1) 전자금융감독규정 제14조의2(클라우드컴퓨팅서비스 이용절차 등) 3항은 아래와 같이 정의하고 있다.

...  클라우드컴퓨팅서비스를 실제로 이용하려는 날의 7영업일 이전에 금융감독원장이 정하는 양식에 따라..... 금융감독원장에게 보고하여야 한다. 

- 위의 요건에 따르면 신고해야하는 것으로 해석된다.
2) 그러나 대부분의 프로젝트 현장에서는, 운영단계에서 계약하기로 하고 개발환경은 계약없이 클라우드를 쓰는 경우가 대부분이기 때문에 이용신고를 위한 제출서류들을 갖출수가 없다.
- 더욱이, 클라우드를 이용하기 위한 서전보고 성격인 현재 규정에 부합하기 위해서는 단순 솔루션 구축이 아닌 이상은 하나의 프로젝트를 위해 최소 2회(개발용으로 이용시, 운영으로 이용시) 신고를 해야한다.
- 따라서 100점 받기 어려운(?) 요건이다.
3) 상위기관의 감독을 받는 금융회사 입장에서는 종합감사나 부문감사 같은 상위기관 감독에 대비하여 아래와 같은 대응이 필요하겠다.
- 여건과 제출서류 준비가 가능하다면, 개발단계에서도 이용신고하고 운영단게에서도 이용신고를 하여 2차례하는 것이다.
- 그렇치 않다면, 내부 정보보호위원회 심의.의결을 두개 확보하는 것이다. (개발망 클라우드 이용에 대한 건과 운영망 클라우드 이용에 대한 건)
- 둘다 어려운 상황이라면…… 건투를 빌수 밖에 없는 것 같다
4) 이 이슈는 감독규정이 사후보고로 변경될 예정이기 때문에 내년이면 해소된다.
- 현재의 김독규정은 “이렇게 이렇게 클라우드를 이용하겠습니다”라는 내용으로 클라우드 이용을 사전에 보고하는 형태이기 때문에 이런 문제가 발생하고 있다.
- 그러나, 금융위원회가 “금융분야 클라우드 및 망분리 규제 개선방안”에 따라 사전보고에서 사후보고로 전자거래기본법의 관련조항이 개정되면, 이 이슈는 해소된다고 볼수 있다.

일반적인 경우에는 이 규정 요건은 전혀 문제가 되지 않지만, 서비스 오픈일이 공유휴일에 걸쳐져 있는 경우 또는 서비스 오픈일정이 다급한 경우에는 법규위반과 같은 상당히 큰 이슈가 되는 경우가 있다.
1) 규정상의 문구 “7영업일 이전”은 우선적으로 “영업일”에 대한 이해와 “이전”에 대한 이해가 필요다.
- “영업일”이란 토요일, 일요일 및 공휴일을 제외한 Business day를 의미하며,
- “영업일 이전”은 영업일을 포함한다(영업일이 포함되지 않으려면 “영업일 전”이어야 한다.)
2) 그러나, - 실무에서는 1일차이로 감독규정을 위반하느냐 준수하느냐로 크게 갈라지기 때문에 “7영업일 이전”을 “7영업일 전”으로 간주하고 일정계획을 하는 것이 일반적이다.

- 감독규정에서는 “7영업일 이전”에 이용신고를 하도록 규정하고 있어서, 오픈 일자에 그 생각이 갇힐수가 있는데, 그것보다 더 중요한 고려사항들이 있다.
- 특히, 최근 금융회사에 적용되는 애자일방식, DevOps 등과 같은 개발방식은 수시로 오픈하는 방식이기 때문에 이용신고를 서비스 오픈일에 생각을 가둘 필요는 없다.
- 해당 서비스 개발을 위한 위탁업체(CSP, MSP, Master MSP)와의 위수탁 계약이 하나로 되는지 나눠지는지, 내부 운영조직의 구성은 나눠지는지? 등을 고려하는 것이 좋다.
- 회사 내부정책에 따라 다르겠지만, 감독규정에 언급되어 있는 수시보고, 연간 CSP, MSP 안전성 및 건정성 평가 등의 운영관리 관점을 고려하여 하나의 프로젝트로 이용신고를 하는 것을 추천한다.
- 좀더 확실하게 하고 싶다면, 금감원과의 사전협의시에 담당 조사역과의 충분한 상담을 통해 확정짖는 것도 좋은 방법이다.
- 이 이슈도 개정 에정인 전자금융거래법에 의하면 사후보고 형태로 바뀌기 때문에 이 이슈는 해소될 것이다.

