- 금융분야에서 클라우드를 통해 데이터를 보다 폭넓게 이용할 수 있게 됩니다.
|
■ 데이터 혁명의 핵심기반인 클라우드를 통해 핀테크 혁신성장을 촉진하고자 클라우드 이용범위를 확대하는 전자금융감독규정 개정’을 추진 ① 클라우드 활용 정보의 범위를 확대(비중요정보限 → 개인신용정보 등) ② 금융권 클라우드 서비스 이용·제공 기준을 마련하여 안전성 관리를 강화 ③ 금융권 클라우드 이용현황 모니터링 강화, 적절한 감독·검사 체계 마련 |
|
Ⅰ |
|
추진 배경 |
□ ‘데이터’는 4차산업혁명의 원유로써 혁신성장의 핵심 동인으로 평가되는 가운데, 주요 선진국은 데이터 산업 활성화 정책을 추진중
* 세계 데이터 시장규모(IDC, ’17): (’17) 1,508억 달러 → (’20) 2,100억 달러
ㅇ 지난 8.31일, 정부도「데이터 경제 활성화 규제혁신」 방안을 마련하고 데이터 산업육성을 추진
* 데이터 저장·활용 인프라인 클라우드 활성화를 위해 중앙부처·지자체 우선 도입을 확대하고 범부처 협업을 통해 전 분야에 클라우드를 접목, 혁신사례를 창출할 계획
ㅇ 특히, 금융분야는 대량의 데이터가 집적되어 있어 데이터를 통한 혁신과 경제적 가치 창출이 큰 분야로 데이터 활용이 중요
* 전세계적으로 금융권에 축적된 데이터는 전체 데이터 규모의 약 50%(‘14, Aite)
□ 데이터 혁신 경제에서 클라우드는 데이터를 활용할 수 있는 핵심 플랫폼으로 비용절감, 안전성 강화, 혁신 서비스 창출 등의 강점을 가짐
ㅇ전세계적으로 금융분야에서 클라우드 도입은 지속 확대* 추세
* 글로벌 금융권 클라우드 이용액(IDC) : (`16년)25억$ → (‘17년)32억$ → (’21년, 예상)72억$
**OECD 회원국 중 우리나라 기업의 클라우드 이용률은 12.9%로 평균(24%)을 하회하고, 33개 국가 중 27위 수준(‘16년 기준, 국회 입법조사처)
※ 클라우드는 서버·스토리지, 운영체제·DB, S/W 등 IT자원을 필요한 만큼 빌려쓸 수 있어 낮은 비용으로 대량의 데이터를 유연하게 처리
|
□ 해외 금융회사들은 데이터를 처리하는 핵심 인프라인 클라우드를 기반으로 생산성을 높이며 금융혁신을 가속화
ㅇ 이에 비해, 국내 금융권은 클라우드를 통한 데이터 자원의 이용범위가 제한*되어 클라우드 활용이 내부 업무처리 등에 한정
* 개인신용정보·고유식별정보는 클라우드에서 이용이 불가능하여 국내 금융회사는 내부업무처리(43.8%), 부가서비스(27.4%), 회사·상품 소개(15.1%) 등에 활용중
<클라우드 환경으로의 변화>
|
Ⅱ |
|
제도개선 방향 |
|
◇ 지난 2년간 클라우드 활용 경험을 토대로 금융권 클라우드 이용범위를 확대하되, 자체 보안 및 감독방안을 보완 |
[1] 금융분야 클라우드 이용 확대
ㅇ 금융회사, 핀테크기업이 혁신적 상품과 서비스 개발이 가능토록 이용범위를 확대
|
금융회사 |
AI·빅데이터 등 신기술 적용(대용량·고성능 IT인프라 필요)을 위한 플랫폼으로 클라우드를 활용 → 새로운 금융상품을 보다 쉽게 개발
|
|
|
핀테크 기업 |
전산시설 구축비용을 감당하기 어려운 핀테크기업도 클라우드 활용시 비용이 절감 → 진입장벽을 낮추고 쉬운 창업, 혁신서비스 촉진
|
[2] 금융회사 등의 자율보안 강화
ㅇ 금융 클라우드 서비스 안전성을 확보하기 위해 클라우드 이용(금융회사), 제공(제공자)시 기준을 마련하고
운영방안을 수립
* 미국, 유럽 등 주요 선진국은 금융회사가 클라우드 관련 위험을 사전 식별·관리하는 내부통제절차를 수행하고, 일정 수준의 보안 및 관리·감독 요구사항을 준수토록 권고
[3] 클라우드에 대한 감독방안 보완
