금융분야 망분리 규제완화 개선방향과 기대효과 로드맵
주요 내용
- 혁신과 보안의 균형: 금융권의 망 분리 규제를 개선하여 새로운 균형을 도모
- 생성형 AI 활용: 금융권에서도 생성형 AI를 활용한 혁신적인 금융서비스 출시 가능
- 자율보안체계 구축: 자율보안 결과책임 원칙에 입각한 금융보안체계 구축
추진 배경
- 망분리 규제 개선 필요성: 망 분리로 인해 금융회사 및 전자금융업자의 업무 효율성이 떨어지고, 신기술 활용과 연구 개발이 어려워짐.
- 산업 변화: 소프트웨어 시장이 자체 구축형에서 클라우드 기반 구독형(SaaS)으로 빠르게 전환, 생성형 AI의 활용이 산업 미래를 좌우하는 상황.
- 보안 발전 저해: 일부 금융회사는 인터넷과 분리된 환경만을 구축하고 선진 보안체계를 도입하지 않으며, 변화하는 IT 환경에 부합하는 보안 조치를 갖추지 않음.
샌드박스를 통한 규제 애로 해소 및 보안대책 병행
- 단계적 개선: 급격한 규제 완화보다는 단계적으로 개선, 샌드박스를 통해 규제 애로를 해소하고 보안대책 마련.
- 생성형 AI 활용 허용: 클라우드 기반의 생성형 AI 도입을 허용, 인터넷 활용 제한 규제 특례 부여, 보안대책 부과 및 금융감독원과 금융보안원의 보안 점검 및 컨설팅 제공.
- 클라우드 기반 응용 프로그램(SaaS) 이용 범위 확대: 문서관리, 인사관리 등 비중요 업무에서 보안관리, 고객관리(CRM) 등으로 확대, 가명정보 처리 및 모바일 단말기에서의 SaaS 활용 허용.
- 연구 개발 환경 개선: 연구 개발 환경의 물리적 분리 완화, 가명정보 활용 허용, 혁신적인 금융상품 개발 환경 제공.
2단계 샌드박스 및 금융보안체계 선진화
- 2단계 샌드박스: 가명정보 활용 1단계 샌드박스 성과 검증 후, 개인신용정보까지 활용 확대 추진, 데이터 활용 범위 증가에 따른 추가 보안대책 부과.
- 목표원칙 중심의 보안규제: 열거식 행위 규칙에서 목표원칙 중심으로 전환, 자율보안체계 구축, 금융회사 등의 자율적 리스크 평가와 세부 보안 통제 구성.
- 책임 강화: 금융회사 등의 자율에 따른 책임 강화, 중요 보안사항의 CEO·이사회 보고의무, 전산 사고 발생 시 배상책임 확대 및 과징금 도입 등 법적 근거 마련.
기대 효과
- 금융산업 경쟁력 제고: AI와 클라우드(SaaS) 기반의 업무 자동화 및 빅데이터 분석 등을 통한 업무 생산성 향상, 금융 데이터 활용도 증가.
- 금융소비자 효용 증진: AI 생성형을 활용한 데이터 분석 및 예측 모델 고도화를 통해 다양한 특화 보험상품 개발, 중금리 대출 확대, 이상금융거래탐지시스템(FDS) 고도화를 통한 부정거래 및 신종사기 시도 차단.
향후 계획
- 업무 설명회 개최: 8월 22일부터 전 업권 업무 설명회 개최, 규제샌드박스 신청 기업별 보안 컨설팅 제공.
- 규제샌드박스 신청 접수: 9월 중 규제샌드박스 신청 접수, 연내 신규 과제에 대한 혁신 금융서비스 지정.
- 전자금융감독규정 개정: 연구 개발 환경 개선 등을 위한 전자금융감독규정 개정 절차 진행, 금융보안 법 체계 개편 추진.
금융위원장 발언
- 글로벌 스탠다드 관점에서의 정비: 클라우드, 생성형 AI 등 급변하는 IT 환경변화에 대응하기 위해 망분리 개선 필요성 강조, 갈라파고스 규제 과감히 개선 필요성 언급.
- 금융산업 경쟁력 및 금융소비자 효용 증진: 망분리 개선 로드맵이 금융산업 경쟁력 제고와 금융소비자 효용 증진으로 이어질 것이라고 기대, 금융업권의 협조 당부.
