I. 배경
금융위원회는 금융분야 망분리 규제 개선을 위한 세부 추진과제와 금융보안체계의 선진화 방향을 담은 『금융분야 망분리 개선 로드맵』(이하 “본건 로드맵”)을 2024. 8. 13. 발표하였습니다.
II. 본건 로드맵의 주요 내용
본건 로드맵은 총 3단계로 구성되어 있으며, 각 단계별 추진 과제의 주요 내용은 다음과 같습니다.
1. 1단계 추진 과제
1) 생성형 AI 활용 허용
현재 대부분의 생성형 AI는 클라우드 기반의 인터넷 환경에서 제공되나, 망분리 규제로 인하여 금융권에서는 생성형 AI를 활용하기 어려운 상황입니다. 또한, 개인신용정보 관련 규제로 인하여 국내에 서버가 없는 해외 소재 AI모델을 통하여 개인신용정보(가명정보 포함)를 처리·보관하는 것 역시 허용되지 않고 있습니다.
향후에는 금융회사가 생성형 AI를 활용하여 가명처리된(anonymized) 개인신용정보까지 처리할 수 있도록 규제 개선이 이루어질 예정입니다. 보다 구체적으로, 금융당국은 금융규제 샌드박스(sandbox) 제도를 활용하여 금융회사 정보처리시스템과 AI 모델 간 연결에 대한 망분리 규제특례를 인정하고, 관계부처 협업을 거쳐 해외소재 AI를 통한 가명정보 처리 역시 허용되도록 할 예정입니다.
2) 클라우드 기반의 응용 프로그램(SaaS) 활용도 제고
현재 금융규제 샌드박스를 이용하여 업무망에서의 SaaS 사용이 허용되고 있으나, 고객의 개인신용정보 처리가 금지되는 등의 엄격한 부가조건으로 인하여 제한적인 범위에서만 SaaS를 활용할 수 있습니다.
향후에는 금융규제 샌드박스를 통한 SaaS 허용 범위를 확대하여, 아래와 같이 보다 넓은 분야에서 SaaS를 활용할 수 있도록 할 예정입니다.
또한, 전자금융감독규정은 클라우드컴퓨팅서비스(cloud computing service) 도입 시 금융회사 등이 준수하여야 하는 사항을 별도로 규정하고 있는데, 위 규제가 SaaS 이용 시에도 일률적으로 적용됨에 따라, 협업 등 단순 업무용 SaaS를 도입하는 경우에도 과도한 규제가 획일적으로 적용된다는 지적이 있어왔습니다. 향후에는 전자금융감독규정을 개정하여 안전성 확보조치와 관련된 사항을 간소화하는 등 SaaS 이용 절차를 간소화할 예정입니다.
3) 연구·개발 분야 망분리 개선
2022. 11.경 연구·개발망에 대한 망분리 예외가 허용되었으나, 연구·개발망과 내부망간 물리적 분리가 요구되는 등의 제한으로 실효성이 크지 않고, 연구·개발망에서의 개인신용정보 활용이 금지됨에 따라 서비스 연구·개발 범위도 제한된다는 문제가 제기되어 왔습니다.
금융당국은 향후 전자금융감독규정 및 전자금융감독규정 시행세칙을 개정하여 연구·개발망과 업무망간의 논리적 망분리를 허용하고, 가명처리된 개인신용정보 활용 역시 허용될 예정인바, 고객 행동 특성 등 데이터 분석 기반의 금융상품 개발이 가능해질 수 있을 것으로 보입니다.
2. 2단계 추진 과제
1) 기존 규제 특례의 정규 제도화
본건 로드맵 1단계에서 금융위원회는 금융규제 샌드박스를 통하여 생성형 AI 및 SaaS 활용 범위를 확대할 예정인데, 향후 이에 대한 효용성 평가 및 보안 검증이 충분히 이루어지는 경우, 관련 규정을 개정하여 상시 제도화를 추진할 예정입니다.
2) 개인신용정보 처리 허용 등 규제 특례 고도화
본건 로드맵 1단계에서는 금융회사가 생성형 AI 활용 등에 있어 가명처리된 개인신용정보를 활용할 수 있도록 할 예정인데, 향후 이에 대한 충분한 성과검증과 보안평가 등을 거친 후 추가 보안대책을 전제로 실제 개인신용정보 처리도 허용할 예정입니다.
