주메뉴 바로가기 본문 내용 바로가기

eg(전자정부)이 누리집은 대한민국 공식 전자정부 누리집입니다.

[보도자료] 금융분야 클라우드 및 망분리 규제 개선방안
2022-04-14 조회수 : 92203
담당부서전자금융과 담당자김종식 사무관 연락처02-2100-2975


주요 내용

 

□ 그간 과도한 클라우드망분리 규제로 인해 디지털 신기술을 도입∙활용하는데 어려움이 있다는 의견이 지속 제기

 

금융 분야의 디지털 전환을 안정적으로 뒷받침하기 위해 클라우드망분리 규제 개선을 추진

 

클라우드 이용이 가능한 업무 범위를 명확히 하고, 중복되거나 유사이용절차정비하고, 사전보고를 사후보고로 전환

 

ㅇ 일률적∙획일적으로 적용되어온 망분리 규제를 개발∙테스트 분야 등부터 단계적으로 완화




1. 추진 배경

 

□ 금융업무의 디지털 전환이 가속화되면서 클라우드, 빅데이터, 인공지능(AI)디지털 신기술에 대한 금융권 수요늘어나고 있습니다.

 

□ 한편, 클라우드, 망분리 등 현행 금융보안 규제가 지나치게 엄격하여 적극적인 디지털 신기술 도입∙활용을 통한 금융혁신을 저해한다는 의견이 지속 제기되어 왔습니다.

 

□ 이에 정부는 전문가 및 이해관계자 등의 의견을 청취*하여 디지털 혁신을 위한 클라우드 및 망분리 규제 개선방안을 마련하였습니다.

 

 * 금융위원장 주재 “핀테크산업 혁신 지원 간담회(2021.12. 9.)” 등



2. 클라우드 및 망분리 규제 현황


 (1) 클라우드 이용규제 현황

 

□ (이용현황) 그간 금융권은 클라우드*내부업무(메일, 메신저 등), 고객서비스(고객상담, 마케팅) 등 후선업무에 주로 활용하였습니다.

 

 * 전산설비를 직접 구축하는 대신 전문업체로부터 IT자원을 필요한 만큼 탄력적으로 제공받아 사용하는 컴퓨팅 환경

 

ㅇ 최근에는 데이터 분석, 시스템 관리, 인터넷‧모바일 뱅킹핵심업무에도 클라우드 활용도를 높여 나가는 추세입니다.

 

< 금융권의 클라우드 이용사례 >

 

① 고객 맞춤형 금융상품 개발을 위해 클라우드 내의 AI기술을 활용한 빅데이터 분석을 활용

② 클라우드가 제공하는 고성능 서버를 활용하여 리스크 분석, 파생상품 개발 등 복잡한 계리업무를 빠르게 처리

 

□ (이용절차) 금융권은 후선업무 등 비중요업무 뿐만 아니라 중요업무에 대해서도 클라우드 이용이 가능합니다.

 

ㅇ 다만, 금융회사 등은 업무중요도 평가, 업무연속성 계획안전성 확보조치 방안 수립, 업무위수탁기준 보완, 클라우드서비스제공자(Cloud Service Provider : 이하 ‘CSP’) 안전성 평가 등을 수행한 후,

 

- 정보보호위원회의 심의‧의결을 거쳐 클라우드 이용계약을 체결하고 금융감독원에 사전보고*하여야 합니다.

 

 * 비중요업무의 경우 「정보처리위탁규정」에 따라 사후보고


➀ (업무중요도 평가) 1. 고유식별‧개인신용정보 처리 또는 2. 전자금융거래의 안전성 및
신뢰성에 중요한 영향 → 중요업무

 

➁ (업무연속성 계획) 데이터 백업, 재해복구, 침해사고 대응 훈련계획, 출구전략 등을 수립

 

➂ (안전성 확보조치 방안) 금융회사 등은 계정관리, 접근통제 등 클라우드 이용시 자체
보안통제가 구현되도록 안전성 확보조치 방안을 수립

 

