인도네시아 금융감독청(OJK)의 PIKK의무화 및 정보시스템 구축시 고려사항

프로젝트 인사이트 / 글쓴이
인도네시아 금융감독청(OJK)의 PIKK의무화 및 정보시스템 구축시 고려사항

1. 인도네시아 금융감독청(OJK)은 어떤 기관인가?

인도네시아 금융감독청(OJK)는 금융감독기관으로서, 우리나라로 보면, 정책 및 규제제정 역할의 금융위원회와 집행기능의 금융감독원의 역할을 모두 수행하며 전 금융산업을 통합 감독하는 강력한 권한을 가진 기관이다.

2. POJK 30/2024 핵심내용은 무엇인가?

OJK는 2024년 12월 일정 규모를 충족하는 복수 금융업종의 경우 PIKK(금융복합기업 지주회사) 우리나라로 치면 금융지주회사 설립을 의무화하여 PIKK단위로 감독을 하겠다는 “금융복합기업 및 금융지주회사에 관한 규정”을 제정하였다. 

인도네시아 진출시 PIKK 대상이되는지 지주회사 구조를 만들어야 하는지 사전 체크하는 것이 중요하다.

3. 정보시스템 구축에 고려되어야 하는 법규정은 무엇인가?

PIKK 대상이 되는 경우, 인도네시아 지주사에서 정보시스템 구축시 고려해야 하는 것은, 단순 IT시스템을 구축하는 것이 아니라,  PIKK, 개인정보 처리 규제, 금융데이터 규제를 동시에 고려해야 하기 때문에 아래와 같은 법규제 체계를 계층적으로 이해해야 한다.

  • OJK(Otoritas Jasa Keuangan)의 금융감독 규제
  • Personal Data Protection Law (개인정보보호법)
  • 정보통신부 Kominfo의 전자시스템 및 데이터 규제
  • 국가사이버암호청(BSSN)의 사이버보안 및 국가 보안관련 규정

4. 정보시스템 구축 시 고려해야 하는 사항은 무엇인가?

A. 금융감독 규제 관련
  • POJK 20/2024 (PIKK 규정)의 통합리스크 관리, 통합 내부통제, 그룹 데이터 관리 등
  • POJK 38/2016 (IT Risk Management)의 IT리스크 관리, 정보보호, 시스템 안전성 확보 의무화 등 
  • POJK 11/2022 (Digital Banking / IT Governance)의 금융 데이터 처리 시스템에 대한 보안성, 신뢰성, 감사추적성 확보,Incident Response 등
B. 개인정보보호법
  • 유럽 GDPR 수준인 Personal Data Protection Law(2022)의 개인정보 수집 동의, 민감정보 보호, Data Subject 권리 보장, Data Breach 통지 의무, Data Protection Officer(DPO)지정 등
C. 정보통신부의 전자시스템 규제(IT 규제)
  • 전자시스템 및 거래규정에 대한 Government Regulation 71/2019(GR71)의 전자시스템 등록 의무(PSE등록), 데이터 저장 위치 요구사항, 시스템 신뢰성 확보 등
  • ICT에서 개인정보보호를 규정하는 Minister Regulation 20/2016의 개인정보 처리 기술적 보호조치 요구, 암호화, 접근통제, 로깅 등
D. 국가사이버암호청(BSSN)의 사이버보안 규제
  • 금융기관 시스템은 국가 주요정보인프라로 간주되므로 보안 아키텍처 및 네트워크 분리, 접근통제 및 계정보안, 암호화 및 키관리, 로그 및 보안 모니터링, 취약점 관리 및 보안 테스트, 사고대응, 데이터 보호 및 유출방지 등의 요구사항을 충족

5. POJK 38/2016의 주요 내용

 POJK 38/2016는 5개 축(IT Goverance, IT Risk Management, IT Control, IT Operations, Business Continuity)로 구성되어 있으며 정보보안과 직접적으로 관련있는 IT Control과 IT Development & Acquisition의 주요 내용은 아래와 같다.

  • 접근통제 영역의 요구사항은 사용자 인증 및 권한관리, 최소권한 원칙 적용, 사용자 활동 모니터링 등이며 RBAC적용, 관리자 계정 분리, MFA 적용 등이 적용 예가 된다.
  • 데이터 보안 영역의 요구사항은 데이터 무결성, 기밀성, 가용성 보장, 데이터 보호 정책 수립 등이며, DB암호화, 데이터 백업, 데이터 변경 로그 관리 등이 적용 예가 된다.
  • 암호화 영역의 요구사항은 민감정보 암호화, 암호키 관리 체계 구축 등이며 TLS적용, HSM/KMS 사용 등이 적용 예가 된다.
  • 로그 및 감사 영역의 요구사항은 모든 주요 활동 기록, 감사 가능성 확보 등이며, Audit Trail구축, 로그 위변조 방지 등이 적용 예가 된다.
  • 보안 테스트 영역의 요구사항은 취약점 점검 및 테스트 수행이며 정기적 취약점 점검, 침투테스트 등이 적용 예가 된다.
  • IT시스템개발도입 영역의 요구사항은 Secure SDLC 적용, 신규 시스템 도입시 검증, 외부 솔루션 평가 등이며 소스코드 취약점 점검, 취약점 점검 및 침투테스트, 벤더 보안 평가 등이 적용 예가 된다.