금융분야 망분리 개선 로드맵의 세부 내용은 별첨 자료를 참조하시기 바랍니다.
출처 : 금융감독원
금융규제 샌드박스는 혁신적인 금융 서비스의 시험적인 도입을 가능하게 하는 제도입니다. 특히 SaaS(서비스형 소프트웨어) 이용과 관련하여 금융회사들이 새로운 기술을 시험할 수 있는 법적인 여건을 마련합니다. 이 제도를 통해 금융회사들은 기존에 적용되는 규제에서 일시적으로 면제받아, 혁신적인 서비스를 시장에 출시하고 검증할 수 있습니다.
SaaS와 관련된 금융규제 샌드박스에서는 CSP(클라우드 서비스 제공업체)의 안전성 평가가 중요한 요소로 작용합니다. 평가 항목에는 법 및 정책 준수, 보안감사, 장애 대응, 서비스 가용성, 침해사고 대응, 접근권한 관리, 가상화 보안, 데이터 보호 등이 포함됩니다. CSP는 이러한 평가에 협조하여 자가점검 결과서를 작성하고, 금융보안원이 이를 검토한 후 현장 점검을 통해 최종 평가를 실시합니다. 평가 결과는 금융보안원 웹사이트를 통해 공개됩니다.
금융회사 등은 SaaS 이용에 있어서 몇 가지 보안 대책을 마련해야 합니다. 예를 들어, SaaS 접속단말기가 고객정보 및 전자금융거래정보를 처리하는 시스템과 연결되지 않도록 해야 하며, 허용된 SaaS 외에는 인터넷 접속을 제한하는 보안통제를 적용해야 합니다. 이와 같은 조치는 금융회사가 망분리 예외를 활용하여 보안위협을 완화하고, 보안대책 이행 여부를 금융감독당국에 정기적으로 보고하는 데 필수적입니다.
금융규제 샌드박스의 도입과 관련하여, 금융회사들은 CSP와 긴밀히 협력하여 안전성 평가를 준비하고, 필요한 보안 조치를 마련해야 합니다. 이 과정은 금융회사들이 혁신적인 금융 서비스를 시장에 안전하게 도입하고, 동시에 사용자 보호와 시스템 보안을 유지하는 데 도움이 됩니다.
금융회사가 SaaS 솔루션을 이용하고자 할 때, 해당 CSP(클라우드 서비스 제공업체)의 안전성 평가 결과는 매우 중요합니다. 금융규제 샌드박스 프로그램 하에서 CSP의 안전성 평가 절차를 준비하고 진행하게 되면, 이 결과는 금융회사가 해당 서비스를 이용하는 데 필요한 신뢰성 및 보안 준수 여부를 확인하는 데 도움이 됩니다. 따라서 CSP로서는 금융규제 샌드박스 신청을 준비하거나 진행할 때, 자사의 서비스가 금융 보안 및 규제 요구사항을 충족한다는 것을 증명할 수 있는 자료를 준비하는 것이 중요합니다.
금융회사나 전자금융업자가 페쇄망에서 클라우드 기반 SaaS 협업도구를 사용하려는 경우, 규제 준수와 보안 문제로 인해 절차가 복잡해질 수 있습니다. 이러한 문제를 우회하고 인터넷망에서 SaaS 사용을 가능하게 하는 방법 중 하나로는 금융규제 샌드박스를 활용하는 것이 있습니다. 샌드박스를 통해 일정 기간 동안 기존 규제의 일부 면제를 받거나 완화된 조건에서 서비스를 시험할 수 있습니다. 하지만, "컴플라이언스를 우회"하는 방법 보다는 금융보안원과 협의하여 안전성 평가를 포함한 적절한 절차를 따르는 것이 중요합니다.
외부망에서 클라우드 기반 SaaS를 이용하려는 경우에는 '클라우드 컴퓨팅 서비스 이용 절차'를 준수해야 하며, 내부망(즉, 페쇄망)에서 SaaS를 이용하고자 할 때에는 '금융규제 샌드박스' 프로그램을 통해 접근하는 것이 일반적인 컴플라이언스 준수 방법입니다. 이는 금융회사가 혁신적인 서비스를 시험할 수 있게 해주면서도, 보안 및 규제 요구사항을 충족시키기 위한 구조적인 접근 방식을 제공합니다.