➃ (위수탁기준 보완) 위수탁계약의 결정‧해지 절차 및 재위탁, 모니터링, 비상대책, 조사‧
접근권 확보에 관한 사항을 보완한 업무위수탁 기준 마련

 

➄ (CSP 평가) CSP의 재무 건전성 및 안정성에 대한 평가를 실시

 

비중요업무의 경우 금융회사 등이 ③, ④항목자율적으로 조정 가능



□ (평가) 불명확한 기준, 과도한 보고 절차 등으로 금융회사 등의 클라우드 수요탄력적으로 대응하는데 한계가 있다는 지적이 있습니다.

 

ㅇ 또한, 비중요업무의 경우에도 클라우드 이용시 준수해야 하는 규제‧절차중요업무와 큰 차이가 없는 상황입니다.

 

 (2) 망분리 규제 현황

 

□ (개요) 망분리 규제는 외부의 침입으로부터 내부 전산자원을 보호하기 위해 내부망과 외부망을 분리하는 네트워크 보안기법의 일종입니다.

 

망분리는 내부망과 외부망에 접속하는 단말기를 물리적으로 분리(PC 2대 사용)하는 방식과 가상화 기술 등을 이용하여 내부망과 외부망에 접속하는 단말기를 논리적으로 분리(PC 1대 사용)하는 방식으로 구분됩니다.

 

□ (규제현황) `13년 대규모 금융전산사고를 계기로 금융 분야에 망분리 규제를 도입하면서 그 방식으로 물리적 망분리를 채택하였습니다.

 

ㅇ 즉, 금융회사, 전자금융업자내부망에 연결된 전산시스템‧단말기외부망과 물리적으로 분리하여 접속을 제한하여야 합니다.

 

 ※ 미국, EU, 호주 등 주요국의 금융당국은 보안 강화를 위해 금융회사의 망분리 정책을 권고하면서 논리적 망분리를 허용 

 

□ (평가) 망분리 규제는 도입 이후 금융전산사고가 크게 감소*하는 등 해킹 등으로부터 금융시스템을 안전하게 보호한 것으로 평가됩니다.

 

 * ’17년 전세계가 랜섬웨어 감염 사고로 피해를 입었음에도 국내 금융권은 피해가 전무

 

ㅇ 다만, 기업별‧업무별 차이를 감안하지 않고 일률적으로 물리적 망분리 규제가 적용됨에 따라 개발업무 등의 효율성이 저해*되고 혁신기술의 활용어려움**이 있다는 지적이 제기되었습니다.

 

 * 최근 개발업무는 폐쇄된 형태가 아닌 인터넷에 공개된 소스코드 등을 적극 활용

 ** AI, 빅데이터 등이 오픈소스 형태로 제공되고 있어 인터넷과 연계가 불가피



3. 개선 방안

 

클라우드 규제 개선방안


 (1) 클라우드 이용규제 개선방안

 

[1] 클라우드 이용 업무에 대한 중요도 평가기준 명확화

 

ㅇ (문제점) 클라우드를 이용하는 경우 해당 업무중요도를 평가해야 하나, 중요도의 판단 기준이 불명확한 지적이 있었습니다.

 

 * 중요도평가를 통해 비중요업무로 분류될 경우 업무연속성 계획 수립 등에 있어 금융회사 등의 부담이 일부 완화

 

- 현재 “개인신용정보” 처리여부, “전자금융거래의 안정성 및 신뢰성에 중대한 영향”을 미치는 경우 등을 규정하고 있으나, 실제 적용에는 어려움이 있습니다. 

 

ㅇ (개선방안) 해외 사례 등을 감안하여 업무 중요도 평가에 대한 구체적 기준을 마련할 예정입니다.

