1.  망분리 개선 로드맵 도입 배경

금융당국이 금융권 망분리 규제를 단계적으로 완화할 계획을 발표하였으며, 이르면 올해 말부터 국내 금융사도 생성형 AI를 업무에 활용할 수 있게 될 예정입니다.

금융권 망분리 규제는, 2013년 이른바 ‘3. 20. 사이버테러’ 사건으로 인하여 국내 일부 은행의 전산 서비스가 중단된 것을 계기로 이후 금융당국이 수립한 ‘금융전산 보안강화 종합대책’의 일환으로 도입되었습니다. 이러한 망분리 규제는 그 동안 해킹 등의 위협에서 금융시스템을 안전하게 보호하는 역할을 해왔으나, 다른 측면에서는 금융경쟁력 저하 및 금융권 보안 발전 저해 요인으로 지적되어 왔고 특히 최근에는 생성형 AI 도입에 걸림돌이 되고 있다는 지적도 있었습니다. 이에 금융위원회는 2024. 8. 13. 기존 망분리 규제를 개선하고 금융 보안에 관한 패러다임을 전환하기 위해 관련 법과 제도를 전면 개편하는 내용의 「금융분야 망분리 개선 로드맵」을 발표하였습니다. 

위 로드맵에서는 망분리 규제의 단계적 개선 방안(1~3단계) 및 금융보안체계의 선진화 방향을 제시하고 있는데, 혁신금융서비스(샌드박스) 제도를 통하여 규제애로를 신속히 해소하면서 별도의 보안대책을 수립하고, 샌드박스 운영 경험을 토대로 금융보안체계를 선진화하겠다는 것이 골자입니다. 저희 법무법인(유) 세종에서는 로드맵의 주요 내용을 살펴보고 그 시사점에 대해 설명드리고자 합니다.

2. 주요 개선 내용

(1단계 추진과제) 

• (생성형 AI 활용 허용) 금융회사가 생성형 AI를 활용하여 가명처리된 개인신용정보를 처리할 수 있도록 허용합니다. 구체적으로 ① 금융회사 정보처리시스템(내부)과 AI 모델(외부) 간 연결을 위한 망분리 특례를 인정하고, ② 해외소재 AI를 통한 가명정보 처리를 위해 개인정보 보호법 등 관련 법령에 대한 특례인정에 관한 관계부처 협업을 추진합니다. 이와 함께, 예상되는 리스크 방지를 위해 망분리 예외에 따른 강화된 보안대책, 금융회사-해외 AI사업자 간 계약시 반영할 필요·최소한의 내용(우리나라 금융당국의 검사 등에 대한 협조 의무 등)을 부가조건으로 부과하고, 금융감독원·금융보안원이 신청 기업별 보안 점검 및 컨설팅을 실시하는 등의 안전장치를 마련할 계획입니다. 자율보안체계 확립을 위한 자발적 노력 유도 차원에서 정보보호최고책임자(CISO) 선임 및 이사회 보고 등 보안 거버넌스가 갖추어진 기업에 대해서 샌드박스 심사 시 가점을 부여할 예정입니다.
• (클라우드 이용범위 확대 및 절차 간소화) 기존에 문서관리, 인사관리 등 비중요 업무에 대해서만 SaaS(Software as a Service) 이용이 허용되고 고객 개인신용정보는 처리할 수 없었던 것과 달리, 규제샌드박스를 통해 보안관리, 고객관리(CRM), 가명정보 처리 및 모바일 단말기에서의 SaaS 이용까지 허용하는 등 업무망에서의 SaaS의 활용도를 제고할 예정입니다. 또한, 활용범위 확대에 따른 보안 우려에 대응하기 위하여 모바일 단말의 장치 추적성 확보, 데이터 저장 및 반출 제한 등 강화된 보안대책을 마련하여 샌드박스 지정 조건으로 부과할 예정입니다. 한편, SaaS 이용을 위해 갖추어야 하는 업무연속성 계획 및 안전성 확보조치 필수사항을 간소화하고 고객 개인신용정보를 처리하지 않는 SaaS의 경우 “위수탁계약 주요 기재사항”을 차등화하는 등 SaaS 이용 절차는 간소화됩니다. 
• (연구·개발 분야 망분리 개선) 「전자금융감독규정」 개정을 통해 금융회사 등이 연구∙개발 결과물을 보다 간편하게 이관할 수 있도록 연구·개발망과 업무망 간 논리적 망분리를 허용하고 소스코드 등 연구∙개발 결과물의 망 간 이동 편의를 확대하며, 가명처리된 개인신용정보 활용을 허용함으로써 고객 행동 특성 등 데이터 분석 기반의 혁신적인 금융상품 개발 환경을 제공할 예정입니다.

