1. 규제 개선의 배경

금융산업 전반에서 생성형 AI, 데이터 분석, 협업 자동화 등 디지털 전환이 가속화됨에 따라, 클라우드 기반 SaaS(Software as a Service)는 더 이상 선택이 아닌 필수 인프라로 자리잡고 있습니다. 특히 문서작성, 화상회의, 가상 업무공간, 인사·성과관리 등 비대면·분산형 업무 환경에서는 SaaS 활용 여부가 업무 효율성과 직결되며, 최근 대부분의 상용 S/W, AI 서비스 도구 등이 SaaS로 제공되고 있습니다.

그러나 외부 클라우드 서버와 내부 업무용 서버간 데이터 교환이 전제되는 서비스 구조상, SaaS는 금융권에 적용되어 온 물리적 망분리 규제와 상충되는 측면이 있었으며, 이로 인해 그간 금융회사들은 혁신금융서비스(규제 샌드박스) 지정을 통해서만 제한적으로 SaaS를 활용해 왔습니다. 이에 금융당국은 이러한 한계를 해소하기 위해 2024년 8월 「금융분야 망분리 규제 개선 로드맵」을 발표하고, 샌드박스 운영 성과가 충분히 축적된 과제부터 단계적으로 제도화하겠다는 방향을 제시한 바 있습니다.

위 로드맵의 후속조치로서 금융당국은 2026. 1. 20. 금융회사가 내부 업무망에서 SaaS를 이용하는 경우 일정한 보안 규율을 준수한다는 전제 하에 이를 망분리 규제의 예외로 명시하는 내용의「전자금융감독규정 시행세칙」 개정안(이하 “본 개정안”) 사전예고를 실시한다고 밝혔습니다.

 

2. 본 개정안의 주요 내용

(1) SaaS를 망분리 규제의 명시적 예외 사유로 규정

본 개정안에서는 「클라우드컴퓨팅 발전 및 이용자보호에 관한 법률 시행령」 제3조제2호에 따른 “응용프로그램 등 소프트웨어를 사용하는 서비스(SaaS)”가 전자금융거래법 제21조 및 전자금융감독규정 제15조에 따른 망분리 규제를 적용받지 않도록 명시하였습니다. 이에 따라 금융회사는 원칙적으로 별도의 혁신금융서비스(규제 샌드박스) 지정을 거치지 않더라도, 일정 요건을 충족하는 SaaS를 내부 업무에 활용할 수 있는 제도적 기반을 확보하게 됩니다.

다만, 이용자의 고유식별정보 또는 개인신용정보를 처리하는 SaaS의 경우에는 개인정보 유출 위험 등을 고려하여 이번 망분리 예외 적용 대상에서 제외되었으며, 이러한 서비스에 대해서는 종전과 같이 엄격한 규제가 유지됩니다.

(2) 망분리 완화에 대응한 정보보호 통제체계의 구체화

본 개정안은 망분리 규제 완화가 금융권 전반의 보안 수준 저하로 이어지지 않도록, 전자금융감독규정 시행세칙 별표 7 ‘망분리 대체 정보보호통제’(이하 “별표 7”)를 통해 엄격한 정보보호통제장치 마련을 의무화하고 있습니다. 그 구체적인 내용은 다음과 같습니다.

  • 침해사고대응기관(금융보안원)의 평가결과 ‘충족’을 획득한 SaaS 이용 및 관련 서류의 최신성 유지
  • 접속 단말기(모바일 단말 포함)에 대한 보호대책 수립·적용
  • 접속 단말기 및 사용자 등록·관리, 안전한 인증 방식 적용, 최소 권한 부여 등 접근 제어 및 권한 관리
  • 중요정보 입력·처리·유출 여부에 대한 모니터링 및 통제
  •  SaaS 내 데이터의 불필요한 공유·처리 방지
  • 허용된 SaaS를 제외한 외부 인터넷 접근통제
  • SaaS 이용을 위한 네트워크 구간에 대한 보호대책(암호화 등) 수립·적용
  • 접속·이용 행위에 대한 모니터링 및 로그 수집
  • 허용된 기능 외 추가 기능(제3자 앱, 플러그인 등)에 대한 접속·이용 통제
  • SaaS 정보보호 통제를 위한 상시 관리·체계 확보

아울러 금융회사는 위와 같은 정보보호통제 이행 여부를 반기에 1회 자체 평가하고, 그 결과를 정보보호위원회(위원장: CISO)에 보고하여야 합니다.

