본문
금융당국은 전자금융감독규정 시행세칙을 개정하여, 금융회사 및 전자금융업자가 혁신금융서비스 지정 없이도 내부 업무망에서 SaaS를 활용할 수 있도록 망분리 규제 예외를 제도화하였습니다. 이에 따라 문서작성, 화상회의, 협업, 성과관리 등 다양한 클라우드 기반 업무지원 서비스의 도입이 보다 용이해질 전망입니다. 다만, 고유식별정보 또는 개인신용정보를 처리하는 경우에는 여전히 망분리 규제가 적용되며, 가명정보 활용 역시 종전과 같이 별도 혁신금융서비스 절차가 필요합니다. 금융회사는 침해사고대응기관 평가를 통과한 SaaS 이용, 단말기 보호대책, 접근통제 등 전자금융감독규정 시행세칙 별표7에 신설된 정보보호통제를 준수하여야 하며, 그 이행 여부를 반기 1회 자체평가하여 정보보호위원회에 보고하여야 합니다. 이번 개정으로 금융회사 컴플라이언스 부서의 자율적 통제역량 강화 및 클라우드 사업자의 평가 대응체계 정비가 본격화될 것으로 예상됩니다.
1. 개정 배경
2. 주요 내용
3. 시사점
1. 개정 배경
망분리 규제는 금융회사의 내부 시스템과 외부 인터넷망을 분리하여 사이버 침해를 방지하는 핵심 보안수단으로 기능해 왔습니다. 그러나 해킹 수법이 고도화되고, 생성형 AI, 협업 플랫폼, 글로벌 클라우드 인프라 등 외부 네트워크 기반 서비스 활용 수요가 급증하면서, 기존의 일률적 망분리 체계만으로는 금융회사의 업무 혁신과 디지털 전환을 충분히 지원하기 어렵다는 지적이 지속되어 왔습니다.
이에 금융당국은 종전과 같이 개별 SaaS(Software as a Service, 응용프로그램 등 소프트웨어를 사용하는 서비스) 도입 시마다 혁신금융서비스 지정을 받도록 하는 방식에서 벗어나 일정 요건 하에 내부 업무망 SaaS 이용을 일반 제도로 허용하였습니다. 이는, 금융회사가 자체 위험평가와 내부통제를 전제로 기술 도입 여부를 스스로 판단하도록 하는 ‘자율보안-결과책임’ 원칙에 따른 규제 개선으로 평가됩니다.
2026. 4. 20.부터 시행되는 개정 전자금융거래법령의 주요 사항은 ① 시행세칙 제2조의3 제1항에 SaaS 이용 목적의 망분리 예외사유를 신설하고, ② 동조 제4항에 망분리 대체 정보보호통제 이행에 대한 반기별 자체평가 및 정보보호위원회 보고 의무를 신설하였으며, ③ 별표7에 '내부업무망 SaaS' 항목을 신설하여 통제기준을 구체화한 것입니다.
이를 통해 금융회사 및 전자금융업자는 별도의 혁신금융서비스 심사 없이도 SaaS를 내부 업무망에서 활용할 수 있게 되었으며, 금융당국은 향후 생성형 AI 서비스에 대한 망분리 규제 예외 적용도 신속히 추진할 예정입니다.
2. 주요 내용
가. SaaS를 망분리 규제 예외사유로 명시 (시행세칙 제2조의3 제1항 제3호 신설)
금번 개정에 따라 「클라우드컴퓨팅 발전 및 이용자보호에 관한 법률 시행령」 제3조제2호에 따른 SaaS는 전자금융감독규정 제15조제1항제3호의 망분리 규제를 적용받지 않게 됩니다. 이에 따라 문서작성, 화상회의, 프로젝트 협업, 일정관리, 성과관리 등 다양한 업무지원 솔루션을 보다 신속하게 도입할 수 있습니다.
다만, 개인정보 유출 우려 등을 고려하여 금융회사가 이용자의 고유식별정보 또는 개인신용정보를 처리하는 경우에는 망분리 예외가 적용되지 않습니다. 또한 가명정보를 활용하는 경우에는 종전과 같이 별도의 혁신금융서비스 지정 절차를 거친 후에만 SaaS 이용이 가능합니다. 따라서 실제 SaaS 도입 시 입력·저장·전송되는 데이터가 규제대상 정보에 해당하는지 사전 검토가 필수적입니다.
나. 망분리 대체 정보보호통제 의무화 (시행세칙 별표7 '내부업무망 SaaS' 신설)
망분리 예외가 허용되는 대신, 이를 보완하기 위한 정보보호통제가 의무화됩니다. 금융회사 및 전자금융업자는 다음 사항을 준수하여야 합니다(시행세칙 별표7 ‘망분리 대체 정보보호통제’).
• 침해사고대응기관(금융보안원 등) 평가결과 '충족'을 획득한 SaaS 이용 및 관련 서류 최신 상태 유지
• 접속 단말기(PC·모바일 등) 보호대책 수립·적용
• 접속 단말기 및 사용자 등록·관리, 안전한 인증방식 적용(SaaS 관리자 계정 등 중요계정 다중 인증 적용 예: ID/PW + OTP), 최소 권한 부여
• 중요정보 입력·처리·유출 여부 모니터링 및 통제
• SaaS 내 데이터의 불필요한 공유·처리 방지
• 허용된 SaaS 외 외부 인터넷 접근통제
• 네트워크 구간 보호대책(암호화 등) 수립·적용
• 접속·이용 시 모니터링 및 로그 수집
• 제3자 앱·플러그인 등 허용된 기능 외 추가 기능에 대한 접속·이용 통제
• SaaS 정보보호 통제를 위한 상시 관리체계 확보
다. 이행 점검 및 보고 의무 (시행세칙 제2조의3 제4항 신설)
금융회사 및 전자금융업자는 상기 별표 7에서 정한 망분리 정보보호통제의 이행 여부를 반기에 1회 평가하고, 그 결과를 정보보호위원회에 보고하여야 합니다. 기존 망분리 예외와 달리 '사후 점검 및 보고' 의무가 별도로 명시되었다는 점에서 자율적·체계적 보안관리 체계 구축이 요구됩니다.
