1.

금융보안규제의 원칙(Principle) 중심 규율

전자금융감독규정의 293개에 달하는 세세한 행위규칙(Rule)이 166개로 합리적으로 정비되었습니다. 건물·설비·전산실 관리 및 각종 내부통제·사업운영 등과 관련된 규정이 원칙(Principle) 중심으로 기술됨에 따라 금융회사의 자율성이 확대되고 상황별로 보다 유연한 보안 대응이 가능해질 것으로 예상됩니다.
 

2.

보안 관련 내부의사결정 체계 개선 (제8조의2 제4항)

전사적 차원의 적극적 보안 역량 강화를 위해 정보보호최고책임자(CISO)가 정보보호위원회의 주요 심의·의결사항 등을 이사회에 보고하도록 하였습니다. 기존에는 정보보호최고책임자가 정보보호위원회의 심의·의결사항을 최고경영자에게 보고하도록 규정되어 있었으나, 이번 개정에 따라 전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미친다고 판단하는 심의·의결사항에 대해서는 이사회에도 보고해야 합니다.
 

3.

재해복구센터 구축 의무 대상 확대 (제23조 제8항)

2022년 데이터센터 화재로 인한 일부 전자금융서비스 중단 이후 금융전산 복원력(Cyber Resilience) 강화 필요성이 제기됨에 따라 기존의 은행, 금융투자업자, 보험회사, 신용카드업자, 저축은행(중앙회 전산 이용) 외에도 일정한 규모를 갖춘 여신전문금융회사와 전자금융업자 등에게 의무적으로 재해복구센터를 설치할 의무를 부담하도록 하였습니다.
 

4.

전자금융사고 시 소비자 피해 보상을 위한 책임이행보험 등 한도 상향 (제5조 제1항)

금융소비자의 피해 구제를 강화하기 위해 전자금융사고 시 책임이행을 위한 보험, 공제, 적립금의 최저 보상한도가 상향되었습니다. 대표적으로 자본시장법상 금융투자업자는 자산이 2조원 이상일 경우 5억원에서 10억원으로, 전자금융거래법상 PG업자선불업자 등은 1억원에서 2억원으로 각 증액되었습니다. 특히 전자금융감독규정 제5조 제1항 제1호부터 제12호의 업종 중 둘 이상에 해당하는 경우, 각 호에서 정한 금액의 합계액을 최저 보상한도로 설정해야 하므로 정확한 계산이 이루어질 수 있도록 유의하시기 바랍니다.
 

1.

안전성 확보의무 범위 변경(제7조)

기존 개정안에서는 안전성 확보의무 기준의 범위가 전자금융감독규정 제8조부터 제36조 및 제37조의5로 정해져 있었으나, 이번에 의결된 고시안에서는 제8조부터 제36조까지만 포함되고, 제37조의5는 제외되었습니다. 따라서 설령 전자금융감독규정 제37조의5(정보기술부문 및 전자금융 사고보고) 준수에 다소 미흡한 부분이 있더라도, 그러한 사정만으로 전자금융거래법 제21조 제2항(안전성 확보의무) 위반으로 제재될 가능성은 낮아진 것으로 보입니다.
 

2.

클라우드컴퓨팅서비스 이용 시의 준수사항 확대 (별표 2의3 ~ 2의5)

클라우드컴퓨팅서비스 이용과 관련한 업무 연속성 계획, 안전성 확보조치에서 각 준수해야 할 필수사항이 추가되었습니다. 또한, 기존 개정안에서는 클라우드컴퓨팅서비스 위수탁계약서 주요 기재사항에 대한 변경사항이 없었으나, 이번에 의결된 개정 전자금융감독규정에서는 추가 포함사항의 일부가 기본 포함사항으로 이동하고 일부는 신설되었습니다. 따라서 클라우드서비스 이용 시 개정된 사항에 대한 검토가 누락되지 않도록 주의가 필요합니다.
 

3.

전산실 설치, 금융감독원 검사 등에 관한 경과조치 (부칙 제3조 ~ 제4조)

개정 전자금융감독규정 제11조 제1호는 국내에 본점을 둔 전자금융업자의 전산실 및 재해복구센터를 국내에 설치하도록 규정하고 있습니다(제50조제2항에 따라 등록한 국외 사이버몰을 위한 전자지급결제대행업자는 제외). 다만, 이번에 의결된 개정 전자금융감독규정에서는 부칙이 추가되어 기존에 설치된 전산실 등에 대해서는 개정규정이 아닌 종전 규정이 적용될 수 있도록 하였습니다(부칙 제3조). 또한, 기존에 전자금융거래법에 따라 금융감독원이 검사를 수행한 결과에 대해서도 건물·설비·전산실 관리 및 각종 내부통제·사업운영 등과 관련 종전 규정에 따르도록 하였습니다(부칙 제4조).