SaaS를 이용할 때는 외부망과 내부망의 구분보다는 어떤 데이터를 관리하고 처리하는지, 그리고 해당 업무의 중요도가 어떠한지가 더 중요한 기준이 됩니다. 비중요 업무에 대한 SaaS 이용이라면 규제나 보안 요구사항이 상대적으로 유연할 수 있지만, 중요한 업무나 민감한 데이터를 다루는 경우에는 더 엄격한 규제 준수와 보안 조치가 필요할 것입니다. 이러한 접근 방식은 금융회사가 혁신적인 클라우드 서비스를 탐색하면서도, 규제와 보안 요구사항을 충족시키는 데 필수적입니다.
인사관리시스템이나 ERP, 전자계약 등은 일반적으로 비중요 업무로 분류될 수 있지만, 이들 시스템이 처리하는 데이터의 민감성이나 보안 요구사항에 따라 기본보다 더 세밀한 보안 조치가 필요할 수 있습니다. 예를 들어, 개인정보 보호법 등에 따라 인사 데이터는 높은 수준의 보안이 요구됩니다. 따라서, 비중요 업무라 할지라도, 관련 데이터의 특성과 법적 요구사항을 충분히 고려하여 적절한 보안 및 컴플라이언스 조치를 취해야 합니다.
결과적으로, 금융회사가 SaaS를 이용하려면, CSP의 안전성 평가가 중요하며, 이는 금융규제 샌드박스 프로세스를 통해 진행됩니다. 외부망에서 클라우드 서비스를 이용할 경우 클라우드 컴퓨팅 서비스 이용 절차를 준수해야 하고, 내부망(페쇄망)에서 이용할 경우 금융규제 샌드박스를 통해 접근할 수 있습니다. 하지만, 서비스의 중요도와 데이터의 민감성에 따라 보안과 컴플라이언스 조치가 달라집니다. 비중요 업무라도 민감한 데이터를 다루는 경우, 높은 수준의 보안 조치가 필요할 수 있습니다.
금융회사가 SaaS 이용 시, CSP 안전성 평가 중요성, 클라우드 서비스의 외부망/내부망 이용 절차, 비중요 업무 처리 시 보안과 컴플라이언스의 중요성 등 다양한 관점에서의 준수 사항을 통해 금융 분야의 디지털 변환과 혁신이 어떻게 이루어지고 있는지 볼 수 있습니다. 이는 금융 서비스의 효율성 및 혁신을 촉진하면서도, 보안 및 규제 준수를 보장하는 방식에서의 균형을 찾으려는 시도입니다. 따라서, 금융기관은 혁신적인 기술을 도입하고자 할 때 규제 프레임워크 내에서의 선제적 대응 및 준비가 필요합니다.
국내에서 금융업은 엄격한 법규 준수 및 보안 요구사항을 따라야 합니다. 금융회사는 개인정보 보호법, 전자금융거래법, 정보통신망법 등을 준수하며, 고객 데이터 보호와 시스템 보안 유지에 주력해야 합니다. 또한, 각 금융기관은 내부 통제 시스템을 강화하고, 지속적인 보안 교육과 모의 훈련을 실시하여 위협에 대비합니다. 금융위원회와 금융감독원은 금융 산업의 보안 준수를 감독하며, 위반 시 엄중한 조치를 취할 수 있습니다. 금융규제 샌드박스 같은 제도를 통해 혁신적인 금융 서비스가 규제의 테두리 내에서 시험적으로 운영될 수 있도록 지원하고 있습니다.
법적 준수 사항
- 개인정보 보호법
- 고객의 개인정보를 수집, 이용, 보관, 파기하는 전 과정에서 법적 절차를 준수해야 합니다.
- 개인정보의 수집 목적과 범위를 명확히 하고, 정보주체의 동의를 받아야 합니다.
- 개인정보 유출 시 즉시 관련 당국에 신고하고, 피해자에게 통지해야 합니다.
- 전자금융거래법
- 전자금융거래의 안전성과 신뢰성을 보장하기 위한 기술적, 관리적 조치를 취해야 합니다.
- 금융거래 시 고객의 인증 절차를 강화하고, 거래내역을 기록 및 보관해야 합니다.
- 전자금융 사고 발생 시, 즉시 대응하고 관련 내용을 금융감독원에 보고해야 합니다.
