Q> 금융회사 클라우드 이용신고에 대한 문의

금융회사의 Public Cloud 이용에 대한 금융감독규정상의 허용이 확대되면서 금융회사가 감독규정에 따라 의무화되어 있는 클라우드컴퓨팅 이용신고에 대한 이슈가 많다.
또한, 신기술과 클라우드이용의 활성화 등을 위해 현재(2022.04.15).금융위원회가 "금융분야 클라우드 및 망분리 규제 개선방안"을 내놓으면서 전자금융감독규정에 몇 가지 굵직한 변화들이 예상된다.
아래의 내용들은 금융 고객사의 프로젝트 현장에서 업무지원을 하는 과정에서 있었던 주요 이슈들에 대한 적절한 대응방안으로써 참고할수 있는 내용들을 기록하였다.
(단, 법조인 관점의 법해석이 아니라 실무자 관점의 내용이므로 이를 고려하여 그 내용을 참조해야 함)

A>

1. 개발단계의 개발용 클라우드 이용의 경우에도 이용신고를 해야 하나요?

1) 전자금융감독규정 제14조의2(클라우드컴퓨팅서비스 이용절차 등) 3항은 아래와 같이 정의하고 있다.

...  클라우드컴퓨팅서비스를 실제로 이용하려는 날의 7영업일 이전에 금융감독원장이 정하는 양식에 따라..... 금융감독원장에게 보고하여야 한다. 

- 위의 요건에 따르면 신고해야하는 것으로 해석된다.
2) 그러나 대부분의 프로젝트 현장에서는, 운영단계에서 계약하기로 하고 개발환경은 계약없이 클라우드를 쓰는 경우가 대부분이기 때문에 이용신고를 위한 제출서류들을 갖출수가 없다.
- 더욱이, 클라우드를 이용하기 위한 사전보고 성격인 현재 규정에 부합하기 위해서는 단순 솔루션 구축이 아닌 이상은 하나의 프로젝트를 위해 최소 2회(개발용으로 이용시, 운영으로 이용시) 신고를 해야한다.
- 따라서 100점 받기 어려운(?) 요건이다.
3) 상위기관의 감독을 받는 금융회사 입장에서는 종합감사나 부문감사 같은 상위기관 감독에 대비하여 아래와 같은 대응이 필요하겠다.
- 여건과 제출서류 준비가 가능하다면, 개발단계에서도 이용신고하고 운영단계에서도 이용신고를 하여 2차례하는 것이다.
- 그렇치 않다면, 내부 정보보호위원회 심의.의결을 두개 확보하는 것이다. (개발망 클라우드 이용에 대한 건과 운영망 클라우드 이용에 대한 건)
- 둘다 어려운 상황이라면…… 건투를 빌수 밖에 없는 것 같다
4) 이 이슈는 감독규정이 사후보고로 변경될 예정이기 때문에 내년이면 해소된다.
- 현재의 감독규정은 “이렇게 이렇게 클라우드를 이용하겠습니다”라는 내용으로 클라우드 이용을 사전에 보고하는 형태이기 때문에 이런 문제가 발생하고 있다.
- 그러나, 금융위원회가 “금융분야 클라우드 및 망분리 규제 개선방안”에 따라 사전보고에서 사후보고로 전자거래기본법의 관련조항이 개정되면, 이 이슈는 해소된다고 볼수 있다.

2. 감독규정의 "7영업일 이전"는 어떻게 해석해야 하나요?

일반적인 경우에는 이 규정 요건은 전혀 문제가 되지 않지만, 서비스 오픈일이 공휴일에 걸쳐져 있는 경우 또는 서비스 오픈일정이 다급한 경우에는 법규위반과 같은 상당히 큰 이슈가 되는 경우가 있다.
1) 규정상의 문구 “7영업일 이전”은 우선적으로 “영업일”에 대한 이해와 “이전”에 대한 이해가 필요다.
- “영업일”이란 토요일, 일요일 및 공휴일을 제외한 Business day를 의미하며,
- “영업일 이전”은 영업일을 포함한다(영업일이 포함되지 않으려면 “영업일 전”이어야 한다.)
2) 그러나, - 실무에서는 1일차이로 감독규정을 위반하느냐 준수하느냐로 크게 갈라지기 때문에 “7영업일 이전”을 “7영업일 전”으로 간주하고 일정계획을 하는 것이 일반적이다.

3. 하나의 프로젝트인데 사정상 두개 서비스로 나누어 2회 오픈일정으로 추진중인데, 이용신고를 2번에 나눠 해야 하나요?

