Hayden

안녕하세요, 오늘은 2025년 2월 5일부로 개정된 전자금융감독규정전자금융감독규정시행세칙에 대해 자세히 알아보겠습니다. 금융 IT 보안 담당자와 핀테크 기업에게 매우 중요한 규정이니만큼, 최신 개정사항과 실질적으로 반드시 준수해야 할 핵심 내용을 중심으로 정리 해보겠습니다.

 

전자금융감독규정이란?

전자금융감독규정은 「전자금융거래법」 및 동법 시행령에서 금융위원회에 위임한 사항과 그 시행에 필요한 사항을 규정하는 금융위원회 고시입니다. 금융기관 및 전자금융업자가 전자금융업무를 안전하게 수행하기 위한 기준을 제시하고 있으며, 금융거래의 안전성과 신뢰성을 확보하는 데 필수적인 지침이 됩니다.

전자금융감독규정은 금융회사뿐만 아니라 전자금융업자(간편결제, PG사, 전자지갑 등)를 포함한 모든 전자금융 관련 기업들이 반드시 준수해야 하는 규제 프레임워크입니다.

이 규정을 준수해야 하는 대상:

  • 은행, 증권사, 보험사 등 금융회사
  • 전자금융업자(간편결제업체, PG사 등)
  • 전자금융보조업자(금융회사/전자금융업자의 전산업무 수탁자)

 

2025년 주요 개정사항

2025년 2월 5일 개정된 전자금융감독규정의 주요 변경사항은 다음과 같습니다:

1. 제3장 규정 체계 재편

제3장(전자금융거래의 안전성 확보 및 이용자 보호)을 10개 절로 재편하여 관련 내용의 체계를 재정비했습니다.

  • 제1절: 통칙
  • 제2절: 인력, 조직 및 예산 부문
  • 제3절: 시설부문
  • 제4절: 정보기술부문
  • 제5절: 정보보호부문 (신설)
  • 제6절: 사업부문 (신설)
  • 제7절: 업무지속성 부문 (신설)
  • 제8절: 정보기술부문 내부통제 (신설)
  • 제9절: 전자금융업무 (신설)
  • 제10절: 취약점 분석 및 사고 대응 등 (신설)

💡 중요 포인트: 특히 “정보보호부문”이 별도 절로 분리되었다는 점은 사이버 보안 강화에 대한 규제당국의 중요도를 반영합니다.

2. 정보보호 관련 강화사항

  • 정보보호 역량 강화 (제8조): 정보보호최고책임자는 임직원의 정보보호역량 강화를 위해 매년 교육계획을 수립·시행하고, 최고경영자는 전년도 교육계획 시행 결과를 평가해야 함
  • 직무 분리 (제8조의3 신설): 정보기술부문의 내부통제를 위한 직무분리 기준 수립·운용 의무화
  • 암호프로그램 및 키 관리 통제 (제19조 신설): 암호 및 인증시스템 키에 대한 주입·운용·갱신·폐기 절차 마련 의무화
  • 사용자 인증수단 관리 (제19조의2 신설): 비밀번호, 생체정보 등 인증수단 관리방안 수립 의무

3. 침해사고 대응 강화

  • 침해사고 통지 의무화 (제37조의4 신설): 침해사고 발생 인지 시 24시간 이내 금융위원회 보고 의무
  • 침해사고대응기관 지정 (제37조의6 신설): 금융보안원 등을 침해사고대응기관으로 지정하고 업무범위 명확화

4. 소액후불결제업무 관련 조항 신설

  • 소액후불결제업무 승인 관련 규정 (제56조의3~제56조의7 신설): 선불업자의 소액후불결제업무 겸영 승인 절차 및 기준 마련

5. 전자금융사고 책임이행 보험 금액 조정

  • 보험 가입 금액 세분화: 전자금융업자의 유형별 보험 가입 금액 세분화 및 합산 규정 명확화 (제5조)

 

핵심 준수사항

이번 개정된 전자금융감독규정에서 금융회사와 전자금융업자가 반드시 준수해야 할 핵심 요건들을 정리했습니다.

1. 조직 및 인력 관련

정보보호최고책임자(CISO) 지정 및 역할 강화

  • 임직원 정보보호역량 강화를 위한 연간 교육계획 수립·시행 의무
  • 교육계획 시행 결과 평가 및 차년도 반영
  • 임직원의 정보보안 관련법규 준수 여부 정기 점검

정보보호위원회 운영

  • 중요 정보보호 심의·의결을 위한 정보보호위원회 설치·운영
  • 위원장은 정보보호최고책임자, 위원은 관련 부서장으로 구성
  • 전자금융거래 안전성·신뢰성에 중대한 영향 미치는 사항은 이사회 보고 필수

직무 분리

  • 정보기술부문 내부통제를 위한 직무분리 기준 수립·운용 의무화

2. 정보보호 및 보안 관련

망분리 의무

  • 내부 업무용시스템은 인터넷 등 외부통신망과 분리·차단 의무
  • 전산실 내 정보처리시스템과 직접 접속 단말기는 외부통신망과 물리적 분리

접근통제 및 암호화

  • 사용자 인증 수단을 개인별로 부여하고 접근권한은 최소한으로 부여
  • 이용자 비밀번호는 암호화하여 보관하고 조회 불가능하게 구성
  • 암호프로그램 담당자 지정 및 키 관리 절차 마련

