 계획, 안전성 확보조치 등 수립시에도 비중요업무에 적합한 별도 기준을 제시함으로써 중요업무와 비중요업무간 절차적 차이점을 명확히 하겠습니다.
< 현행 중요업무와 비중요업무의 이용절차 비교 >
|
|
업무연속성 계획 수립 |
안전성확보 조치 수립 |
업무위수탁 기준 보완 |
CSP 평가 |
정보보호위원회 의결 |
|
중요업무 |
○ |
○ |
× |
○ |
○ |
|
비중요업무 |
△ |
△ |
× |
△(기준완화) |
○ |
* △의 경우 금융회사 등이 자율적으로 점검항목이 조정가능함을 의미
|
[4] 금융회사 등의 CSP평가 부담 완화를 위한 대표평가제 도입 |
ㅇ (문제점) 특정 금융회사(A)가 특정 클라우드(a)를 이용하기 위해 CSP 평가를 하였더라도 다른 금융회사(B)가 동일한 클라우드(a)를 이용하기 위해서는 별도의 CSP평가를 수행하는 불편이 있었습니다.
* 클라우드를 이용하는 업무의 성격 등이 유사할 경우 CSP평가도 유사한 방식으로 진행된다는 점에서 절차적 비효율성이 있다는 의견이 있었음
ㅇ (개선방안) 금융보안원이 금융회사를 대표하여 CSP(a)를 평가하고 금융회사(A, B)는 금융보안원의 평가결과를 활용할 수 있도록 하겠습니다.
|
[5] 새로운 형태의 클라우드(SaaS)에 대한 별도 평가기준 마련 |
ㅇ (문제점) 현재의 CSP 평가항목은 최근 활용도가 높아지고 있는 SaaS (Software as a Service)를 평가하기에 적합하지 않은 측면*이 있습니다.
* CSP 평가항목은 서버‧저장장치 등을 클라우드로 제공하는 IaaS(Infrastructure as a Service) 사업자의 물리적 요건 등을 중심으로 구성하고 있어 물리적 요건을 갖추지 않은 SaaS 사업자에 대한 평가가 곤란한 측면
ㅇ (개선방안) 클라우드서비스 보안인증제(CSAP)과 유사하게 금융분야에서도 SaaS에 대한 별도 평가기준을 마련하겠습니다.
|
[6] ‘업무위탁 운영기준 보완사항’ 등 제출서류 간소화 |
ㅇ (문제점) 금융회사 등이 클라우드를 이용하기 위해 제출해야 하는 서류가 중복되고 과도하다는 의견이 제기되었습니다.
- 예를 들어, 금융회사 등은 ‘업무위탁 운영기준 보완사항*’을 작성‧제출해야 하는데, 그 항목 중 일부가 ‘업무연속성 계획’에도 중복포함되어 있는 등의 문제가 있습니다.
* 전자금융 감독규정 제14조의2제1항제3호 및 별표 2의3(위수탁계약 결정 사항, 위탁업무 모니터링 사항, 비상대책 관련 사항, 위탁업무 관련 조사·접근권 확보 사항 등)
ㅇ (개선방안) 유사·중복되는 사항들을 간소화*하여, 금융회사 등의 서류 작성 및 제출 부담을 완화하도록 하겠습니다.
* ‘업무위탁 운영기준 보완사항’에서 중복되는 항목 등은 ‘업무연속성 계획’ 등으로 통합하되, “계약서 기재사항”등과 같이 꼭 필요한 항목은 유지
|
[7] 클라우드 이용시 사전보고를 사후보고로 전환 |
ㅇ (문제점) 금융회사 등은 중요업무의 경우 클라우드를 이용하려는 날의 7영업일 이전에 금융감독원에 보고하도록 되어 있는데, 이는 적시성 측면에서 바람직하지 않다는 지적이 있었습니다.
ㅇ (개선방안) 금융회사 등이 클라우드를 이용하려는 경우 요구되는 사전보고를 사후보고로 전환하겠습니다.