라. 실무상 유의사항
금번 제도화와 관련하여 실무상 다음 사항을 유의할 필요가 있습니다.
•CSP 안전성 평가(이용보고)는 별도로 필요: 시행세칙 제2조의3 제4항의 정보보호통제 의무는 망분리 규제 예외에 관한 것이며, 전자금융감독규정 제14조의2상 클라우드 이용보고 의무를 대체하지 않습니다. 다만 종전의 제공자 평가가 CSP 안전성 평가에 통합되면서 처리 효율성은 제고되었습니다.
•기존 혁신금융서비스 지정 건의 전환: 기존에 혁신금융서비스로 지정·부가조건을 모두 준수하여 업무개시를 보고한 건은 계속 이용 가능하며, 보안대책 이행 여부 보고는 개정 시행세칙에 따라 정보보호위원회 보고로 변경 적용됩니다.
•외부 서비스 연계 제한: 금번 제도화는 망분리 원칙 자체를 폐기한 것이 아니라 SaaS에 대한 예외를 인정한 것입니다. 따라서 내부업무망에 도입한 SaaS를 통해 외부 인터넷이나 다른 서비스로 확장하는 행위(웹 검색, 외부 SaaS 연동 등)는 여전히 엄격히 제한됩니다.
•SaaS 간 상호 연동: 내부업무망에 도입한 SaaS A와 B 간 연동(예: 보안 SaaS의 알람을 협업 SaaS로 전송)은 두 SaaS 모두 시행세칙 제2조의3을 준수하는 경우에 한하여 가능합니다.
3. 시사점
이번 개정으로 금융회사 및 전자금융업자는 더 이상 SaaS 도입을 위해 장기간 혁신금융서비스 심사를 기다릴 필요가 없게 되었습니다. 이는 협업도구, 생산성 도구, AI 기반 업무보조 솔루션의 도입 속도를 크게 높일 수 있다는 점에서 실무상 의미가 큽니다. 다만 금융당국은 사전 승인 대신 금융회사 스스로 통제하고, 스스로 점검하며, 그 결과를 책임지는 구조를 채택하였습니다. 향후 감독의 초점은 “도입 허용 여부”보다 “도입 후 통제의 실효성”에 맞춰질 가능성이 높습니다. 즉, 금융회사 및 전자금융업자는 내부통제 체계를 자율적으로 정비해야 하며, 이는 컴플라이언스 부서의 실질적 역할 강화로 이어질 것으로 보입니다. 구체적으로는 SaaS 도입 심사 프로세스 마련, 별표7 통제항목을 반영한 내부 보안 체크리스트 및 평가방법론 수립, 반기별 자체평가와 정보보호위원회 보고 체계 구축이 선행될 필요가 있습니다. 특히 개인신용정보·고유식별정보 처리 여부는 해석상 회색지대가 적지 않은 만큼, 업무 단위별 데이터 흐름 분석과 법률 검토를 병행할 필요가 있습니다.
클라우드 사업자 입장에서는 금융회사 고객 확보의 실질적 관문이 금융보안원 등 침해사고대응기관의 평가로 이동하였다는 점에 주목할 필요가 있습니다. 이에 따라 SaaS 사업자는 규정 별표 2의2상 ‘필수’ 평가항목에 대해 사전에 준비해야 하며, 다중인증, 접근통제, 로그 제공, 제3자 앱 통제 등 금융회사가 요구받는 통제를 서비스 자체에서 기술적으로 지원할 수 있는지가 클라우드 사업자의 핵심 경쟁력이 될 것으로 보입니다. 아울러 평가 결과와 제출 서류의 최신성 유지 지원, 금융회사의 자체평가에 필요한 자료 제공 등도 주요 계약 협상 이슈로 부각될 수 있어, 표준 계약조건과 서비스 정책에 대한 선제적 점검이 요구됩니다.
한편, 향후 금융당국은 SaaS에 이어 생성형 AI 서비스에 대한 망분리 규제 예외도 신속히 추진할 계획임을 밝힌 바 있습니다. 이번 개정에서 확인된 ‘자율적 보안통제 + 반기별 자체평가 + 정보보호위원회 보고’ 구조는 향후 생성형 AI 규제의 기본 틀이 될 가능성이 높습니다. 따라서 금융회사와 클라우드 사업자는 이번 SaaS 통제체계 구축 경험을 일회성 컴플라이언스 대응에 그치지 않고, 차기 AI 규제 대응 역량으로 확장·축적해 나가는 전략적 접근이 필요합니다.
화우 디지털금융센터는 금융회사, 플랫폼, 핀테크 기업 등에 대한 다양한 자문을 통해 축적한 경험과 노하우를 기반으로 고객을 위한 최적의 법률 자문 서비스를 제공하고 있습니다. 관련하여 궁금하신 사항이 있으실 경우 언제든지 문의하여 주시기 바랍니다.
- 관련 분야
- #디지털금융센터
