1. 금융위원회 금융규제 법령해석 포털(better.fsc.go.kr)에는 각종 법령해석을 찾아볼 수 있음
2. 여기에는 IT를 포함하여 정보보호/보안 관련된 사항들도 모두 포함이 되어 공개되어 있음
3. 금융회사들은 이 내용들을 바탕으로 컴플라이언스 준수를 위해 활용을 많이 함
4. 법령해석은 2가지 종류가 있음
| 구분 | 내용 |
| 1. 법령해석 | (금융위원회 소관) 법령을 해석하여 명확화 (타 회사 활용 가능) |
| 2. 비조치 의견서 | (금융감독원 소관) 특정 행위에 대해 금융감독원장이 법령에 따라 향후 제재 등 조치를 취할지 판단하여 공개 (특정 사안으로서 타 회사 활용 불가) |
5. `23.12 부터 `24.11까지 포털에 게시된 전자금융거래 IT/보안 관련 사항은 총 216건
6. 이 중 전자금융감독규정 제15조에 따른 망분리 규정이 큰 비중을 차지
| 제15조(해킹 등 방지대책) ➀ 금융회사 또는 전자금융업자는 정보처리시스템 및 정보통신망을 해킹 등 전자적 침해행위로 부터 방지하기 위하여 다음 각 호의 대책을 수립・운용하여야 한다. 3. 내부통신망과 연결된 내부 업무용시스템은 인터넷(무선통신망 포함) 등 외부통신망과 분리・차단 및 접속 금지. 다만, 다음 각 목의 경우에는 그러하지 아니하다. 가. 이용자의 고유식별정보 또는 개인신용정보를 처리하지 않는 연구ㆍ개발 목적의 경우 (단, 금융회사 또는 전자금융업자가 자체 위험성 평가를 실시한 후 금융감독원장이 정한 망분리 대체 정보보호통제를 적용한 경우에 한한다) 나. 업무상 불가피한 경우로서 금융감독원장이 인정하는 경우 5. 전산실 내에 위치한 정보처리시스템과 해당 정보처리시스템의 운영, 개발, 보안 목적으로 직접 접속하는 단말기에 대해서는 인터넷 등 외부통신망으로부터 물리적으로 분리할 것. 다만, 다음 각 목의 경우에는 그러하지 아니하다. 가. 이용자의 고유식별정보 또는 개인신용정보를 처리하지 않는 연구ㆍ개발 목적의 경우 (단, 금융회사 또는 전자금융업자가 자체 위험성 평가를 실시한 후 금융감독원장이 정한 망분리 대체 정보보호통제를 적용한 경우에 한한다) 나. 업무상 불가피한 경우로서 금융감독원장이 인정하는 경우 |
7. 클라우드 관련 조항도 포함 (감독규정 제14조의 2)
8. 전반적으로 보았을때 핵심 사항을 아래와 같이 정리 (내 판단)
| 구분 | 질의내용 | 답변 | 참조 |
| 망분리 | 금융회사 내부통신망 구성 관련 | 외부통신망과 연결이 차단되었다는 전제하에 내부통신망 구성은 금융회사가 자율적으로 선택(추가적인 망분리 규제 미 적용) | 비조치의견서 230112, 230113, 240019, 240030 |
| 금융회사 내부통신망과 외부망(서비스) 연계 관련 | 업무상 불편함 개선이나 서비스 품질 향상 등의 경우는 통상 망분리 예외 대상인 업무상 불가피한 경우로 인정되지 않으나, 금융회사별 상황이나 목적 등이 상이한 만큼 `업무상 불가피한 경우'를 일반화하기는 어려우므로 각 상황별 금융당국 해석 필요 | 비조치의견서 240014, 240036, 240037, 240041, 240051 |
|
| 전산실 단말기의 원격접속 관련 | 감독규정에 따라 전산실 단말기의 원격접속은 비상대책 이행 목적으로만 가능 단, 내부통신망과 물리적으로 분리된 정보처리시스템 운영 환경 등의 경우 금융당국 판단에 따라 원격접속으로 간주되지 않는 경우도 존재 |
비조치의견서 230111, 240067, 240076 |
|
| 내부통신망 ↔ 외부통신망간 자료전송(망연계) 관련 | 적절한 보안통제 절차 적용을 전제로 망간자료전송시스템 등을 통한 내부통신망 ↔ 외부통신망 간 자료(파일) 전송이 가능 단, 실시간 데이터 연계가 가능한 스트리밍 방식의 경우 망분리 규제의 취지에 맞지 않아 미 허용 |
비조치의견서 240035, 240042 |
|
| 클라우드 | 전자금융거래와 무관한 SaaS를 이용하는 경우에도 감독규정의 클라우드 이용 절차(§14의2)를 준수해야 하는지 여부 | 전자금융거래와 직접 관련이 없는 경우에도 클라우드컴퓨팅 서비스를 이용하면 감독규정의 클라우드 이용 절차 준수 필요 |
비조치의견서 230110, 240054 |
| 정보처리 업무를 위탁하지 않는 클라우드 이용 시에도 감독규정의 클라우드 이용 절차를 준수해야 하는 지 여부 |
감독규정 §14의2에 따른 클라우드컴퓨팅서비스 이용 규제는 금융회사의 정보처리 업무를 위탁하는 경우에 한해 적용 금융회사의 정보처리시스템과 직접 연계되지 않거나 내부 데이터를 제공하지 않는 경우 등은 정보처리 업무 위탁으로 미 해석 |
비조치의견서 240002, 240011, 240075 |
|
| 기타 | 테스트 시 미변환된 이용자 정보 사용 시 감독규정 제13조제1항제10호에 위반하는지 여부 | 업무 중요도 등이 인정되는 경우 실 운영환경과 동일 수준의 보안 대책 적용 시 미변환 이용자 정보를 테스트에 활용하더라도 감독규정 위반으로 미 조치 다만, 금융회사별 상황이나 목적 등이 상이한 만큼 이를 일반화 하기는 어려우며 각 상황별 금융당국 해석 필요 |
비조치의견서 240064, 240068 |
| 정보처리시스템 및 자원의 운영업무를 외부주문하는 경우에도 감독규정 제60조제1항제1호(개발업무 장소 및 설비는 내부 업무와 분리)이 적용되는지 여부 | 외주 개발 시 준수 사항으로 시스템 운영 업무는 미 적용 | 비조치의견서 240033 |
9. 정말 많은 해석과 방향성을 포함하고 있어 규제포탈을 적극 활용할 것
https://better.fsc.go.kr/fsc_new/
금융규제·법령해석포털
better.fsc.go.kr
'IT컴플라이언스' 카테고리의 다른 글
| 전자금융감독규정 개정(안) 의결 및 시행 (0) | 2025.02.06 |
|---|---|
| SaaS이용 금융위 규제샌드박스 신규지정 (0) | 2025.01.31 |
| 전자금융감독규정 개정 (2) (0) | 2025.01.24 |
| 전자금융감독규정 개정안 (1) (0) | 2025.01.24 |