망분리 규제 개선에 관한 전자금융감독규정시행세칙 개정


법무법인 대륙아주 김성율 변호사



1. 망분리 규제 개선의 배경 및 추진경과

  금융권 망분리 규제는 2013. 3. 20. 전산망 마비사태 이후, 외부 공격으로부터 내부 전산 자원을 보호하기 위해 물리적 망분리를 의무화하며 시작되었습니다. 망분리 규제를 통해 보안사고는 현저히 줄었으나, 2020년대 들어 클라우드(SaaS)와 생성형 AI 등 신기술 도입을 가로막는 '갈라파고스 규제'라는 비판을 받아왔습니다.

  이에 금융위원회는 2024. 8. 「금융분야 망분리 개선 로드맵」을 통하여 금융규제샌드박스를 통한 단계적 완화조치 등을 발표하였고, 금번 전자금융감독규정시행세칙 개정을 통하여 SaaS 활용을 확대하기로 하였습니다. 기존에 망분리 규제의 예외를 인정받으려면 개별적으로 샌드박스를 통해 혁신금융서비스 지정을 받아야 했으나, 금번 조치를 통해 SaaS 활용에 관해서 망분리 규제 개선이 법제화되었으므로 별도의 승인절차없이도 이용이 가능하게 되었다는 점에 의미가 있습니다.



2. 개정 전자금융감독규정시행세칙의 주요 내용

가. 개정안의 요지

  전자금융감독규정시행세칙 제2조의3 제1항 제3호를 "이용자의 고유식별정보 또는 개인신용정보를 처리하지 않는 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 시행령」 제3조제2호에 따른 '응용프로그램 등 소프트웨어를 제공하는 서비스' 이용 목적의 경우"로 신설하고, 제4항을 "제1항제3호의 경우 금융회사 또는 전자금융업자는 별표 7에서 정한 망분리 대체 정보보호통제의 이행 여부를 반기에 1회 평가하고 정보보호위원회에 보고하여야 한다."로 신설하며, <별표7> 기준에도 내부업무망 SaaS 통제사항을 추가하였습니다.


나. 내부업무망 SaaS 정보보호통제사항

  전자금융감독규정시행세칙 별표7에 신설된 내부업무망 SaaS에 대한 정보보호통제사항은 아래와 같습니다.
 

• 침해사고대응기관의 평가결과 '충족'을 획득한 SaaS를 이용하고 관련 서류를 최신 상태로 유지 (규정 <별표 2의2> 평가항목 중 SaaS에 적용되는 '필수' 항목에 대한 평가)
• 접속 단말기(모바일 단말 포함)에 대한 보호대책 수립·적용
• 접속 단말기 및 사용자 등록·관리, 안전한 인증 방식 적용, 최소 권한 부여 등 접근 제어 및 권한 관리 [SaaS 관리자 계정 등 중요계정에 대한 다중 인증 적용(예: ID/PW + OTP)]
• 중요정보 입력·처리·유출 여부 모니터링 및 통제
• SaaS 내 데이터의 불필요한 공유·처리 방지
• 허용된 SaaS를 제외한 외부 인터넷 접근통제
• SaaS 이용을 위한 네트워크 구간에 대한 보호대책(암호화 등) 수립·적용
• 접속·이용시 모니터링 및 로그 수집
• 허용된 기능 외 추가 기능(제3자 앱, 플러그인 등)에 대한 접속·이용 통제
• SaaS 정보보호 통제를 위한 상시 관리·체계 확보

다. 적용 제외

  이용자의 개인신용정보 및 고유식별정보를 처리하는 시스템은 금번 예외 허용 대상에서 제외됩니다. 즉, 고객 정보가 직접 연계되는 코어뱅킹이나 대고객 서비스 영역은 여전히 망분리 규제가 적용되므로 해당 영역에서의 SaaS 활용을 위해서는 별도의 샌드박스 절차를 거쳐야 합니다.


라. 향후 일정

  금번 전자금융감독규정시행세칙 개정안에 대한 사전예고는 2026. 1. 20.부터 2026. 2. 9.까지 진행되며 이후 규제개혁위원회 심사 등을 거쳐 시행될 예정입니다. 금융위원회는 시행 시점에 맞춰 보안해설서도 마련하여 배포할 예정입니다.



3. 금번 조치의 시사점

  금번 조치를 통해 개별적 샌드박스 신청 없이도 내부업무용 SaaS를 활용할 수 있게 됨에 따라 금융권의 업무효율성 증대가 기대됩니다. 반면 고객 데이터를 활용하는 생성형 AI 서비스 등은 여전히 규제대상으로 남아 있어 실질적 혁신으로 보기에는 아쉬움이 있다는 평가도 존재합니다. 또한, 당초 2025년 하반기까지 생성형 AI 활용 폭을 넓히는 등 자율보안체계로의 신속한 전환을 기대하였으나 최근 잇따른 보안사고 등으로 인하여 보안 우려가 높아짐에 따라 관련 논의 속도가 조절되고 있는 측면도 없지 않아 보입니다.

  금융기관으로서는, 금번 조치에 대응하여 SaaS 도입 타당성 검토, 내규정비, 책임소재 명확화 등 선제적 조치의 필요성이 있어 보입니다. 우선 금번 개정안은 개인신용정보를 포함하지 않는 SaaS에 대해서만 적용되므로 도입하려는 SaaS가 처리하는 데이터에 '개인신용정보'가 포함되지 않음을 입증하는 데이터 분류 체계 정비가 선행되어야 합니다. 개정안에 맞추어 필요한 경우 사내 정보보호 규정 및 정보보호위원회 운영 규정을 개정할 필요도 있어 보입니다. 또한, 규제중심(Rule-based)에서 자율보안(Principle-based) 체계로 전환됨에 따라, 보안 사고 발생 시 금융회사가 자체적으로 수행한 위험 평가 및 의사결정의 적정성을 소명해야 하는 실질적인 책임의 비중이 확대됩니다. 따라서 클라우드 사업자(CSP/MSP)와의 계약 시, 사고의 원인 규명 협조 의무 및 손해배상 범위를 구체화하는 등 충실한 법률검토를 거쳐 법률적 리스크를 분산할 필요도 있어 보입니다.