- 정보통신망법
- 정보통신망을 통해 개인정보를 처리하는 경우, 기술적 보호조치를 마련해야 합니다.
- 해킹, 바이러스 등 외부 위협에 대응하기 위한 보안 시스템을 구축해야 합니다.
보안 관점
- 접근 제어
- 중요 데이터 및 시스템에 대한 접근 권한을 최소화하고, 필요한 인원에게만 접근을 허용합니다.
- 권한 부여 및 회수 절차를 명확히 하고, 정기적으로 권한을 검토 및 업데이트합니다.
- 데이터 암호화
- 개인정보와 금융 거래 정보를 암호화하여 저장하고 전송해야 합니다.
- 강력한 암호화 알고리즘을 사용하고, 암호화 키를 안전하게 관리합니다.
- 네트워크 보안
- 외부로부터의 침입을 차단하기 위해 방화벽, IDS/IPS(침입 탐지/방지 시스템)를 설치합니다.
- 네트워크 트래픽을 모니터링하고, 이상 징후 발생 시 즉시 대응합니다.
- 보안 감사 및 교육
- 정기적으로 보안 감사 및 취약점 점검을 실시하여 보안 상태를 점검합니다.
- 전 직원에게 보안 교육을 실시하고, 최신 보안 위협과 대응 방법을 공유합니다.
- 사고 대응 계획
- 보안 사고 발생 시 대응할 수 있는 절차와 연락망을 마련합니다.
- 보안 사고 대응 훈련을 정기적으로 실시하여 실제 사고 발생 시 신속하게 대응할 수 있도록 합니다.
- 클라우드 보안
- 클라우드 서비스를 이용하는 경우, CSP의 보안 인증 및 평가 결과를 확인합니다.
- 데이터의 안전한 저장과 전송을 위해 클라우드 환경에 맞는 보안 정책을 적용합니다.
법적 처분에는 다양한 종류가 있으며, 각각의 처분은 법 위반에 대해 적절한 대응을 하기 위한 목적으로 사용됩니다. 아래는 주요 법적 처분의 종류를 포괄적으로 정리하고, 일반적으로 적용되는 순서에 따라 정렬한 내용입니다.
1. 개선권고 (Improvement Recommendation)
- 개념: 개선권고는 법적 강제력이 없는 권고로, 법령 준수와 관련된 개선사항을 제시하여 자발적인 시정을 유도합니다. 권고를 따르지 않아도 직접적인 처벌은 없지만, 불응 시 이후 더 강력한 법적 처분으로 이어질 수 있습니다.
- 예시: 개인정보보호법 위반이 의심될 때 먼저 개선권고를 통해 문제를 해결하도록 권장할 수 있습니다.
2. 시정명령 (Corrective Order)
- 개념: 시정명령은 법률 위반 사항을 바로잡도록 명령하는 것입니다. 주로 감독기관이 법적 위반 사항에 대해 시정을 요구하며, 이를 이행하지 않을 경우 벌칙 등의 처분이 있을 수 있습니다.
- 예시: 공정거래위원회가 부당한 거래 관행을 시정하도록 명령할 수 있습니다.
3. 과태료 (Fine or Administrative Penalty)
- 개념: 과태료는 경미한 법률 위반에 대해 부과되는 금전적 처분입니다. 이는 형사 처벌과 달리 범죄 기록이 남지 않으며, 주로 행정법 위반에 대해 부과됩니다.
- 예시: 불법 주차나 속도 위반에 대해 과태료가 부과될 수 있습니다.
4. 과징금 (Corrective Payment or Penalty Surcharge)
- 개념: 과징금은 법률 위반으로 인해 부당하게 얻은 이익을 환수하거나, 불법 행위를 억제하기 위해 부과되는 금전적 처분입니다. 이는 주로 경제적 불법 행위에 대해 부과됩니다.
- 예시: 공정거래법 위반 시 기업이 얻은 부당한 이익에 대해 과징금이 부과될 수 있습니다.
5. 벌칙 (Punishment or Criminal Penalty)
- 개념: 벌칙은 형법이나 다른 법률 위반에 대해 부과되는 형사적 처벌입니다. 이는 자유의 박탈(징역), 벌금, 사회봉사 등 다양한 형태로 나타날 수 있습니다.
- 예시: 횡령, 사기 등의 범죄에 대해 징역형이나 벌금형이 부과될 수 있습니다.
