디지털 금융 정책 동향

금융분야 망분리 개선 로드맵의 주요 내용 및 시사점(2024. 8. 13.)

금융분야 망분리 개선 로드맵(이하 “로드맵”)이 2024. 8. 13. 발표되었습니다.

본 로드맵은 망분리로 인한 업무 비효율, 연구·개발 및 신기술(AI 등) 활용의 어려움 등에 따른 업권에서의 지속적인 규제개선 요청 사항을 반영하여, 기존 망분리 규제를 개선하고, 새로운 금융보안법 및 체계를 마련하여 종국적으로 금융보안 관련 패러다임의 전환을 목표로 하고 있습니다.

앞으로 망분리 규제의 단계적 개선이 추진되고, 보안 거버넌스 강화 및 자율보안 역량 제고를 통한 취약 부문이 개선되며, 금융소비자도 규제 개선 이익을 향유할 수 있는 방향으로 금융권 망분리 개선 정책이 추진될 예정인데, 이 중 망분리 규제의 경우에는 점 진적인 전환을 위해 3단계로 나누어 개선 절차가 진행됩니다.

아래에서는 이와 같이 중요한 의미가 있는 망분리 규제의 단계별 추진 과제 및 시사점을 정리하였습니다.

1. 1단계 추진과제

1단계 추진과제는 ① 생성형 AI 활용 허용, ② 클라우드 기반의 응용 프로그램(SaaS) 활용도 제고, ③ 연구·개발 분야 망분리 규제 개선으로 구성됩니다.

가. 생성형 AI 활용 허용

금융회사 또는 전자금융업자(이하 총칭하여 “금융회사등”)가 생성형 AI1)를 활용하여 가명처리된 개인신용정보까지 처리할 수 있도록 하는 망분리 규제 특례가 허용됩니다.

다만, 규제특례를 적용받고자 하는 회사는 규제 샌드박스 지정을 받아야 하며, 보안 리스크 발생 방지를 위해 보안대책과 AI 사업자와의 계약시 반영해야 할 필수내용 등이 부가조건으로 부과됩니다.

나. 클라우드 기반의 응용 프로그램(SaaS) 활용도 제고
(1) 임직원 업무망에서의 SaaS 활용 범위 확대

2023년 9월부터 규제 샌드박스를 통해 허용 중인 임직원 업무망에서의 SaaS 활용 범위가 다음과 같이 대폭 확대됩니다.

<SaaS 활용 범위 확대 방안>
기준 <현행> <개선>
데이터 범위 개인신용정보 처리 불가 가명처리된 개인신용정보 허용
프로그램 유형 협업도구, ERP 등 보안, 고객관리, 업무자동화 등 추가 허용
단말기 유형 유선 PC만 허용 모바일 단말기도 허용
(2) SaaS 이용 절차 간소화

현재 금융회사등이 SaaS를 이용하기 위해서는, ① 이용업무 중요도 평가, ② 클라우드 서비스 제공자(CSP) 평가, ③ 업무연속성 계획 수립, ④ 안전성 확보조치 수립 등 전자금융감독규정상의 클라우드 이용 관련 요건을 일률적으로 갖추어야 합니다(전자금융감독규정 제14조의2 제8항). 이중 ③ 업무연속성 계획 필수사항 및 ④ 안전성 확보조치 필수사항을 축소하는 전자금융감독규정 개정이 금년 내로 예정되어 있으며, 이를 통해 SaaS 이용 절차가 상당부분 간소화됩니다.

다. 연구·개발 분야 망분리 개선

2022년 11월 개정 시행된 전자금융감독규정을 통해 연구·개발망의 망분리 예외가 허용되었으나 개인신용정보 활용 금지 등의 제한으로 인해 실효성이 저하되고 있습니다. 향후에는 혁신적인 연구·개발이 가능하도록 ① 연구·개발망과 업무망간 논리적 망분리가 허용되고, ② 소스코드 등 연구·개발 결과물의 망간 이동 편의가 확대되며, ③ 가명처리된 개인신용정보의 활용이 허용됩니다.