(2단계 추진과제) 

• (기존 규제 특례의 정규 제도화) 생성형 AI 및 임직원 업무망에서의 SaaS 관련 규제특례의 경우 효용성 평가와 보안 검증을 거쳐 상시 제도화를 추진합니다.
• (개인신용정보 처리 허용 등 규제 특례 고도화) 가명정보가 아닌 개인신용정보 처리까지 직접 처리할 수 있도록 규제 특례를 고도화하고, 개인신용정보를 클라우드로 처리할 경우 해당 정보처리시스템을 국내에 설치하도록 하는 「전자금융감독규정」의 내용도 정비할 예정입니다.
• (제3자 리스크 관리 강화 등 정보처리 위탁제도 정비) 「전자금융거래법」 또는 「정보처리 위탁규정」 개정을 통해 망분리 규제 개선에 따른 SaaS, 생성형 AI 등 활용 확대에 대응하여 제3자 리스크 관리 강화 등을 위한 제도를 정비할 계획입니다.

(3단계 추진과제) 

• (자율보안-결과책임 원칙에 입각한 금융보안체계 구축) 그동안 누적된 샌드박스 사례를 통해 혁신성, 소비자 편익, 리스크 관리 등이 충분히 검증된 과제는 정규 제도화하고, 중·장기적으로는 별도의 금융보안법(가칭 “디지털 금융보안법”)을 마련하여 자율보안-결과책임 원칙에 입각한 新 금융보안체계를 구축할 예정입니다. 구체적으로, ① 열거식 행위 규칙(Rule) 중심의 금융보안 규제를 목표·원칙(Principle) 중심으로 전환하고 금융회사는 자체 리스크 평가를 바탕으로 세부 보안 통제를 자율적으로 구성하도록 하며, ② 전산사고 등에 대한 배상책임 강화, 실효성 있는 과징금 도입 등 금융회사의 책임 강화를 위한 법적 근거를 마련하고, ③ 금융당국이 금융회사의 자율보안체계 수립·이행을 검증하여 미흡한 경우 시정요구ㆍ이행명령을 부과하고 불이행시 엄중 제재하는 등 금융권 보안 수준 강화를 위해 노력할 예정입니다. 

<단계별 세분 추진과제>

3. 시사점

망분리 규제에 대해서 지속적인 제도개선이 이뤄져 왔었으나, 금번 로드맵 발표로 인하여 비로소 패러다임의 전환이 이뤄질 것으로 기대됩니다. 금융회사는 AI 및 SaaS 기반 업무 자동화, ERP 도입을 통한 업무 생산성 향상, 빅데이터 분석 등 금융 데이터 활용, 연구∙개발망의 활용도 제고 및 IT 개발 활성화, 우수 IT 인력 유치 효과 등에 있어서 가시적인 변화를 기대할 수 있을 것이며, 장기적으로는 이러한 변화가 금융소비자의 후생에도 보탬이 될 것으로 기대됩니다 

금융당국은 1단계 추진과제에 따라 9월 중 규제샌드박스 신청을 받고, 연내에 신규 과제에 대한 규제샌드박스를 지정할 예정입니다.

* * *
저희 법무법인(유) 세종은 금융당국 및 금융회사 출신의 전문가를 포함하여 금융전산 및 보안 분야에 풍부한 경험과 지식을 갖춘 전문가들을 보유하고 있으며, 신청 금융사별 AI 사용목적, 처리 데이터 범위, 보안수준 등을 종합적으로 고려하여, 다양한 AI 요구를 차질없이 구현할 수 있도록 지원해드립니다. 특히, SaaS 활용 시 이용업무, 보안수준, 자체 리스크 평가 등을 종합적으로 고려하여, 책무구조도 상의 데이터, AI 거버넌스 등에 관한 강화된 내부통제 정책에 부합될 수 있도록 자문해 드리고, 샌드박스 심시 사 가점 항목으로 제시된 ‘보안 거버넌스 구축’에 대해서도 컨설팅을 해드립니다. 또한 향후 데이터 등급제, 디지털 금융보안법 등 다양한 정책 변화에 유연하게 대처하여 보안수준을 유지하면서 업무효율성을 향상시킬 수 있도록 지원해 드릴 것입니다.