 

3. 시사점

(1) 금융회사의 SaaS·클라우드 활용 여건의 실질적 개선

본 개정안이 시행될 경우 금융회사는 반복적인 규제 샌드박스 신청 부담 없이 다양한 SaaS를 내부 업무에 활용할 수 있게 되어, 사무처리·협업·조직관리 등 업무 전반의 효율성이 제고될 것으로 기대됩니다. 특히 글로벌 그룹사 또는 해외 지사와의 표준화된 협업 환경 구축, IT 자원 운영 비용 절감 측면에서도 긍정적인 효과가 예상됩니다.

(2) ‘형식적 망분리’에서 ‘실질적 보안통제’ 중심으로의 전환

이번 제도 개선은 단순한 규제 완화라기보다는 금융회사로 하여금 자체 위험성 평가를 바탕으로 보안 통제를 설계·운영하고 그 결과에 책임을 지도록 하는 방향으로 규제 패러다임이 전환되고 있음을 시사합니다. 기존에는 혁신금융서비스 부가조건으로 금융회사등으로 하여금 서비스 개시 전 SaaS 이용 관련 보안대책을 수립∙이행(4개 분야 21개 항목에 대해 금융보안원이 이용자 평가 실시)하도록 하였는데, 전자금융감독규정 시행세칙 [별표7] 망분리 대체 정보보호통제 항목에 내부업무망 SaaS 이용과 관련한 통제사항을 추가 신설하고, 금융회사등이 이를 자체 적용∙이행하도록 하였습니다. 신설된 내부 업무망 SaaS 정보보호통제는 기존 혁신금융서비스 부가조건의 보안대책 관련 사항을 중요 통제항목 위주로 함축하여 기술한 것으로 이해되는데, 보안수준에는 실질적인 변화가 없는 것으로 볼 수 있습니다. 향후 감독당국은 물리적 망분리 유지 여부보다는, 별표 7에 따른 정보보호 통제의 실질적 이행 여부, 내부 보안 거버넌스(CISO·정보보호위원회)의 작동 실효성, SaaS 이용에 따른 리스크 관리 체계 등을 중심으로 점검할 가능성이 높습니다. 참고로 감독당국은 전자금융감독규정 시행세칙 개정안 [별표7]에 신설된 정보보호통제항목 등과 관련하여 보안위협에 대응하기 위한 상세 대응요령을 담은 보안해설서를 마련하여 배포할 예정입니다.

(3) 금융회사 내부 준비 및 자문 수요의 확대

금융회사로서는 SaaS 도입에 앞서, 해당 서비스가 망분리 예외 요건에 해당하는지 여부, 별표 7의 통제 기준을 충족하기 위한 내부 규정·절차 정비, 정보보호위원회 보고 및 사후 점검 체계 구축 등을 종합적으로 검토할 필요가 있습니다. 이 과정에서 전자금융·금융보안 규제, 개인정보·신용정보 규율, 감독·검사 대응을 포괄하는 종합적이고 체계적인 법률 검토의 중요성도 더욱 커질 것으로 보입니다.


법무법인(유) 세종 디지털금융팀은 금융분야 망분리 규제 개선 논의의 초기 로드맵 수립 단계부터 규제 샌드박스 신청, 제도화 과정에서의 입법·행정 대응, 제도 시행 이후의 사후 감독 및 검사 대응에 이르기까지 전 주기에 걸친 자문 경험을 축적해 왔습니다. 이러한 경험을 바탕으로 금융회사의 클라우드·AI 활용과 관련하여 규제 적용 여부 판단, 내부통제 및 거버넌스 설계, 단계별 이행 전략 수립, 감독당국 대응에 이르기까지 실무 중심의 종합적인 자문을 제공하고 있습니다.  개정안의 적용 대상 해당 여부나 구체적인 실무 대응 방안에 대한 추가 검토가 필요한 경우 언제든지 문의하여 주시기 바랍니다.