이른바 “망분리 규제”란 외부 침입으로부터 내부 전산자원을 보호하기 위해 내부망과 외부망을 분리하는 네트워크 보안기법의 일종으로, 금융분야의 경우 2013년 대규모 금융전산사고를 계기로 금융위원회 주도로 “금융분야 망분리 규제”가 전자금융감독규정상 제규정을 통해 도입되었고 특히 2014년부터는 전산시스템의 물리적 망분리가 채택되었습니다. 이때, 전산시스템의 물리적 망분리란 금융회사 및 전자금융업자가 내부망에 연결된 전산시스템·단말기를 외부망과 물리적으로 분리하여 접속을 제한하도록 하는 보안기법을 일컫습니다.
이와 같은 금융분야 망분리 규제는 해킹 등으로부터 금융시스템을 안전하게 보호하는데 기여하였으나 최초 도입 이후 10년이 지난 시점에서 변화된 IT 환경을 감안하여 관련 규제 수준에 대한 종합적인 재검토가 필요하게 되었습니다. 특히, 인공지능(AI), 클라우드(SaaS 등)와 같은 신기술 기반의 금융서비스가 개발됨에 따라 기존의 물리적 망분리 규제로는 효과적인 보호조치가 어려울 뿐만 아니라 각종 연구, 개발을 통한 금융혁신에 저해요소가 되고 있다는 지적이 이어져 왔습니다.
이에, 금융위원회는 유관기관 및 업계 전문가 등과의 논의 및 의견수렴을 장기간 거쳐 2024. 8. 13. “금융분야 망분리 개선 로드맵”을 발표하였는 바, 신속한 대응이 필요한 과제에 대하여는 샌드박스 등을 활용하여 즉시 규제 개선을 도모하고 전체적인 금융보안체계 개선은 단계적으로 추진한다는 것을 주된 내용으로 하고 있습니다. 이하에서는 각 단계별 추진내용과 그 시사점을 살펴보겠습니다.
2. “금융분야 망분리 개선 로드맵”의 단계별 추진내용
가. 1단계 추진 과제 – 규제샌드박스 활용 및 관련 규정 개정 추진
(1) 생성형 AI 활용 허용
생성형 AI의 경우 클라우드 기반의 인터넷 환경에서 제공되는 특성상, 물리적 망분리 규제가 적용되는 금융회사 등은 외부 통신 활용이 제한되어 생성형 AI를 활용한 기술도입에 어려움을 겪고 있는 상황입니다. 이에, 금융위원회는 규제샌드박스를 활용하여 “인터넷 활용 제한” 등에 대한 규제 특례를 허용할 예정이며, 특히 “가명처리된 개인신용정보”에 대한 처리가 허용될 예정이며 해외에 서버가 소재한 AI 모델을 통한 가명정보처리가 가능하도록 개인정보보호법, 전자금융감독규정 소관 부처와 협업하여 제도개선을 추진합니다. 이와 함께, 예상되는 리스크에 대한 보안대책을 조건으로 부과하고 금융감독원·금융보안원이 규제샌드박스 신청 기업별 보안 점검·컨설팅을 실시하는 등의 안전장치를 마련할 계획입니다. 관련하여, 자율보안체계 확립을 위한 자발적 노력 유도 차원에서 정보보호최고책임자(CISO) 선임 및 이사회 보고 등 보안 거버넌스가 갖추어진 기업에 대해서 샌드박스 심사시 가점을 부여된다는 점을 참고할 필요가 있겠습니다.
(2) 클라우드 기반 응용프로그램(SaaS) 활용도 제고
기존에는 문서관리, 인사관리 등 비중요 업무에 대해서만 SaaS 이용이 허용되고, 고객 개인신용정보를 처리할 수 없는 등 엄격한 샌드박스 부가조건이 부과되어 활용이 제한되었습니다. 이에, 규제샌드박스의 범위를 보안관리, 고객관리(CRM) 등의 업무까지 허용범위를 확대하고, 가명정보 처리 및 모바일 단말기에서의 SaaS 이용까지 허용하는 등 SaaS 활용도를 제고할 예정입니다. 마찬가지로, 규제 특례 확대에 따른 보안 우려에 대응하기 위해 보안대책을 구체적으로 마련하여 이와 관련한 계획수립 등을 샌드박스 지정 조건으로 부과할 계획입니다. 또한, 현행 전자금융감독규정 제14조의2에 대한 개정안이 2024. 2. 1. 입법예고되어 있는 바, 이를 통해 클라우드 이용절차와 관련한 업무연속성 계획 및 안전성 확보조치 방안의 필수사항을 간소화할 예정입니다.