- 감독규정에서는 “7영업일 이전”에 이용신고를 하도록 규정하고 있어서, 오픈 일자에 그 생각이 갇힐수가 있는데, 그것보다 더 중요한 고려사항들이 있다.
- 특히, 최근 금융회사에 적용되는 애자일방식, DevOps 등과 같은 개발방식은 수시로 오픈하는 방식이기 때문에 이용신고를 서비스 오픈일에 생각을 가둘 필요는 없다.
- 해당 서비스 개발을 위한 위탁업체(CSP, MSP, Master MSP)와의 위수탁 계약이 하나로 되는지 나눠지는지, 내부 운영조직의 구성은 나눠지는지? 등을 고려하는 것이 좋다.
- 회사 내부정책에 따라 다르겠지만, 감독규정에 언급되어 있는 수시보고, 연간 CSP, MSP 안전성 및 건정성 평가 등의 운영관리 관점을 고려하여 하나의 프로젝트로 이용신고를 하는 것을 추천한다.
- 좀더 확실하게 하고 싶다면, 금감원과의 사전협의시에 담당 조사역과의 충분한 상담을 통해 확정짖는 것도 좋은 방법이다.
- 이 이슈도 개정 예정인 전자금융거래법에 의하면 사후보고 형태로 바뀌기 때문에 이 이슈는 해소될 것이다.

4. 클라우드이용신고는 최초 이용신고만 잘하면 끝나는 것이 아닌가요?

- 금융회사 입장에서는 추진하고 있는 프로젝트에 집중하다보면, 클라우드이용신고를 이행때만 이용신고하면 잊어버려도 되는 것으로만 생각할수 있다.
- 그러나 이 이용신고는 감독규정상 서류의 최신성 유지 및 수시보고를 규정하고 있기 때문에 이행 이후에도 최소 연1회의 활동 증적을 확보함으로써 감독원의 종합감사에 사전준비하는 것이 좋다.
- 클라우드서비스를 이용단계부터 운영관리 및 이용중단 또는 종료까지 모든 단계에 걸처 금융회사가 해야 하는 일들을 있습니다.
- 따라서, 사전협의 또는 이용신고 단계부터 그 범위를 잘 정의하고 운영단계(수시보고, 최신성관리 등)까지를 고려하는 것이 현명한 방법입니다.

5. 클라우드이용신고를 어떤 부서가 하는 것이 적합한가요?

- 이 문제는 해당 금융회사의 내부조직간의 R&R 또는 조직구성의 전사적 전략 및 특성에 따라 다를 수 있지만, 이용신고를 처음하는 금융회사에서는 이슈가 될수 있다.
- 가장 우선적으로 고려할 기준은 전사적 차원에서 해당 서비스 운영의 역할과 책임관련 내부 규정을 참고하여 담당부서를 선정하는 것은 필요하다.
- 또한, 감독규정에 명시되어 있는 바와 같이, 클라우드이용의 중대한 변화를 어느 조직이 가장 먼저 감지할 수 있는지도 고려할 필요가 있다.
- 아직은 대부분의 회사가 정보보안 부서에서 이용신고를 담당하고 있지만, 이 보다는 서비스 운영을 책임지는 조직에서 이용신고를 담당하는 것이 관련 이슈를 신속하게 대응할 수 있겠다.

6. 현재 의견수렴 단계에 있는 "금융분야 클라우드 및 망분리 규제 개선방안"의 주요 내용은 아래와 같다.

아래의 개선방안이 확정되면 관련 규정 및 전자거래법의 개정으로 클라우드 이용이 지금 보다는 어느 정도는 혼선이 방지될 것으로 예상된다. (https://www.fsc.go.kr/no010101/77672?srchCtgry=&curPage=&srchKey=&srchText=&srchBeginDt=&srchEndDt=)
1) 불명확한 업무 중요도 평가기준 → 업무 중요도 평가를 위한 구체적인 기준 및 절차 마련
2) 중복.유사 CSP평가 항목 → 중복.유사 평가항목 정비(14개 통제분야 141개 평가항목 → 11개 통제분야 54개 평가항목으로 축소)
3) 비중요 업무도 중요 업무의 거의 모든 이용 규제 준수 → 중요.비중요 업무간 클라우드 이용절차 차등화(필수항목, 대체항목)
4) 금융회사 등이 각각 CSP 평가수행 → 금융보안원 대표 평가제 도입
5) SaaS의 경우 CSP평가에 애로 → SaaS에 적합한 예외항목 정의
6) 클라우드 이용시 제출 서류간 중복 → 중복되는 “업무위탁 운영기준 보완사항” 등 제출 간소화
7) 금융당국 사전보고(7 영업일 전) → 금융당국 사후보고 (3개월 이내)
8) 획일적.일률적 물리적 망분리 규제 완화
→ 개인(신용)정보가 없는 연구.개발 분야 망분리 예외(자체 위험성평가를 실시한 후 망분리 대체 정보보호 통제를 적용한 경우에 한함)
→ 비전자금융업무 및 SaaS에 대한 망분리 예외 추진(규제샌드박스)
→ (중장기) 단계적 망분리 완화 추진


* 사업 등 관련 문의: T) 02-322-4688, F) 02-322-4646, E) info@wikisecurity.net