- 중요업무에 대한 계약 체결, 계약 내용의 중대한 변경 등의 경우 3개월 이내에 사후보고할 수 있도록 하겠습니다.
|
(2) 망분리 규제 개선방안 |
|
[1] 개발‧테스트 분야에 대한 망분리규제 예외적용 |
ㅇ (문제점) 개인신용정보 등을 보유하고 있지 않고 전자금융거래의 중요성이 낮은 개발ㆍ테스트 서버까지 물리적 망분리가 일률적으로 적용되고 있어 개발‧테스트의 효율성이 저해된다는 지적이 있습니다.
ㅇ (개선방안) 개발ㆍ테스트 서버에 대해서는 물리적 망분리 규제를 예외적으로 완화하도록 하겠습니다.
* 규제 샌드박스를 통해 신기술 금융서비스 연구‧개발을 위한 카카오뱅크 부설 ‘금융기술연구소’에 대한 망분리 규제 예외 조치(`20.4월) 허용
- 다만, 개인정보 유출 등 보안사고 발생을 최소화하기 위해 보완조치*도 마련하겠습니다.
* 예시 : 고객의 개인신용정보 또는 계좌거래정보를 활용하지 않을 것, 오픈소스 접속‧활용 등에 대한 내부기준을 수립‧이행할 것 등
|
[2] 비금융업무 및 SaaS에 대한 망분리 예외조치 적용 추진 |
ㅇ (문제점) 금융거래와 무관하고 고객·거래정보를 다루지 않는 운영시스템*에 대해 망분리 규제의 완화 필요성이 지속 제기되었습니다.
* 예시 : 인사, 그룹웨어 등 경영지원업무 및 관련 정보 취급 시스템
- 특히 비중요업무에 대해 클라우드 형태의 소프트웨어(SaaS)를 활용하는 경우에도 망분리 규제가 적용되어 불편하다는 의견이 있었습니다.
ㅇ (개선방안) 규제샌드박스를 활용하여, 금융거래와 무관하고 고객·거래정보를 다루지 않는 경우에는 망분리의 예외를 허용하고
- 비중요업무의 SaaS 이용시 내부망에서 가능하도록 허용하겠습니다.
* 다만, 규제샌드박스의 부가조건을 통해 정보보호를 위한 보완 장치 마련
< 경영지원망의 망분리 규제완화 (예시) >
|
|
|
[3] 단계적 망분리 규제 완화 추진(중장기) |
ㅇ (문제점) 현행 망분리 규제는 금융회사 등의 업무범위 등과 무관하게 일률적으로 적용되고 있습니다.
* 예컨대, 고객정보를 직접 보유하지 않고 자산운용에만 집중하는 회사(자산운용사)의 경우 망분리 규제 필요성이 여타 금융회사에 비해 낮음에도 은행과 동일한 수준의 망분리 규제가 적용
ㅇ (개선방안) 금융회사 등의 책임성 확보, 금보원의 보안관제강화 등을 전제로 망분리 규제의 단계적 완화를 추진하겠습니다.(중장기)
- ①망분리 대상업무를 축소하고, ②물리적‧논리적 망분리의 선택가능성 등을 금융회사 등에 부여하는 방식을 검토할 계획입니다.
|
4. 향후 계획 |
□ ’22.4월중(잠정) 제도개선사항을 반영한 전자금융거래법 시행령 및 감독규정 개정안을 입법예고하고, 조속한 개정을 통해 2023년부터 시행될 수 있도록 하겠습니다.
□ 금년 말까지 「금융분야 클라우드컴퓨팅서비스 이용 가이드라인」도 개정하여,
ㅇ 全 금융권이 실무적으로 참고할 수 있는 구체적인 절차 및 기준을 마련하도록 하겠습니다.
□ 가이드라인 개정 등 제도개선 사항이 조기에 안착될 수 있도록 ’22.5월부터 금융위, 금감원, 금보원, 금융협회 합동으로 유권해석반을 운영하여 금융회사 등 이해당사자들과 충실히 소통해 나가겠습니다.
※ 유권해석 자료는 정리하여 전체 금융회사 등과 공유하고, 「금융분야 클라우드컴퓨팅서비스 이용 가이드라인」에 반영할 예정입니다.
□ 클라우드 및 망분리 제도개선은 금융회사 등의 자율 책임에 따른 내부통제 기준 마련 등이 전제되어야 하는 만큼,
ㅇ 금년 하반기 중 금융회사 등의 정보보호심의위원회 구성‧운영 현황 등 내부통제시스템을 점검해 나갈 예정입니다.