금융당국은 2023. 6. 28. 금융회사 및 전자금융업자(이하 “금융회사 등”)이 내부망에서 클라우드컴퓨팅서비스 제공자(이하 “CSP”)가 제공하는 서비스형 소프트웨어(이하 “SaaS”)를 이용할 수 있도록 하는 금융규제 샌드박스를 도입하면서 관련 설명회(이하 “금융규제 샌드박스 설명회”)를 개최하였습니다.
금융규제 샌드박스 설명회에서는 (1) 금융회사 등이 금융규제 샌드박스 신청을 통해 내부망에서 SaaS를 이용할 수 있는 업무 범위, (2) 내부망에서 SaaS를 이용하기 위해 필요한 CSP에 대한 혁신금융서비스 안전성 평가(이하 “안전성 평가”) 방법 등에 대해 발표하였습니다.
|
1. |
SaaS로 이용 가능한 업무 범위 |
현행 전자금융감독규정 상 금융회사 등의 내부망과 외부 인터넷은 분리되어야 하는 바 금융회사 등은 내부망에서 CSP가 인터넷을 통해 제공하는 SaaS를 이용할 수 없는 한계가 있었습니다. 금융당국이 금융규제 샌드박스를 도입하기로 하면서, 금융회사 등도 금융규제 샌드박스 신청을 통해 내부망에서도 SaaS를 이용할 수 있게 되었습니다.
다만, 금융당국은 금융규제 샌드박스를 도입하면서도 내부망에서 SaaS를 이용할 수 있는 업무 범위를 비중요업무(고객의 개인정보, 신용정보, 거래정보 등을 처리하지 않는 시스템)로 제한하였습니다. 아래 표와 같이 협업도구, ERP, 기타 내부업무는 비중요업무라는 전제하에 금융규제 샌드박스를 통해 SaaS 이용이 가능한 반면, 보안관리, IT 개발·운영, 고객 관련 업무는 금융규제 샌드박스 도입에도 불구하고 SaaS 이용이 허용되지 않습니다.
|
구분 |
대상 업무 유형 |
SaaS 적용 예시 |
|
SaaS 이용 가능 |
협업도구 |
오피스S/W, 메신저, 디자인, 화상회의, 이메일, 그룹웨어 |
|
ERP |
인사관리, 성과관리, 계약관리, 재무회계, 지출 결의 |
|
|
기타 내부업무 |
마케팅 분석, 금융지표 분석, 교육 관리, 자료번역, 설문조사 |
|
|
SaaS 이용 불가 |
보안관리 |
통합계정관리, 웹격리(악성 콘텐츠 차단), 문서보안, 시큐어코딩 |
|
IT 개발·운영 |
프로그램 개발, IT자원관리, 시스템 장애 테스트 |
|
|
고객 관련 업무 |
대고객 지원, 고객 행위 분석, 고객 문의 관리, 기업고객 관리 |
|
2. |
SaaS 이용을 위해 필요한 CSP 안전성 평가 |
금융회사 등이 내부망에서 SaaS를 이용하기 위해 금융규제 샌드박스 적용을 받기 위해서는, 해당 SaaS 제공 CSP는 안전성 평가를 거쳐야 합니다. 금융규제 샌드박스 설명회에서 공개된 CSP에 대한 안전성 평가의 구체적인 내용은 아래와 같습니다.
-
평가주체: 금융보안원(평가 결과의 객관성을 확보하기 위해 금융회사가 자체평가하는 방식을 택하지 않음)
-
평가범위: CSP의 SaaS 서비스와 관련한 자산1 (CSP와 금융회사 등 간의 계약사항 및 금융회사의 책임영역은 평가 범위에서 제외됨)
-
평가분야: ① 법 및 정책 준수, ② 보안감사, ③ 장애 대응, ④ 서비스 가용성, ⑤ 침해사고 대응, ⑥ 접근권한 관리, ⑦ 가상화 보안, ⑧ 데이터 보호 등에 대한 평가항목
-
평가절차:
|
① |
금융회사들의 금융규제 샌드박스 신청을 기초로 금융당국이 평가 대상 CSP 및 서비스를 선정하고 평가계획을 수립함. |
|
② |
금융보안원이 평가 방법, 일정, 협조사항 등에 대해 평가 대상 CSP에게 안내하고 협의를 진행함(*만약 CSP가 금융회사 등이 신청한 금융규제 샌드박스 신청에 따른 CSP 안전성 평가에 참여하지 않기로 결정할 경우 평가를 진행하지 않음) |
|
③ |
CSP가 금융보안원과 협의한 방법에 따라 자가점검결과서를 작성하여 금융보안원에 회신함 |
|
④ |
금융보안원은 CSP로부터 제출 받은 자가점검결과서를 검토한 뒤 현장 점검을 통해 평가를 수행함 |
|
⑤ |
금융보안원은 평가 결과를 금융위원회에 공유하고, 최종 평가결과를 금융보안원 홈페이지에 공개함 |
|
3. |
CSP에 대한 시사점 |
금융회사 등의 금융규제 샌드박스 신청이 이루어지면 혁신금융심사위원회2가 금융규제 샌드박스 지정 여부를 심사합니다. 금융규제 샌드박스 설명회에 따르면, 다음 번 혁신금융심사소위원회는 2023. 8. 하순으로 예정되어 있습니다.
금융회사 등이 금융규제 샌드박스 지정을 통해 망분리 규제 적용 특례를 인정 받기 위해서는, 안전성 평가 진행에 대해 CSP의 협조가 반드시 필요하므로, 금융 분야 고객들이 금융규제 샌드박스 신청 전후로 CSP에게 안전성 평가를 위한 협조를 요청할 것으로 예상됩니다.
금융회사 등을 주요 고객으로 고려하고 있는 SaaS 솔루션 제공자는, 심사 일정을 감안하여 금융 분야 고객들과 금융규제 샌드박스 신청 여부 및 신청대상 SaaS 솔루션에 대해 논의하고, CSP 안전성 평가 진행에 대비하는 것을 고려하시기 바랍니다.
1 예) CSP의 Host Management Server, Cloud Portal, Storage, Virtualization Server
2 금융위원회는 금융규제 샌드박스 지정 신청 사항을 심사하기 위해 혁신금융심사위원회를 두며, 동 심사위원회는 금융위원회 위원장(혁신금융심사위원회 위원장)과 기술·금융·법률·소비자보호 분야별 전문가, 금융위위원회 부위원장 및 관계부처(국조실, 행안부, 기재부, 과기부, 중기부, 산업부) 차관(급), 금감원 부원장, 한국핀테크지원센터장 등 총 25인 이내로 이루어 집니다. 혁신금융심사위원회는 안건의 효율적 검토, 예산의 원활한 집행 등을 위해 소위원회를 설치할 수 있습니다.
관련 이슈