3) 제3자 리스크 관리 강화 등 정보처리 위탁제도 정비
최근 클라우드, 데이터센터 등 정보처리 업무위탁이 증가함에 따라 비금융부분의 장애, 정보유출 등의 사고가 금융 부분으로 전이되는 제3자 리스크에 대한 관리 필요성이 높아지고 있습니다. 현재 이에 대한 실효성 있는 관리 규율이 부재한 상황이나, 망분리 규제 개선에 대응하여 제3자 리스크 관리 강화 등을 위한 전자금융거래법 등 관련 제도 정비가 이루어질 예정입니다.
3. 3단계 추진 과제
자율보안-결과책임 원칙에 입각한 새로운 금융보안체계 구축을 위해 디지털금융보안법(가칭)을 제정하고, 규칙 중심에서 원칙 중심으로 규제 전환이 이루어질 예정입니다.
디지털금융보안법(가칭)에 포함될 주요 사항은 아래와 같습니다.
- 금융당국은 법령을 통해 주요 보안 원칙·목표를 제시하고, 구체적·기술적 보안 통제사항은 가이드로 모범사례를 제시. 금융회사는 자율적으로 세부 보안통제를 구성하고 당국에 보고
- 전산사고 등에 대한 배상책임 강화, 실효성 있는 과징금 도입 등 금융회사의 책임 강화를 위한 법적 근거 마련
- 금융당국은 금융회사의 자율보안체계 수립·이행 등을 검증하고, 점검 결과 일정 수준 이하 금융회사에 대하여는 보안수준 제고를 위한 시정요구·이행명령을 부과하고, 불이행시 제재 등 조치
III. 시사점
금융당국은 기존에도 금융규제 샌드박스를 통해 협업도구 등 일부 프로그램에 한하여 SaaS 사용을 허용해왔습니다. 본건 로드맵을 바탕으로 보안, 고객관리 등에까지 SaaS 활용 범위가 확대되고, 생성형 AI 활용이 가능해짐에 따라 금융회사의 업무 생산성 향상 등에 긍정적으로 작용할 것으로 예상됩니다.
다만, 이와 관련된 규제 완화는 금융규제 샌드박스에 의하여 개별 사안별로 적용되므로, 생성형 AI 및 SaaS 도입을 고려 중인 금융회사의 경우, 미리 금융규제 샌드박스 신청을 준비할 필요가 있을 것입니다. 금융규제 샌드박스의 구체적인 허용 범위, 이와 관련된 부가조건 등의 사항은 향후 설명회 등에서 구체화될 예정입니다.
한편, 연구·개발 분야 망분리 개선이 이루어지면 금융상품 개발 등의 편의성이 확대될 것으로 기대됩니다. 다만, 연구·개발망 활용 범위 등에 대한 상세 지침이 발표될 예정이며, 보다 강화된 보안대책 역시 적용될 예정이므로, 연구·개발망을 새로 구성함에 있어 향후 발표될 지침 등을 충분히 고려할 필요가 있을 것입니다.
본건 로드맵 2단계 및 3단계 추진 과제가 실행되는 경우, 금융회사의 망분리 규제 관련 부담이 보다 감경될 수 있을 것으로 생각됩니다. 다만, 2단계 및 3단계에 따른 조치의 구체적 내용은 1단계 과제의 성과에 따라 그 내용이 크게 달라지게 될 것이라는 점에서, 향후 업계 추이에 대하여도 지속적인 관심을 가질 필요가 있을 것입니다.
본건 로드맵에 따른 1단계 추진 과제는 2024. 3분기부터 시행될 예정이며, 2단계 및 3단계추진과제 역시 순차적으로 진행될 예정입니다.
* * *
법무법인(유한) 태평양의 『미래금융전략센터』는 금융 시장의 급격한 변화와 기술의 발전에 발맞춰 고객의 신규 사업모델과 금융기법, 정보통신 기술 분야에서의 다양한 법률자문을 제공하고 있습니다. 특히, 해당 센터의 구성원들은 금융위원회, 금융감독원, 과학기술정보통신부, 행정안전부, 개인정보보호위원회 등 다양한 유관기관 출신 전문가들로 구성하고 있어, 금융, ICT, 데이터, AI 등에 관한 규제 자문부터 대안 모델의 제시, 입법적 해법 등을 아우르는 종합적인 대응 전략을 제시하고 있습니다. 디지털금융 분야에서 발생하는 법적 이슈에 대한 자문이 필요하신 경우 언제든지 동 전문가들에게 연락주시기 바랍니다.