ㅇ 해외사례를 참고하여 금융회사·클라우드서비스 제공자간 책임 명확화, 감독당국의 모니터링·감독 방안도 마련
<해외 금융당국 클라우드 관련 제도>
|
EU |
■중요업무 위탁시 클라우드 제공자, 저장위치 등을 관할 당국에 통보 ■금융회사, 감독당국의 접근권 및 현장감사권 부여 등 계약 명시 |
|
영국 |
■중요업무 위탁시 문서화된 근거 필요, 중요 위탁계약 체결시 당국 통보 ■클라우드 제공자에 대한 금융회사, 감독당국의 감사 및 접근 권한 확보 |
|
미국 |
■소비자 데이터가 국외 저장·처리될 경우 해당 국가 관련 규정 확인 ■프라이버시 법규 관련 책임, 사고 보고의무 등 법적 의무사항 계약 명시 |
|
싱가포르 |
■클라우드 제공자 실사 및 위험관리 수행 ■금융회사의 클라우드 제공자 관리·감독 책임 |
|
Ⅲ |
|
개정안 주요내용 |
1. 금융권 클라우드 이용범위 확대(안 §14조의2 제1항·제8항)
□ (현행) 금융회사·전자금융업자는 중요정보(개인신용정보·고유식별정보)를 포함하지 않은 非중요정보만 클라우드에서 이용 가능
□ (개정) 개인신용정보·고유식별정보도 클라우드에서 이용 가능
2. 금융권 클라우드서비스 안전성 기준 제시(안 §14조의2 제1항, 별표2의2)
□ (현행) 금융회사 등이 비중요정보만을 이용하도록 하여 별도의 클라우드 서비스의 안전성 기준이 없음
□ (개정) 금융분야 특수성을 반영한 안전성 확보조치 등 금융권 클라우드 이용·제공 기준을 제시
|
기본 보호조치 |
위험평가·관리, 침해사고 예방·대응, 암호화/데이터 보호 조치 등 |
|
금융부문 추가 보호조치 |
전산시스템 가동기록 보존(1년↑) 등 안전성 확보·이용자 보호, 개인(신용)정보법 등 금융관련 법령 준수 사항 |
3. 클라우드에 대한 내부통제 강화(안 §14조의2 제1항·제2항 등)
□ (현행) 개인신용정보·고유식별정보를 포함하지 않은 비중요 정보시스템을 안전성 평가없이 정보보호위원회 심의를 거쳐 지정·운영
□ (개정) 금융회사 등이 정보의 중요도를 자체 기준에 따라 분류하고 클라우드 이용시 서비스 제공자의 건전성·안전성을 평가*
* 클라우드서비스 이용·제공 가이드를 바탕으로 금융회사는 정보자산 중요도를 평가하고, 클라우드서비스 건전성·안전성을 자율평가
ㅇ또한, 금융보안원이 금융회사 등의 클라우드 안전성 평가를 지원할 수 있는 근거를 마련(안 §60조 제5항)
4. 클라우드 이용 관련 보고의무 등 감독 강화(안 §14조의2 제3항~제6항)
□ (현행) 클라우드 이용 관련 보고 등 명시적 감독·조사권 미비
□ (개정) 정보의 중요도에 따라 클라우드 이용 현황을 감독당국에 보고하고, 클라우드 제공자의 법적 책임 등을 계약서에 명확화
① 중요정보 클라우드 이용시 금융회사가 안전성 확보조치, 계약 내용 등을 감독당국에 보고(중요하지 않은 정보도 감독당국 요청시 제공)
② 클라우드 계약서에 금융회사·감독당국의 조사·접근권(현장방문 포함), 클라우드 제공자·금융회사의 법적책임을 명시
5. 국내 소재 클라우드 운영(안 §14조의2 제8항)
□ 전산사고 발생시 법적 분쟁, 소비자 보호, 감독 관할 등을 고려해 개인신용정보 처리는 국내 소재 클라우드에 한해 우선 허용
ㅇ 해외 소재 클라우드 허용 여부는 운영성과를 토대로 중장기 검토
6. 기타 개정사항
□ 물적시설 요건 : 허가·등록의 물적요건 정비(‘보유’→‘갖출 것’)
□ 외부인력 신원조회 : '신원조회'를 '신원보증보험 증권 제출'로 갈음
|
Ⅳ |
|
향후 일정 |
□ 전자금융감독규정 개정안 규정변경 예고(9.20일~10월말)
□ 법제처, 규개위 심사(~11월)
□「금융권 클라우드 서비스 가이드라인」개정(~12월)
□ 금융위 의결(12월), 전자금융감독규정 개정안 시행(‘19.1.1 시행 목표)
