금융감독당국은 2022. 4. 14. ‘금융분야 클라우드 및 망분리 규제 개선방안’을 발표하여 비중요업무에 대한 SaaS(Software as a Service, 소프트웨어 형태의 클라우드)를 내부망에서 이용할 수 있도록 금융규제 샌드박스(혁신금융서비스)를 통해 망분리 규제를 완화하고, 금융규제 샌드박스의 부가조건으로 정보보호를 위한 보완 장치를 마련하겠다고 밝혔고, 이후 2022. 11. 23. 전자금융감독규정 개정안 의결 관련 내용을 보도하면서 비중요업무에 대한 SaaS를 내부망에서 이용할 수 있도록 금융규제 샌드박스를 통한 망분리 규제 완화를 2023년 상반기 중 검토할 예정임을 밝힌 바 있습니다.
그 후속조치로서 금융감독당국은 2023. 6. 28. 금융규제 샌드박스를 통한 내부망 SaaS 이용 관련 설명회를 개최하고, 아래와 같이 내부망에서의 SaaS 이용과 관련 금융규제 샌드박스 부가조건 및 향후 일정 등을 발표하였습니다.
1. |
SaaS 이용 가능 업무(데이터) 범위 |
금융회사 및 전자금융업자(이하 “금융회사 등”)는 금융규제 샌드박스 신청시 SaaS를 사용해 처리하고자 하는 업무의 종류, SaaS를 제공하는 클라우드컴퓨팅서비스 제공자(Cloud Service Provider, 이하 “CSP”), 사용할 SaaS 명칭 등을 기재하여야 하며, 향후 SaaS를 사용해 처리고자 하는 업무를 추가 또는 변경하고자 하는 경우에는 금융규제 샌드박스를 재신청하거나 변경 신청해야 합니다.
금융감독당국은 금번 발표를 통해 SaaS 이용이 가능한 업무와 이용이 불가한 업무를 구분하였는바, (1) 협업도구, ERP, 기타 내부업무는 고객의 개인정보, 신용정보, 거래정보 등을 처리하지 않는 비중요업무라는 전제하에 금융규제 샌드박스를 통해 SaaS 이용이 가능한 반면, (2) 보안관리, IT 개발·운영, 고객 관련 업무는 향후에도 SaaS 이용이 허용되지 않습니다. 금융규제 샌드박스를 통해 SaaS를 이용하고자 하는 금융회사 등에서는 SaaS 이용이 제한되는 업무 및 정보의 구체적 범위 등에 대해 필요 시 금융감독당국과 사전에 협의가 필요할 것으로 보입니다.
SaaS 이용 가능 |
협업도구 |
ERP |
기타 내부업무 |
오피스S/W, 메신저, 디자인, 화상회의, 이메일, 그룹웨어 등 |
인사관리, 성과관리, 계약 관리, 재무회계, 지출 결의 등 |
마케팅 분석, 금융지표 분석, 교육 관리, 자료번역, 설문조사 등 |
SaaS 이용 불가 |
보안관리 |
IT 개발·운영 |
고객 관련 업무 |
통합계정관리, 웹격리(악성 콘텐츠 차단), 문서보안, 시큐어코딩 등 |
프로그램 개발, IT자원관리, 시스템 장애 테스트 등 |
대고객지원, 고객 행위 분석, 고객 문의 관리, 기업 고객 관리 등 |
2. |
SaaS 이용을 위한 CSP 안전성 평가 |
내부망에서 SaaS 이용시 망분리 예외를 허용 받기 위한 부가조건으로 CSP에 대한 안전성 평가가 부과됩니다. 구체적으로 금융규제 샌드박스를 신청한 SaaS에 대하여 금융위원회가 평가대상 CSP 및 서비스를 선정하여 금융보안원에 CSP 평가를 요청하고 이후 금융보안원이 평가를 합니다. 이에 따라 금융회사 등에서의 자체적인 CSP 평가는 허용되지 않습니다. 평가 범위는 금융회사 등이 이용 예정인 CSP의 SaaS 서비스와 관련한 자산이며, 금융회사 등과 CSP간의 계약사항 및 책임영역은 평가 범위에서 제외됩니다.
안전성 평가항목은 ① 법 및 정책 준수, ② 보안감사, ③ 장애 대응, ④ 서비스 가용성, ⑤ 침해사고 대응, ⑥ 접근권한 관리, ⑦ 가상화 보안, ⑧ 데이터 보호의 8개 항목 30개 세부 평가 방법 및 기준이 적용됩니다.
본 평가를 위해서는 CSP의 지원 및 협조가 필수적이므로 만약 CSP가 평가 지원을 하지 않는 경우에는 평가 진행이 되지 않습니다. CSP가 평가 지원 결정시에는 CSP가 자가점검결과서를 작성하여 금융보안원에 회신하고, 금융보안원이 제출 받은 자가점검결과서를 검토한 뒤 현장 점검을 통한 평가를 수행하고, 최종 평가 결과가 금융보안원 홈페이지를 통해 공개될 것으로 보입니다.
이에 따라 금융회사 등은 금융규제 샌드박스 신청에 앞서 CSP의 지원 및 협조를 구할 필요가 있고, CSP 입장에서는 안전성 평가 항목별 세부 평가 방법 등에 따라 사전에 미비사항을 파악 및 보완할 필요가 있습니다. 다수의 금융회사가 이용하는 CSP의 SaaS 서비스의 경우 금융회사별로 안정성 평가를 받는 것이 아니라 SaaS 서비스 별로 평가 받는 방식으로 진행될 것으로 보입니다.
3. |
SaaS 이용 시 필요 보안대책 |
금융회사 등은 SaaS 접속단말기가 고객정보 및 전자금융거래정보를 처리하는 시스템과 연결되지 않도록 하고, 허용된 SaaS 외 인터넷 등에 접속되지 않도록 보안통제를 적용해야 합니다. 이에 따라 고객정보나 전자금융거래정보를 처리하는 임직원들의 경우 SaaS 접속을 위한 단말기를 별도 마련해야 할지 등에 대한 검토가 필요해 보입니다.
금융회사 등은 망분리 예외로 인해 발생할 수 있는 보안위협 완화를 위해 필요한 보안대책을 수립·이행하고, 보안대책 이행여부를 금융감독당국에 분기당 1회 제출해야 합니다(이행계획은 금융규제 샌드박스 신청 시 제출).
금융위원회는 위 설명회에서 가장 가까운 시일 내 예정된 혁신금융심사소위원회가 8월 하순이라고 한 바, 이때 SaaS 이용을 위한 금융규제 샌드박스 신청을 진행하고자 하는 금융회사 등은 위 일정을 감안하여 신청서를 준비해야 할 것으로 보입니다.
[영문] Use of Software as a Service (“SaaS”) Through Financial Regulatory Sandbox
관련 이슈