주요 내용
[1] 클라우드 이용업무의 중요도 평가 기준을 마련하고, 업무 중요도에 따라 이용절차를 차등화
[2] 클라우드서비스제공자(CSP)의 건전성 및 안전성 평가항목을 정비
[3] 클라우드 이용 시 사전보고를 사후보고로 전환하고, 제출서류를 간소화
[4] 이용자의 고유식별정보 또는 개인신용정보를 처리하지 않는 것을 전제로, 연구·개발 분야의 망분리 규제 완화 |
1. 추진 배경 |
□ 금융업무의 디지털 전환이 가속화되면서 클라우드, 빅데이터, 인공지능(AI) 등 디지털 신기술에 대한 금융권 수요가 늘어나고 있습니다.
□ 한편, 클라우드, 망분리 등 현행 금융보안 규제가 엄격하여 디지털 신기술 도입∙활용을 통한 금융혁신을 저해한다는 의견이 지속 제기되어 왔습니다.
□ 이에 정부는 클라우드 이용절차를 합리화하고 망분리 규제를 개선하기 위해 `22.4.14. 「클라우드 및 망분리 규제 개선방안」을 마련하고,
ㅇ 제도 개선방안이 금융현장에 원활하게 안착할 수 있도록 「전자금융 감독규정」을 일부 개정하였습니다.
2. 주요 개정내용 |
[1] 클라우드 이용업무의 중요도 평가 기준을 마련하고, 업무 중요도에 따라 이용절차를 차등화
ㅇ (현행) 클라우드 이용업무의 중요도 평가 기준이 모호하며, 중요도와 관계없이 이용 절차가 일률적으로 규정되어 있었습니다.
ㅇ (개선) 클라우드 이용업무의 중요도 평가 기준을 구체화하여 명시하고,
- 비중요 업무에 대해서는 클라우드서비스제공자(CSP)의 건전성 및 안전성 평가, 업무 연속성 계획, 안전성 확보조치 절차를 완화하여 수행할 수 있도록 개선하였습니다.
[2] 클라우드서비스제공자(CSP)의 건전성 및 안전성 평가항목을 정비
ㅇ (현행) 평가항목이 유사‧중복되고, 물리적 설비 기반의 클라우드를 기준으로 구성되어 소프트웨어 형태의 클라우드(SaaS)에 적용이 곤란했습니다.
ㅇ (개선) 유사‧중복된 평가항목을 정비(141개→54개)하고, 소프트웨어 형태의 클라우드(SaaS)의 완화된 평가 기준을 마련하였습니다.
[3] 클라우드 이용 시 사전보고를 사후보고로 전환하고, 제출서류를 간소화
ㅇ (현행) 금융회사 등이 중요업무에 대해 클라우드를 이용하려는 경우 7영업일 이전에 금융감독원장에 사전보고할 의무가 있었습니다.
ㅇ (개선) 금융회사 등이 클라우드 이용계약을 신규로 체결하거나 계약 내용의 중대한 변경 등이 있는 경우 3개월 이내에 금융감독원장에 사후보고하도록 변경하였습니다.
[4] 연구·개발 분야의 망분리 규제 완화
ㅇ (현행) 프로그램 개발 등을 위해 오픈소스 등을 활용할 필요가 있는 금융회사 등의 연구·개발 분야에도 물리적 망분리 규제가 일률적으로 적용되어 혁신을 저해한다는 지적이 있었습니다.
- 이에, 금융규제 샌드박스를 통해 카카오뱅크의 ‘금융기술연구소’를 혁신금융서비스로 지정(`20.4.)하여, 망분리 규제 특례를 부여하였습니다.
< 카카오뱅크의 ‘금융기술연구소’ 운영 사례 >
◈ 신기술 연구·개발을 위해 기업부설 연구소 형태로 ‘금융기술연구소’를 운영
ㅇ 망분리 제약 없이 국내외 연구·기술 및 오픈소스 등을 공유·활용
ㅇ 다만, 연구소 개발시스템을 은행의 업무용시스템과 분리 구축하고, 연구소망에서 고객의 개인(신용)정보 등을 처리하지 않음
※ 서비스 지정 이후 1)안면인식 기술 연구‧개발, 2)무자각 인증 방법 특허 출원‧등록, 3)신용평가모델 연구 SCI 학술지 게재 등의 운영 성과를 보였으며, 서비스 기간 중 보안사고 등 미발생 |
ㅇ (개선) 금융규제 샌드박스를 통해 운영성과 및 안정성 등이 검증된 만큼, 이용자의 고유식별정보 또는 개인신용정보를 처리하지 않는 것을 전제로 연구·개발 분야에 대해서는 망분리의 예외를 허용하였습니다.
* 다만, 금융회사 등이 자체 위험성 평가를 실시한 후 금융감독원장이 정한 망분리 대체 정보보호통제를 적용할 필요
※ 비중요업무에 대한 소프트웨어 형태의 클라우드(SaaS)를 내부망에서 이용할 수 있도록, 규제샌드박스를 통한 망분리 규제 완화를 검토할 예정입니다(`23.上) |
3. 향후 계획 |
□ 오늘 금융위에서 의결된 「전자금융감독규정」 개정안은 `23.1.1일(日)부터 시행됩니다.
□ 제도개선에 따른 세부 절차, 구체적인 사례 및 유권해석반을 통해 회신된 금융회사 등의 질의사항을 반영하여 「금융분야 클라우드컴퓨팅서비스 이용 가이드」를 개정*하였으며,
* 全 금융권이 실무적으로 참고할 수 있도록 「전자금융감독규정」 개정에 맞춰 배포 예정
(배포일시 : `22.11.24(木), 배포처 : 금융보안원 홈페이지(www.fsec.or.kr)-자료마당-가이드 탭)
ㅇ 금융감독원, 금융보안원과 함께 제도 시행 전 두달 간(11~12월) 금융회사 등의 정보보호위원회 구성‧운영 현황, 정보기술부문 내부통제현황 등에 대한 서면‧현장 점검 및 컨설팅을 진행할 예정입니다.