 

 * 업무중요도 평가는 금융회사 등이 내부의 정보보호위원회 등 심의를 통해 결정

 

< 업무중요도 평가 기준(해외사례) >

 

(싱가포르-MAS) ①아웃소싱 할 업무의 수익 및 이윤에 대한 기여도, ②아웃소싱이 소득·지급능력·유동성 등에 미치는 잠재적인 영향력, ③아웃소싱 실패 시 치러야 하는 비용, ④아웃소싱 비용이 기관의 운영 비용 총액에서 차지하는 비율 ⑤업체 서비스 중단 및 기밀성·보안 침해가 발생하는 경우 고객에게 미치는 영향 등을 평가

 

[2] CSP 평가항목141개에서 54축소

 

ㅇ (문제점) 금융회사 등은 클라우드 이용 전에 클라우드서비스사업자(CSP)의 건전성‧안전성 평가를 수행하여야 합니다.

 

- 이 경우 평가항목은 총 141개(‘기본 보호조치 항목*’ 109개, ‘금융부문 추가보호조치**’ 32개)로 평가항목이 많고 항목간 중복이 존재하여 現 절차 중 가장 큰 부담으로 작용하고 있었습니다.

 

 * 기본보호조치 항목은 클라우드서비스 보안인증제(과기부)의 평가항목을 준용하고 있으며, 국내외 보안인증을 취득하는 경우 생략이 가능 

 ** 금융 부문에 특화된 기준으로서 CSP의 건전성 및 추가 보안사항을 평가


ㅇ (개선방안) 총 141개 CSP 평가항목을 54개(필수 16개+대체 38개)로 간소화하고, 특히 비중요업무의 경우에는 그 중 필수항목(16개)만 평가하도록 평가항목을 대폭 간소화하였습니다.

 

 ※ CSP 평가절차합리적으로 개선하되, 정보보호위원회의 심의‧의결을 거치도록 하여 금융회사 등의 책임성은 확보할 계획임

 

CSP 평가항목

 ※ 국내외 보안인증을 취득한 CSP의 경우 인증시 평가항목을 제외한 항목만 평가

 

[3] 업무 중요도에 따른 클라우드 이용절차 차등화

 

ㅇ (문제점) 업무 중요도 평가 결과 비중요업무라 하더라도 중요업무와 동일한 클라우드 이용절차를 준수해야 하는 문제가 있습니다.

 

- 즉, 비중요업무업무연속성 계획 수립시 금융회사 등이 자율적으로 일부 항목을 조정할 수 있으나 실무적으로는 중요업무와 유사한 수준으로 수행하고 있었습니다.

 

< 현행 중요업무와 비중요업무의 이용절차 비교 >

 

업무연속성

계획 수립

안전성확보

조치 수립

업무위수탁

기준 보완

CSP 평가

정보보호위원회 의결

중요업무

비중요업무

 * △의 경우 금융회사 등이 자율적으로 점검항목이 조정가능함을 의미

 

ㅇ (개선방안) 비중요업무의 경우 클라우드서비스사업자(CSP) 평가항목 중 일부 면제클라우드 이용절차를 완화하겠습니다.

 

- 업무 연속성 계획, 안전성 확보조치 등 수립시에도 비중요업무에 적합한 별도 기준을 제시함으로써 중요업무와 비중요업무간 절차적 차이점을 명확히 하겠습니다.

 

< 현행 중요업무와 비중요업무의 이용절차 비교 >

 

업무연속성

계획 수립

안전성확보

조치 수립

업무위수탁

기준 보완

CSP 평가

정보보호위원회 의결

중요업무

×

비중요업무

×

△(기준완화)

 * △의 경우 금융회사 등이 자율적으로 점검항목이 조정가능함을 의미

 

[4] 금융회사 등의 CSP평가 부담 완화를 위한 대표평가제 도입

 

ㅇ (문제점) 특정 금융회사(A)특정 클라우드(a)를 이용하기 위해 CSP 평가를 하였더라도 다른 금융회사(B)가 동일한 클라우드(a)를 이용하기 위해서는 별도의 CSP평가를 수행하는 불편이 있었습니다.

