금융 IT 분야는 전자금융거래법, 전자금융감독규정, 신용정보법, 개인정보보호법, 정보통신망법 등 여러 법령을 종합적으로 준수해야 하며, 금융당국(금융위원회, 금융감독원 및 한국은행, 금융정보분석원)에서 발행하는 각종 규정과 지침도 함께 살펴야 한다. 최근에는 오픈뱅킹, 마이데이터, 클라우드 활용 등 금융환경이 급변하고 있어 관련 규정이 수시로 개정·보완되는 추세다. 이번 글에서는 금융 IT분야에서 반드시 주의 깊게 신경써야 하는 기본 법, 규정의 기본 개념부터 지침, 인증제도 등도 간략하게 알아보고자 한다.
1. 금융 IT 관련 주요 법령 및 규정
1.1 전자금융거래법
- 개요: 2006년 제정된 후 여러 차례 개정을 거쳐 전자적 금융거래를 안전하게 운영하기 위한 근간이 되는 법이다.
- 적용 범위: 전자금융업자, 전자지급결제대행(PG), 간편결제 서비스, 전자화폐 등 다양한 형태의 전자금융거래에 적용된다.
- 최근 동향: 비대면 금융 서비스(모바일 뱅킹, 간편결제 등)의 확산과 함께 인증 수단 고도화, 이상거래탐지시스템(FDS) 의무화 등이 지속적으로 논의·개정되고 있다.
1.2 전자금융감독규정 및 시행세칙
전자금융거래법의 구체적인 이행 사항과 감독 방법을 정하는 핵심 규정으로, 금융위원회 및 금융감독원이 발행·관리한다.
- 전자금융감독규정
– 전자금융거래법의 세부 사항을 구체적으로 규율한다.
– 예시: 전자지급결제대행업 등록 절차, 부정사용 방지 대책, 전자금융사고 예방·처리 절차 등
– 전자금융서비스 이용자 보호장치, 전자서명 및 전자보안기술 기준 등을 포함한다.
– 최근 개정 사항: 오픈뱅킹 도입, 클라우드, 간편결제 및 간편송금 활성화에 따른 보안·위험관리 의무 강화. - 시행세칙
– 전자금융감독규정의 하위 규정으로, 실제 업무에 적용하기 위한 상세 지침을 제공한다.
– 예시: 인증수단 운영 지침, 거래내역 통지 방법, 이상금융거래탐지 시스템 운영 기준 등
– 금융감독원에서 주기적으로 개정·보완하며, 현장 점검 시 준수 여부를 중점 확인한다.
중요: 전자금융감독규정 및 시행세칙은 금융회사나 전자금융업자가 실무적으로 가장 많이 참고해야 하는 문서로, 개정 동향을 지속적으로 모니터링하고 내부 정책에 반영해야 한다.
1.3 신용정보의 이용 및 보호에 관한 법률 (신용정보법)
- 개요: 개인 및 기업의 신용정보 취급 전반을 규율하며, 신용정보의 조회, 수집, 활용, 제공, 파기 절차를 상세히 다룬다.
- 시행령, 시행규칙, 신용정보업 감독규정: 금융회사의 신용조회, 마케팅, 신용평가, 개인정보 제공 절차 등을 규정한다.
- 마이데이터(본인신용정보관리업): 2020년 개정된 신용정보법에 따라 도입된 제도로, 금융사와 핀테크 기업은 안전한 API 제공, 데이터 암호화, 접근통제 등 보안 요건을 충족해야 한다.
1.4 개인정보보호법
- 개요: 모든 산업 분야에서 개인을 식별할 수 있는 정보를 취급할 때 적용되는 기본법이다.
- 시행령, 시행규칙, 정보보호조치 지침: 개인정보의 수집, 이용, 보관, 파기에 대한 기술적, 관리적, 물리적 보호조치를 구체적으로 규정한다.
- 최근 개정 동향: 데이터 3법(개인정보보호법, 신용정보법, 정보통신망법) 개정으로 가명정보 활용 범위가 확대되고, 개인정보 유출 시 처벌 및 과징금이 강화되는 추세다.
1.5 정보통신망 이용촉진 및 정보보호 등에 관한 법률 (정보통신망법)
- 적용 대상: 정보통신서비스 제공자(포털, 커머스, 핀테크 등).
- 핵심 제도:
– 징벌적 손해배상제도: 개인정보 유출 시 피해자가 손해를 입증하지 않아도 일정 금액(최대 300만 원)을 배상받을 수 있다.
– 법정손해배상제도: 고의나 중과실이 인정될 경우 손해액의 몇 배까지 배상할 수 있다.
– 최근 이슈: 대형 포털, 결제 플랫폼 등에서 개인정보 유출 사고 발생 시 높은 과징금과 사회적 파장이 이어지면서, 관련 기업들이 보안 강화 및 망법 준수에 더욱 힘쓰고 있다.