2. 2단계 추진과제

2단계 추진과제는 ① 기존 규제 특례의 정규 제도화, ② 개인신용정보 처리 허용 등 규제 특례 고도화, ③ 제3자 리스크 관리 강화 등 정보처리 위탁제도 정비로 구성됩니다.

가. 기존 규제 특례의 정규 제도화

생성형 AI 및 SaaS 활용과 관련한 규제 샌드박스의 효용성 평가와 성과 검증을 거친 후, 실효성 있다고 판단되는 경우에 대해서는 전자금융감독규정 개정을 통해 규제 특례의 상시 제도화가 추진됩니다.

나. 개인신용정보 처리 허용 등 규제 특례 고도화

1단계 추진과제에서는 생성형 AI와 SaaS 활용시 가명처리된 개인신용정보만을 처리할 수 있도록 하였는데, 2단계 추진과제에서는 추가 보안대책을 전제로 가명처리되지 않은 개인신용정보의 처리도 가능하도록 규제 샌드박스 조건이 수정됩니다.

다. 제3자 리스크 관리 강화 등 정보처리 위탁제도 정비

그간 금융당국의 행정지도를 통해서만 규율되었던 제3자 리스크2)의 효과적인 관리를 위하여, 전자금융거래법 또는 금융회사의 정보처리 업무 위탁에 관한 규정의 개정을 통해 제3자 리스크 관리 강화 등을 위한 제도가 정비됩니다.

3. 3단계 추진과제

3단계 추진과제에서는 자율보안-결과책임 원칙에 입각한 새로운 금융보안체계를 구축하기 위하여, 아래와 같은 내용으로 구성된 디지털 금융보안법(가칭)이 제정됩니다.

<디지털 금융보안법(가칭) 주요 내용>
  • 주요 보안 원칙·목표를 제시하고, 구체적·기술적 보안 통제사항은 가이드라인으로 모범사례를 제시하며, 금융회사등은 자체 리스크 평가를 통해 자율적으로 세부 보안통제를 구성하고 금융당국에 보고
  • 전산사고 등에 대한 배상책임 강화, 실효성 있는 과징금 도입 등 금융회사등의 책임 강화를 위한 법적 근거 마련, 중요 보안사항의 최고경영자(CEO) 및 이사회에 대한 보고의무, 정보보호최고책임자(CISO) 역할 확대 등 내부 보안체계를 강화
  • 금융회사등의 자율보안체계 수립·이행 등을 검증하고, 보안수준 제고를 위한 시정요구·이행명령을 부과하거나 불이행시 영업정지 등 제재 조치를 할 수 있는 법적 근거를 마련

4. 시사점

로드맵에 따른 단계별 추진과제가 진행될 경우, 향후 금융회사등의 생성형 AI 및 SaaS 활용 범위가 확대되고, 금융데이터를 활용하는 범위도 크게 증가할 것으로 예상됩니다.

다만, 금융회사등의 생성형 AI 및 SaaS 활용을 위해서는 규제 샌드박스 지정이 선행되어야 합니다. 따라서, 규제 샌드박스 지정을 위한 일반요건 뿐만 아니라 로드맵에서 언급하고 있는 부가조건도 충족할 수 있도록 미리 준비할 필요가 있습니다.

나아가, 로드맵에 따르면, 별도의 업무설명회를 통해 생성형 AI 및 SaaS 활용 관련 규제 샌드박스 지정방식 및 유의사항이 안내될 예정이고, 향후 강화된 보안대책 또는 연구·개발망 활용범위에 대한 구체적인 기준이 제시될 예정입니다. 또한 망분리 제도 개선을 위해서는 전자금융감독규정 및 시행세칙 등의 개정이 필요합니다. 따라서, 금융회사는 금융당국의 가이드라인 및 관련 규정의 개정 진행 경과를 유심히 지켜볼 필요가 있습니다.

  • 1) 기존 데이터를 분석하는 것을 넘어, 새로운 컨텐츠를 생성해 내는 AI 유형을 의미합니다.
  • 2) 금융부문의 장애 발생, 정보유출 등의 사고가 금융 부문으로 전이되는 리스크를 의미 합니다.