 

 * 클라우드를 이용하는 업무의 성격 등이 유사할 경우 CSP평가도 유사한 방식으로 진행된다는 점에서 절차적 비효율성이 있다는 의견이 있었음

 

ㅇ (개선방안) 금융보안원이 금융회사를 대표하여 CSP(a)를 평가하고 금융회사(A, B)는 금융보안원의 평가결과를 활용할 수 있도록 하겠습니다.

 

[5] 새로운 형태의 클라우드(SaaS)에 대한 별도 평가기준 마련

 

ㅇ (문제점) 현재의 CSP 평가항목은 최근 활용도가 높아지고 있는 SaaS (Software as a Service)를 평가하기에 적합하지 않은 측면*이 있습니다.

 

 * CSP 평가항목은 서버‧저장장치 등을 클라우드로 제공하는 IaaS(Infrastructure as a Service) 사업자의 물리적 요건 등을 중심으로 구성하고 있어 물리적 요건을 갖추지 않은 SaaS 사업자에 대한 평가가 곤란한 측면

 

ㅇ (개선방안) 클라우드서비스 보안인증제(CSAP)과 유사하게 금융분야에서도 SaaS에 대한 별도 평가기준을 마련하겠습니다.


[6] 업무위탁 운영기준 보완사항 제출서류 간소화

 

ㅇ (문제점) 금융회사 등이 클라우드를 이용하기 위해 제출해야 하는 서류중복되고 과도하다는 의견이 제기되었습니다.

 

- 예를 들어, 금융회사 등은 ‘업무위탁 운영기준 보완사항*을 작성‧제출해야 하는데, 그 항목 중 일부가 ‘업무연속성 계획’에도 중복포함되어 있는 등의 문제가 있습니다.

 

 * 전자금융 감독규정 제14조의2제1항제3호 및 별표 2의3(위수탁계약 결정 사항, 위탁업무 모니터링 사항, 비상대책 관련 사항, 위탁업무 관련 조사·접근권 확보 사항 등)

 

ㅇ (개선방안) 유사·중복되는 사항들을 간소화*하여, 금융회사 등의 서류 작성 및 제출 부담을 완화하도록 하겠습니다.

 

 * ‘업무위탁 운영기준 보완사항’에서 중복되는 항목 등은 ‘업무연속성 계획’ 등으로 통합하되, “계약서 기재사항”등과 같이 꼭 필요한 항목은 유지


[7] 클라우드 이용시 사전보고를 사후보고전환

 

ㅇ (문제점) 금융회사 등은 중요업무의 경우 클라우드를 이용하려는 날의 7영업일 이전에 금융감독원에 보고하도록 되어 있는데, 이는 적시성 측면에서 바람직하지 않다는 지적이 있었습니다.

 

ㅇ (개선방안) 금융회사 등이 클라우드를 이용하려는 경우 요구되는 사전보고를 사후보고로 전환하겠습니다.

 

- 중요업무에 대한 계약 체결, 계약 내용의 중대한 변경 등의 경우 3개월 이내에 사후보고할 수 있도록 하겠습니다.


 (2) 망분리 규제 개선방안


[1] 개발테스트 분야에 대한 망분리규제 예외적용


ㅇ (문제점) 개인신용정보 등을 보유하고 있지 않고 전자금융거래의 중요성이 낮은 개발ㆍ테스트 서버까지 물리적 망분리가 일률적으로 적용되고 있어 개발‧테스트의 효율성이 저해된다는 지적이 있습니다.


ㅇ (개선방안) 개발ㆍ테스트 서버에 대해서는 물리적 망분리 규제를 예외적으로 완화하도록 하겠습니다.

 

 * 규제 샌드박스를 통해 신기술 금융서비스 연구‧개발을 위한 카카오뱅크 부설 ‘금융기술연구소’에 대한 망분리 규제 예외 조치(`20.4월) 허용

 

- 다만, 개인정보 유출 등 보안사고 발생을 최소화하기 위해 보완조치*도 마련하겠습니다.