1.6 정보통신기반보호법
- 개요: 국가·사회적으로 중요한 정보통신기반시설을 보호하기 위한 법이다.
- 금융권 적용: 금융기관의 핵심 전산시스템(인터넷뱅킹, 결제시스템 등)이 주요 기반시설로 지정될 경우, 주기적인 취약점 점검, 관제 강화, 보안사고 발생 시 즉시 보고 등이 의무화된다.
2. 금융회사 IT 보호 관련 지침 및 위탁 규정
2.1 금융회사 정보기술(IT)부문 보호업무 모범규준 및 이행지침 (현재는 해당없는 예전 지침이지만 참고 가치 있음)
- 모범규준: 금융사의 IT 부문 전반(보안, 운영, 관리)에 대한 포괄적 가이드라인을 제시한다.
- 이행지침: 모범규준을 실제 업무에 적용하기 위한 구체적 절차와 방법을 제공한다.
- 주요 내용: 재해복구(DR) 체계 구축, 보안사고 대응 절차, 임직원 보안교육, 외주(위탁) 관리 등.
2.2 금융회사의 정보처리 업무 위탁에 관한 규정
- 2015년 7월 개정 주요 사항:
-
- 전산설비/정보처리 규정 일원화
- 사전 보고 → 사후 보고 원칙으로 변경
- 수탁회사 제한 철폐 및 재위탁 허용
- 표준계약서 의무 사용 폐지
- 추가 동향: 클라우드 서비스 활용에 대한 규제 완화로 금융기관이 클라우드 기반 인프라를 사용할 때 보안 및 위험관리 지침이 계속 보강되고 있다.
2.3 금융감독원 IT감사 메뉴얼
- 주요 점검 항목: 내부통제, 재해복구, 개인정보 보호, 시스템 개발 절차, 외주(위탁) 관리 등.
- 최신 방향: 디지털 전환 속도에 맞춰 클라우드 보안, AI, 빅데이터 활용 시 개인정보 보호와 보안성을 중점 점검한다.
3. IT 거버넌스 및 인증제도
3.1 금융분야 정보보호관리체계(ISMS) 인증
- 개요: 금융권에서 정보보호 수준을 종합적으로 평가·인증하는 제도이다.
- 주요 평가항목: 위험관리, 운영 및 개선, 물리적·인적 보안, 재해복구 등.
- 확대 적용: 가상자산 사업자, 핀테크 기업 등으로 인증 범위가 확대되고 있다.
3.2 ISO/IEC 27014 (정보보호 거버넌스)
- 특징: 조직의 경영진 차원에서 정보보호 의사결정 구조와 책임소재를 체계화하는 국제 표준이다.
- 도입 효과: 보안 거버넌스 확립을 통해 대외 신뢰도 및 내부 통제력을 강화할 수 있다.
3.3 기타 IT 인증
- CMMI: 소프트웨어 개발 및 서비스 성숙도 모델.
- ISO20000: IT 서비스 관리(ITSM)에 관한 국제 표준으로, SLA, 변경관리, 문제관리 등의 프로세스를 체계화한다.
- ISO27001: 정보보호관리체계에 관한 국제 표준으로, 국내 ISMS와 유사한 프레임워크를 갖는다.
4. IT경영실태 평가항목
금융당국은 금융회사의 IT 운영 수준을 정기적으로 평가하며, 평가 결과에 따라 시정명령이나 제재를 내릴 수 있다.
1. IT감사: 내부감사·외부감사 체계 및 준법감시 기능 점검.
2. IT경영: IT 전략, 조직구조, 인력·예산, 위험관리 체계 평가.
3. 시스템 개발, 도입 및 유지보수: 개발 표준 준수, 변경관리, 테스트·검증 절차 등 점검.
4. IT서비스 제공 및 지원: 장애 대응, 운영 안정성, 사용자 지원 체계 평가.
5. IT보안 및 정보보호: 침해사고 대응, 접근통제, 개인정보 보호조치, 재해복구 계획 등 점검.
위에 정리된 내용은 주인장이 금융IT 및 보안 업무를 담당하며 정리해둔 자료이다. 금융 IT 규제는 기술 발전과 금융환경 변화에 따라 수시로 개정되는 특성이 있으므로, 항상 법령 및 규정을 모니터링 하고 있어야 한다. 특히, 전자금융감독규정 및 시행세칙을 비롯한 핵심 지침의 개정 사항은 지속적으로 모니터링해야 한다. 금융 IT 분야에서 법령·규제 준수는 금융사의 평판과 직결되며, 대규모 사고 및 제재를 예방하는 필수 요건이므로, 체계적인 거버넌스와 보안 체계를 마련하는 것이 무엇보다 우선시 되어야 함을 기억하자. 날림으로 일하지 말고 기본에 충실하자!!