Q> 금융회사 클라우드 이용신고에서 비중요시스템에 대한 문의

전자금융감독 규정에 따라 금융회사가 Public Cloud를 이용하는 경우에는 클라우드컴퓨팅 이용신고를 의무화하고 있다.
그러나, 금융회사가 클라우드컴퓨팅 이용한다고 해서 무조건 금융감독원에 이용을 신고하는 것은 아니며, 이는 중요도 평가에 따라 의무와 비의무가 나눠진다.
그러면 비중요 시스템에 대해서 보고의무가 없다는 근거는 무엇인가? 클라우드 이용신고를 처음하는 금융회사와의 미팅에서 담당자의 문의였음

A>

ㅇ 금융회사의 클라우드이용 관련 감독규정의 개정 변천에 대한 이해

- 2016년 이전에는 전자금융거래법령에 따라 금융회사에서는 퍼블릭 클라우드이용을 금지했었다.
- 그러다가, 2016년 전자금융거래법령을 개정하면서 금융회사가 퍼블릭 클라우드를 이용할수 있도록 허용하였으나, 고유식별정보 또는 개인신용정보를 처리하지 않는 비중요시스템에 대해서만 허용했었다.
- 또한, 이에 대하여 7일이내에 금융감독원장에게 보고하도록 규정했었다.(전자금융감독규정 제14조의2(비중요 정보처리시스템 지정) - 2016.10.5, 일부개정)
- 그러다가 2018년 클라우드 컴퓨팅 이용활성화를 목적으로 전자금융감독규정이 개정되면서 고유식별정보 또는 개인신용정보를 처리하는 시스템이어도 퍼블릭 클라우드를 이용할 수 있게 되었다.
- 또한, 고유식별정보 또는 개인신용정보를 처리하는 경우 등의 경우에는 금융감독원장에게 사전보고 하도록 규정되었다.
- 2022년에 개정된 금융감독규정에서도 중요시스템에 대한 이 사항은 유지되고 단지 3개월 이내 사후보고로 변경되었을 뿐이다.

ㅇ 2016년 비중요시스템에 한하여 퍼블릭 클라우드 이용을 허용한 전자금융감독규정

- 금융회사가 비중요 시스템에 한하여 퍼블릭 클라우드 이용을 허용하면서 금융감독원장에게 보고를 의무화한 전자금융감독규정

제14조의2(비중요시스템 정보처리시스템 지정)[시행 2016. 10. 5.] [금융위원회고시 제2016-37호, 2016. 10. 5., 일부개정]
 제14조의2(비중요 정보처리시스템 지정) ① 금융회사 또는 전자금융업자는 자체적으로 수립한 정보자산 중요도 평가기준에 따라 
 전자금융거래의 안전성 및 신뢰성에 미치는 영향이 현저히 낮은 정보처리시스템을 비중요 정보처리시스템으로 지정할 수 있다. 
 다만, 개인의 고유식별정보 또는 「신용정보의 이용 및 보호에 관한 법률」에 따른 개인신용정보를 처리하는 정보처리시스템은 비중요 정보처리시스템으로 지정할 수 없다. 
 ② 금융회사 또는 전자금융업자는 제1항에 따라 비중요 정보처리시스템 지정시 제8조의2에 따른 정보보호위원회의 심의·의결을 거쳐야 한다. 
 ③ 금융회사 또는 전자금융업자는 제1항에 따라 비중요 정보처리시스템을 지정한 날로부터 7일 이내에 금융감독원장이 정하는 양식에 따라 
 정보자산 중요도 평가기준, 지정 결과, 관리 방안 등을 포함한 보고서를 금융감독원에 제출하여야 한다. 
 - 이하 생략 -
ㅇ 2018년 금융권 클라우드 이용 확대방안에 따라 개정된 전자금융감독규정

- 금융권의 퍼블릭 클라우드 이용확대 정책에 따라 개정된 전자금융감독규정에서는 중요도 평가에 따라 중요시스템에 대하여 7영업일 이전에 금융감독원장 보고를 의무화한 전자금융감독규정

제14조의2(클라우드컴퓨팅서비스 이용절차 등)
③ 금융회사 또는 전자금융업자는 제1항제1호에 따라 다음 각 호의 어느 하나에 해당한다고 평가하는 경우에는 클라우드컴퓨팅서비스를 실제로 이용하려는 날의 7영업일 이전에 
금융감독원장이 정하는 양식에 따라 제4항 각 호의 서류를 첨부하여 금융감독원장에게 보고하여야 한다. 
이 경우 「금융회사의 정보처리 업무 위탁에 관한 규정」 제7조 제1항부터 제3항까지의 규정에 따라 보고한 것으로 본다. <개정 2018. 12. 21.>
1. 고유식별정보 또는 개인신용정보를 처리하는 경우 
2. 전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미치는 경우 
- 이하 생략 -
ㅇ 2022년 금융분야 클라우드 및 망분리 규제 완화를 위해 개정된 전자금융감독규정

- 금융분야의 클라우드 및 망분리 규제 완화를 위하여 전자금융거래법과 전자금융감독규정이 개정되었으며, 클라우드 이용신고에 대해서도 3개월이내 사후보고로 개정되었다.