6. 공표 (Public Disclosure)
- 개념: 공표는 특정 법적 위반 사실을 공공에 알리는 처분입니다. 이는 위반 행위에 대한 사회적 비난을 강화하고, 다른 잠재적 위반자들에게 경각심을 주기 위한 목적이 있습니다.
- 예시: 식품위생법을 위반한 업체의 명단을 공표하여 소비자에게 알리는 경우가 있습니다.
7. 영업정지 (Suspension of Business)
- 개념: 영업정지는 특정 기간 동안 사업의 영위를 중단하도록 명령하는 처분입니다. 주로 심각한 법 위반 행위에 대해 부과되며, 사회적 안전이나 공공의 이익을 위해 시행됩니다.
- 예시: 식품위생법을 심각하게 위반한 식당에 대해 일정 기간 동안 영업을 중지시키는 경우가 있습니다.
8. 허가 취소 (Revocation of License or Permit)
- 개념: 허가 취소는 법률 위반이 중대하여 사업의 영위를 위한 허가나 면허를 박탈하는 처분입니다. 이는 주로 지속적이고 중대한 법 위반 행위에 대해 부과됩니다.
- 예시: 약사법을 위반한 약국의 약국 개설 허가를 취소하는 경우가 있습니다.
이러한 처분들은 법 위반의 정도와 성격에 따라 적절히 적용되며, 기업이나 개인이 법을 준수하도록 하고 공공의 안전과 이익을 보호하기 위한 중요한 수단입니다. 법적 처분에 따른 기업에 미치는 실제 영향을 비교하기 위해 아래와 같은 비교표를 작성했습니다. 각 처분이 기업의 매출, 비용, 명성 등에 미치는 영향을 추정한 것입니다. 이러한 영향은 구체적인 사례와 처분의 강도에 따라 달라질 수 있지만, 일반적인 경향을 기반으로 작성되었습니다.
처분 종류 | 매출 영향 | 비용 영향 | 명성 영향 | 추가 설명 |
---|---|---|---|---|
개선권고 | 낮음 | 낮음 | 낮음 | 자발적인 개선을 유도하는 비강제적 처분이므로, 기업의 대응에 따라 영향이 달라질 수 있음. |
시정명령 | 중간 | 중간 | 중간 | 위반 사항을 시정하기 위한 조치로, 시정에 필요한 비용 발생과 함께 일시적 매출 감소 가능성 있음. |
과태료 | 낮음 | 중간 | 낮음 | 경미한 법 위반에 대해 금전적 처분으로, 직접적인 매출 영향은 크지 않으나 비용 부담이 발생함. |
과징금 | 중간 | 높음 | 중간 | 부당 이익 환수로 인한 큰 비용 발생과 함께, 관련된 부정적 이미지가 매출에 영향을 미칠 수 있음. |
벌칙 | 높음 | 높음 | 높음 | 형사적 처벌로 인해 기업 이미지에 큰 타격이 발생하며, 법적 비용과 매출 감소가 큼. |
공표 | 중간 | 낮음 | 높음 | 법 위반 사실의 공표로 인해 기업의 명성이 크게 훼손될 수 있으며, 이로 인한 고객 이탈과 매출 감소 가능성이 큼. |
영업정지 | 매우 높음 | 중간 | 높음 | 영업 활동 중단으로 인해 매출이 직접적으로 감소하며, 장기적으로 고객 신뢰도 하락 가능성이 큼. |
허가 취소 | 매우 높음 | 매우 높음 | 매우 높음 | 사업 운영 자체가 불가능해지므로, 매출 전면 중단과 함께 큰 비용 발생 및 기업의 존립 자체가 위협받을 수 있음. |
주요 사항
- 매출 영향: 기업의 매출에 미치는 직접적인 영향. 예를 들어, 영업정지나 허가 취소와 같은 처분은 매출에 매우 큰 영향을 미칠 수 있습니다.
- 비용 영향: 기업이 처분에 대응하기 위해 발생하는 비용. 과징금이나 벌칙과 같은 처분은 직접적인 금전적 비용이 큽니다.
- 명성 영향: 기업의 명성에 미치는 영향. 공표와 같은 처분은 명성에 치명적일 수 있습니다.
일반적인 경향을 기반으로 하였으며, 실제 영향은 기업의 규모, 업종, 처분의 강도 등에 따라 달라질 수 있습니다.