- 금융회사 입장에서는 추진하고 있는 프로젝트에 집중하다보면, 클라우드이용신고를 이행때만 이용신고하면 잊어버려도 되는 것으로만 생각할수 있다.
- 그러나 이 이용신고는 감독규정상 서류의 최신성 유지 및 수시보고를 규정하고 있기 때문에 이행 이후에도 최소 연1회의 활동 증적을 확보함으로써 감독원의 종합감사에 사전준비하는 것이 좋다.
- 클라우드서비스를 이용단계부터 운영관리 및 이용중단 또는 종료까지 모든 단계에 걸처 금융회사가 해야 하는 일들을 있습니다.
- 따라서, 사전협의 또는 이용신고 단계부터 그 범위를 잘 정의하고 운영단계(수시보고, 최신성관리 등)까지를 고려하는 것이 현명한 방법입니다.

- 이 문제는 해당 금융회사의 내부조직간의 R&R 또는 조직구성의 전사적 전략 및 특성에 따라 다를 수 있지만, 이용신고를 처음하는 금융회사에서는 이슈가 될수 있다.
- 가장 우선적으로 고려할 기준은 전사적 차원에서 해당 서비스 운영의 역할과 책임관련 내부 규정을 참고하여 담당부서를 선정하는 것은 필요하다.
- 또한, 감독규정에 명시되어 있는 바와 같이, 클라우드이용의 중대한 변화를 어느 조직이 가장 먼저 감지할 수 있는지도 고려할 필요가 있다.
- 아직은 대부분의 회사가 정보보안 부서에서 이용신고를 담당하고 있지만, 이 보다는 서비스 운영을 책임지는 조직에서 이용신고를 담당하는 것이 관련 이슈를 신속하게 대응할 수 있겠다.

아래의 개선방안이 확정되면 관련 규정 및 전자거래법의 개정으로 클라우드 이용이 지금 보다는 어느 정도는 혼선이 방지될 것으로 예상된다. (https://www.fsc.go.kr/no010101/77672?srchCtgry=&curPage=&srchKey=&srchText=&srchBeginDt=&srchEndDt=)
1) 불명확한 업무 중요도 평가기준 → 업무 중요도 평가를 위한 구체적인 기준 및 절차 마련
2) 중복.유사 CSP평가 항목 → 중복.유사 평가항목 정비(14개 통제분야 141개 평가항목 → 11개 통제분야 54개 평가항목으로 축소)
3) 비중요 업무도 중요 업무의 거의 모든 이용 규제 준수 → 중요.비중요 업무간 클라우드 이용절차 차등화(필수항목, 대체항목)
4) 금융회사 등이 각각 CSP 평가수행 → 금융보안원 대표 평가제 도입
5) SaaS의 경우 CSP평가에 애로 → SaaS에 적합한 예외항목 정의
6) 클라우드 이용시 제출 서류간 중복 → 중복되는 “업무위탁 운영기준 보완사항” 등 제출 간소화
7) 금융당국 사전보고(7 영업일 전) → 금융당국 사후보고 (3개월 이내)
8) 획일적.일률적 물리적 망분리 규제 완화
→ 개인(신용)정보가 없는 연구.개발 분야 망분리 예외(자체 위험성평가를 실시한 후 망분리 대체 정보보호 통제를 적용한 경우에 한함)
→ 비전자금융업무 및 SaaS에 대한 망분리 예외 추진(규제샌드박스)
→ (중장기) 단계적 망분리 완화 추진

* 사업 등 관련 문의: T) 02-322-4688, F) 02-322-4646, E) info@wikisecurity.net