제14조의2(클라우드컴퓨팅서비스 이용절차 등)
④ 금융회사 또는 전자금융업자는 다음 각 호의 어느 하나에 해당하는 **사유가 발생한 날로부터 3개월 이내**에 발생 사유, 관련 자료 및 대응계획을 첨부하여 금융감독원장에게 보고하여야 한다.
<신설 2018. 12. 21., 개정 2022. 11. 23.> 
1. 클라우드컴퓨팅서비스 이용계약을 신규로 체결하는 경우 <신설 2022. 11. 23.>
2. 클라우드컴퓨팅서비스 제공자의 합병, 분할, 계약상 지위의 양도, 재위탁 등 중대한 변경사항이 발생한 경우 <개정 2022. 11. 23.>
3. 클라우드컴퓨팅서비스 제공자가 서비스품질의 유지, 안전성 확보 등과 관련한 중요 계약사항을 이행하지 아니한 경우 <개정 2022. 11. 23.>
4. 제1항제2호 또는 제3호에 관한 중대한 변경사항이 발생한 경우 <개정 2022. 11. 23.>
- 이하 생략 -
ㅇ 2018년 개정된 전자금융감독규정과 금융회사의 정보처리 업무 위탁에 관한 규정

- 전자금융감독규정

제14조의2(클라우드컴퓨팅서비스 이용절차 등) 
⑨ 그 밖에 금융회사 또는 전자금융업자의 클라우드컴퓨팅서비스 이용에 대해서는 「금융회사의 정보처리 업무 위탁에 관한 규정」에 따른다. <신설 2018. 12. 21.>

- 금융회사의 정보처리 업무 위탁에 관한 규정

제7조(보고)
④ 금융회사는 다음 각 호의 구분에 따라 정보처리 위탁에 관한 반기 현황을 그 금융회사의 설립근거가 되는 법률 등에 따른 업무보고서에 포함하여 
금융감독원장에게 반기별로 사후보고하여야 한다. <개정 2018. 6. 28.>
1. 제2조제4항에 따른 금융거래정보의 처리업무를 위탁하는 경우로서 다음 각 목에 해당하는 경우 
  가. 해당 금융회사 또는 동일한 금융업을 영위하는 다른 금융회사가 금융감독원장에게 보고한 내용과 동일한 경우로서, 위탁 상대방의 업종이 동일한 경우 
  나. 이미 보고한 내용을 일부 변경하는 경우로서, 변경되는 내용이 경미한 경우 
2. 제2조제4항에 따른 금융거래정보 이외의 정보 처리업무를 위탁하는 경우(다만, 전자금융업자가 위탁하는 경우는 제외) [본항신설 2015. 7. 22.] <개정 2018. 6. 28.>
- 이하 생략 -
ㅇ 금융분야 클라우드 컴퓨팅서비스 이용 가이드 (2022.11) - 금융보안원

- 개정된 전자금융감독규정에 따라 공개된 금융보안원의 금융분야 클라우드 컴퓨팅서비스 이용 가이드 (2022.11) 별첨에 아래와 같이 언급되어 있다.

(FAQ) 6. 전자금융업자가 금융거래정보 이외의 정보처리업무를 위탁하는 경우에도 사후보고를 해야 하는지?
(ASW)
□ 전자금융업자는 現「전자금융감독규정」및 「정보처리업무위탁규정*」에 따라, 비중요업무에 대해 금융 거래정보 이외의 정보를 클라우드로 처리하는 경우에는 별도 보고의무가 없습니다.
* 정보처리업무위탁규정 제7조제4항제2호 단서

ㅇ 「전자금융감독규정」개정 이후에도 현행과 같이 비중요업무에 대해 금융거래정보 이외의 정보를 클라우드로 처리하는 경우 클라우드 이용보고의 대상이 아님을 알려드립니다.
※ (예시) 전자금융업자가 전자상거래 쇼핑몰 관련 비금융업무 등을 클라우드 시스템을 통해 처리하고자 하는 경우 등
ㅇ 그러나 비중요 시스템의 보고에 대하여 혼동하지 말아야 할것은,

- 비중요 시스템의 경우, 중요시스템 처럼 3개월 이내에 보고해야 한다는 의무보고에서는 벗어 날수 있으나, 반기현황 보고 대상이 되는것이다.
- 이는 “금융회사의 정보처리 업무 위탁에 관한 규정” 제7조(보고) 4항에 아래와 같이 반기별 보고 대상으로 명시 되어 있다.
- 또한, 이런 사항들은 매년 금융감독원이 금융회사를 대상으로 실시하는 종합감사의 대상이 되는 것은 당연하다.

제7조(보고)
④ 금융회사는 다음 각 호의 구분에 따라 정보처리 위탁에 관한 반기 현황을 그 금융회사의 설립근거가 되는 법률 등에 따른 업무보고서에 포함하여 
금융감독원장에게 반기별로 사후보고 하여야 한다. <개정 2018. 6. 28.>
1. 제2조제4항에 따른 금융거래정보의 처리업무를 위탁하는 경우로서 다음 각 목에 해당하는 경우 
   가. 해당 금융회사 또는 동일한 금융업을 영위하는 다른 금융회사가 금융감독원장에게 보고한 내용과 동일한 경우로서, 위탁 상대방의 업종이 동일한 경우 
   나. 이미 보고한 내용을 일부 변경하는 경우로서, 변경되는 내용이 경미한 경우 
2. 제2조제4항에 따른 금융거래정보 이외의 정보 처리업무를 위탁하는 경우(다만, 전자금융업자가 위탁하는 경우는 제외) [본항신설 2015. 7. 22.] <개정 2018. 6. 28.>
- 이하 생략 -


* 사업 등 관련 문의: T) 02-322-4688, F) 02-322-4646, E) info@wikisecurity.net