[법/규제] 금융분야 망분리 규제 개선 로드맵 - Cloud

서론

금융권에서 망분리 규제 개선 로드맵을 발간하면서 물리적 망분리에 해당하는 부분을 논리적 분리 일부 허용으로 개선안을 발표하였다.

생성형 AI, 토큰증권, 연구개발 결과물 이관에 대한 물리적 망분리 예외 추가 등 규정 개선이 필요한 항목에 대해서 언급되었다.
'23.9 규제샌드박스로 시작한 SaaS 업무망 활용 범위를 대폭 확대하면서 클라우드 기반의 응용 프로그램(SaaS) 부분을 정리해본다. 

 

보도자료 - 위원회 소식 - 알림마당 - 금융위원회

---

클라우드 기반의 응용 프로그램(SaaS) 활용도 제고

1단계 추진 과제 종합 구성도, 금융위원회

1. 기존에는 문서관리, 인사관리 등 비중요 업무에 대해서만 SaaS 이용이 허용되고, 고객 개인신용정보를 처리할 수 없는 등 엄격한 샌드박스 부가조건이 부과되어 활용이 제한되었다.
2. 이에, 보안관리, 고객관리(CRM) 등의 업무까지 이용 범위를 확대하고, 가명정보 처리 및 모바일 단말기에서의 SaaS 이용까지 허용하는 등 SaaS 활용도를 제고할 예정이다. 마찬가지로, 규제 특례 확대에 따른 보안 우려에 대응하기 위해 보안대책을 마련하여 샌드박스 지정 조건으로 부과할 계획이다.

---

임직원 업무망에서의 SaaS 활용 범위 확대

• 현행
  • '23.9, SaaS 사용 허용(규제샌드박스)
  • 엄격한 부가조건
    • 고객의 신용정보 처리 불가
    • 업무협업 도구, 인사관리 프로그램 등(보안, 개발, CRM 등 제외)에 한하여 허용
    • 모바일 단말 금지
• 개선
  • SaaS 활용 범위 확대
  • 데이터 범위
    • 개인신용정보 불가 -> 가명처리된 개인신용정보 허용
    • 단, 관련 법령(전자금융감독규정, 개인정보보호법)에 따른 국외 이전 제한 이슈 생존
  • 프로그램 유형
    • 협업도구, ERP 등만 허용 -> 보안, 고객관리, 업무자동화 등 추가 허용
  • 단말기 유형
    • 유선 PC만 허용 -> 모바일 단말기도 허용
• 필요조치
  • 신청 기업별 규제샌드박스 심사 및 지정
    • 활용범위 확대에 따른 강화된 보안대책(하단 예시 참고) 등 부가조건 부과
    • 내부 보안 거버넌스 작동 기업에 대해 샌드박스 심사 시 가점 부여 예정

< ※ 임직원 업무망에서의 SaaS 활용을 위한 “강화된 보안대책 (예시)” >
- 가명정보를 원래의 상태로 복원하기 위한 추가정보는 분리하여 암호화 및 별도 보관
- 모바일 단말의 장치 추적성 확보 및 데이터 저장 및 반출 제한 등
- 보안대책을 적용한 별도 지정된 모바일 단말 사용, 개인 용도의 사용 금지 등

---

SaaS 이용 절차 간소화

• 현행
  • 단순 업무용 SaaS에도 과도하고 관련성이 낮은 클라우드 이용 절차 준수 의무
    • (예) 고객정보를 미처리하는 SaaS임에도 불구하고 계약 시 금융회사 등의 비상 대응훈련 협조, 비밀유지 의무 등을 반영
  • SaaS 이용 전 업무연속성 계획, 안정성 확보조치 방안, 위수탁계약 주요 기재사항 부담 가중

• 개선
  • 업무연속성 계획 필수사항 : 21개 -> 18개
  • 안전성 확보조치 필수사항 : 47개 -> 33개 간소화
    • '24.2.1, 전자금융감독규정 개정안 입법 예고 -> 연내 개정 완료 예정
  • 전자금융거래와 무관하고 고객 개인신용정보를 처리하지 않는 SaaS의 경우 "위수탁계약 주요 기재사항" 차등화
• 필요조치
  • 전자금융감독규정 개정 필요