(3) 연구개발(R&D) 분야 망분리 규제개선
「전자금융감독규정」을 개정하여 금융회사 등이 연구·개발 결과물을 보다 간편하게 이관할 수 있도록 물리적 제한을 완화하고, 가명정보 활용을 허용하는 등 혁신적인 금융상품을 개발할 수 있는 환경을 제공할 예정입니다. 구체적으로, 연구·개발망과 업무망간의 논리적 망분리를 허용하고 소스코드 등 연구·개발 결과물의 망간 이동편의를 확대할 예정입니다. 이를 위하여 전자금융감독규정 및 동 규정 시행세칙이 개정될 예정이며, 추후 “연구·개발망 활용범위 등 상세지침”이 가이드라인의 형식으로 안내될 예정입니다.
나. 2단계 추진과제 – 기존 규제특례의 정규 제도화 등
(1) 기존 규제특례의 정규 제도화 및 고도화 추진
1단계 추진과제 중 특히 생성형 AI, 업무망에서의 SaaS 활용 등에 대한 샌드박스 사례누적 및 성과검증을 통하여 이를 반영한 전자금융감독규정 개정 등 정규 제도화를 점진적으로 추진할 예정입니다. 또한, 1단계 추진과제에서 허용한 가명정보가 아닌 실제 개인신용정보를 직접 클라우드 등으로 처리할 수 있도록 규제특례를 고도화할 예정인 바, 이와 관련하여 해당 정보처리시스템을 국내에 설치하도록 하는 전자금융감독규정 제14조의2 제8항에 대한 정비를 함께 검토합니다.
(2) 제3자 리스크 관리 강화 등 정보처리 위탁제도 정비
최근 클라우드, 데이터센터 등 정보처리 업무 위탁이 증가하고 있음에도 불구하고 실효성 있는 제3자 리스크 관리 규율이 부재한 상황이므로 망분리 규제 개선에 따른 SaaS, 생성형 AI등 활용 확대에 대응하여 제3자 리스크 관리 강화 등을 위한 제도정비(전자금융거래법 또는 정보처리위탁규정 개정)를 추진할 예정입니다.
다. 3단계 추진과제 – 가칭 디지털금융보안법 제정 추진
위와 같이 점진적으로 추진한 제도개선, 특히 규제샌드박스로 누적된 샌드박스 사례를 통해 혁신성, 소비자 편익, 리스크 관리 등이 충분히 검증된 과제는 정규 제도화하고, 중·장기적으로는 별도의 금융보안법 (가칭 “디지털금융보안법”)을 마련하여 “자율보안-결과책임” 원칙에 입각한 새로운 금융보안체계를 구축해 나갈 계획입니다. 특히, 디지털금융보안법은 열거식 행위 규칙(Rule) 중심의 금융보안 규제를 목표·원칙(Principle) 중심으로 전환하고, 금융회사 등은 자체 리스크 평가를 바탕으로 세부 보안 통제를 자율적으로 구성할 수 있도록 할 예정입니다. 다만, 금융회사 등에 부여된 자율에 따른 책임은 강화할 필요가 있는 바, 중요 보안사항의 CEO·이사회 보고의무 등 금융회사 등의 내부 보안 거버넌스를 강화하고, 전산사고 발생시 배상책임 확대 및 실효성 있는 과징금 도입 등 법적 근거 마련을 통하여 금융회사 등의 보안 노력 제고를 유도할 계획입니다. 금융감독은 금융회사 등의 자율보안체계의 수립 및 이행여부를 검증하여 보안수준 제고를 위한 시정요구, 이행명령을 부과하고 불이행시 영업정지 등의 조치를 할 수 있도록 법제화할 예정입니다.
3. 시사점
기존 물리적 분리조치를 중심으로 한 금융분야 망분리 규제가 금번 발표로 인하여 “패러다임의 전환”이 이루어질 것으로 기대됩니다. 특히, 금융분야에 논리적 망분리, 네트워크 세분화의 개념이 도입되고 AI 및 클라우드(SaaS) 기술이 적극적으로 활용됨으로써 업무 자동화, 업무 생산성 증대, 빅데이터 분석 등 금융데이터의 활용도 증가가 예상됩니다. 또한, 신용평가모델이 고도화되어 금융사각지대 해소에도 기여할 수 있으며 생성형 AI를 활용한 이상금융거래탐지시스템을 통해 보다 두텁게 금융소비자를 보호할 수 있을 것으로 기대됩니다.
물론, 이와 같은 규제개선은 “자율보안-결과책임” 원칙에 입각한 것으로서 금융회사 등은 전사적 수준의 보안체계를 수립하여 이를 이행하여야 하고 종합적인 리스크 관리 및 평가업무를 수행하고 강화된 내부통제 정책을 도입하여야 할 것입니다. 또한, 규제 샌드박스 신청을 위하여 현재 보안시스템 및 수준 등에 대한 정확한 진단을 하고 관련 규정에 대한 면밀한 검토를 하여야 만족스러운 개선을 도모할 수 있을 것으로 사료됩니다.
민기호 변호사는 법무법인(유한) 대륙아주의 대표변호사로서, 주요 업무분야는 공정거래, 금융 및 구조조정, 조세쟁송, 형사, 지적재산, 블록체인 등입니다.