 

 * 예시 : 고객의 개인신용정보 또는 계좌거래정보를 활용하지 않을 것, 오픈소스 접속‧활용 등에 대한 내부기준을 수립‧이행할 것 등

 


[2] 비금융업무 SaaS에 대한 망분리 예외조치 적용 추진

 

ㅇ (문제점) 금융거래와 무관하고 고객·거래정보를 다루지 않는 운영시스템*에 대해 망분리 규제의 완화 필요성이 지속 제기되었습니다.

 

 * 예시 : 인사, 그룹웨어 등 경영지원업무 및 관련 정보 취급 시스템

 

- 특히 비중요업무에 대해 클라우드 형태의 소프트웨어(SaaS)를 활용하는 경우에도 망분리 규제가 적용되어 불편하다는 의견이 있었습니다.

 

ㅇ (개선방안) 규제샌드박스를 활용하여, 금융거래와 무관하고 고객·거래정보를 다루지 않는 경우에는 망분리의 예외를 허용하고

 

- 비중요업무SaaS 이용시 내부망에서 가능하도록 허용하겠습니다.

 

 * 다만, 규제샌드박스의 부가조건을 통해 정보보호를 위한 보완 장치 마련

 

< 경영지원망의 망분리 규제완화 (예시) >

경영지원망의 망분리 규제완화


[3] 단계적 망분리 규제 완화 추진(중장기)


ㅇ (문제점) 현행 망분리 규제는 금융회사 등의 업무범위 등과 무관하게 일률적으로 적용되고 있습니다.

 

 * 예컨대, 고객정보를 직접 보유하지 않고 자산운용에만 집중하는 회사(자산운용사)의 경우 망분리 규제 필요성이 여타 금융회사에 비해 낮음에도 은행과 동일한 수준의 망분리 규제가 적용

 

ㅇ (개선방안) 금융회사 등의 책임성 확보, 금보원의 보안관제강화 등을 전제로 망분리 규제의 단계적 완화를 추진하겠습니다.(중장기)

 

- 망분리 대상업무를 축소하고, 물리적‧논리적 망분리의 선택가능성 등금융회사 등에 부여하는 방식을 검토할 계획입니다.

 


4. 향후 계획

 

□ ’22.4월중(잠정) 제도개선사항을 반영한 전자금융거래법 시행령 및 감독규정 개정안을 입법예고하고, 조속한 개정을 통해 2023년부터 시행될 수 있도록 하겠습니다.

 

□ 금년 말까지 「금융분야 클라우드컴퓨팅서비스 이용 가이드라인도 개정하여,

 

ㅇ 全 금융권이 실무적으로 참고할 수 있는 구체적인 절차 및 기준을 마련하도록 하겠습니다.

 

□ 가이드라인 개정 등 제도개선 사항이 조기에 안착될 수 있도록 ’22.5월부터 금융위, 금감원, 금보원, 금융협회 합동으로 유권해석반을 운영하여 금융회사 등 이해당사자들과 충실히 소통해 나가겠습니다.

 

 ※ 유권해석 자료는 정리하여 전체 금융회사 등과 공유하고, 「금융분야 클라우드컴퓨팅서비스 이용 가이드라인」에 반영할 예정입니다.

 

클라우드 및 망분리 제도개선은 금융회사 등의 자율 책임에 따른 내부통제 기준 마련 등이 전제되어야 하는 만큼,

 

금년 하반기 중 금융회사 등의 정보보호심의위원회 구성‧운영 현황 등 내부통제시스템을 점검해 나갈 예정입니다.

 

첨부파일 (3)첨부파일 열림
220414 (보도자료) 금융분야 클라우드 및 망분리 규제 개선방안.hwp (776 KB) 파일뷰어 파일다운로드
220414 (보도자료) 금융분야 클라우드 및 망분리 규제 개선방안.hwpx (463 KB) 파일다운로드
220414 (보도자료) 금융분야 클라우드 및 망분리 규제 개선방안.pdf (472 KB) 파일뷰어 파일다운로드
콘텐츠 내용에 만족하셨나요?