취약점 분석 및 관리

  • 총자산 2조원 이상 & 상시 종업원 300명 이상 금융회사: 연 1회 이상 취약점 분석·평가
  • 홈페이지에 대해서는 6개월에 1회 이상 취약점 분석 실시 의무

3. 사고 대응 및 업무지속성

침해사고 대응 체계 구축

  • 침해사고 발생 인지 시 24시간 이내 금융위원회 보고 의무
  • 연 1회 이상 침해사고 대응 및 복구훈련 계획 수립·시행

재해복구 체계 구축

  • 특정 금융회사는 재해복구센터 구축·운영 의무
  • 업무별 복구목표시간 설정 (핵심업무 3시간 이내, 보험회사 24시간 이내)
  • 연 1회 이상 실제 재해복구센터로 전환하는 훈련 실시

전자금융사고 책임이행 보험 가입

  • 전자금융업 유형별 최소 보험 가입 금액 준수
  • 복수 업종 영위 시 금액 합산 (단, 제5호~제12호 합계는 15억원 한도)

 

전자금융감독규정 체계 이해하기

전자금융감독규정은 크게 다음과 같은 구조로 이루어져 있습니다:

제1장 총칙

  • 목적, 정의, 전자금융보조업자의 범위 등 기본사항 규정

제2장 전자금융거래 당사자의 권리와 의무

  • 전자금융사고 책임이행, 보험 가입 기준, 정보보호최고책임자 지정 등

제3장 전자금융거래의 안전성 확보 및 이용자 보호

이번 개정에서 아래와 같이 10개 절로 세분화되었습니다:

  • 제1절: 통칙
  • 제2절: 인력, 조직 및 예산 부문
  • 제3절: 시설부문
  • 제4절: 정보기술부문
  • 제5절: 정보보호부문 (신설)
  • 제6절: 사업부문 (신설)
  • 제7절: 업무지속성 부문 (신설)
  • 제8절: 정보기술부문 내부통제 (신설)
  • 제9절: 전자금융업무 (신설)
  • 제10절: 취약점 분석 및 사고 대응 등 (신설)

제4장 전자금융업의 허가와 등록 및 업무

  • 허가 및 등록 절차, 요건, 세부기준 등

제5장 전자금융업무의 감독

  • 정보기술부문 실태평가, 경영지도기준, 검사결과 보고방법 등

제6장 보칙

  • 규제의 존속기한, 재검토 등

 

정보보호 부문 강화사항

2025년 개정에서 가장 주목할 만한 변화는 정보보호 부문이 별도 절로 분리되어 강화된 점입니다.

해킹 등 방지대책 (제15조)

  • 망분리 의무: 내부통신망과 연결된 내부 업무용시스템은 인터넷 등 외부통신망과 분리·차단예외 인정 조건:
    1. 연구·개발 목적으로 이용자 고유식별정보/개인신용정보를 처리하지 않는 경우
    2. 업무상 불가피한 경우로 금융감독원장의 확인을 받은 경우
  • 무선통신망 보안: 무선통신망 이용업무 최소화, 사용자인증/암호화 등 보안대책 수립

악성코드 감염 방지대책 (제16조)

  • 악성코드 감염·확산 방지, 피해 최소화, 복구 대책 수립 의무화

암호프로그램 및 키 관리 통제 (제19조, 신설)

  • 암호프로그램 담당자 지정, 이용 통제, 원시프로그램 별도 보관
  • 암호 및 인증시스템 키에 대한 주입·운용·갱신·폐기 절차 마련

사용자 인증수단 관리 (제19조의2, 신설)

  • 비밀번호, 생체정보 등 인증수단의 발급·보관·주기적 변경 및 인증오류 발생시 처리 절차 수립

 

클라우드 컴퓨팅 서비스 이용

클라우드 컴퓨팅 서비스 이용에 관한 규정도 개정되었습니다.

클라우드 이용 절차 (제14조의2)

  1. 이용업무 중요도 평가
    • 업무 특성, 서비스 중단 영향, 침해행위 발생 시 고객 영향 등 고려
  2. 제공자 평가
    • 건전성 및 안전성 평가 (비중요업무는 필수항목만 평가 가능)
  3. 업무 연속성 계획 및 안전성 확보조치 수립
    • 비중요업무는 필수 사항만 수립·시행 가능
  4. 정보보호위원회 심의·의결
  5. 보고 의무
    • 다음 사유 발생 시 3개월 내 금융감독원장에게 보고
      • 신규 계약 체결 또는 신규 업무 처리
      • 제공자 합병, 분할, 양도, 재위탁 등 중대 변경사항 발생
      • 중요 계약사항 불이행
      • 중대한 변경사항 발생

클라우드 이용 시 예외 사항

  • 클라우드를 이용하는 경우 국내 전산실 설치 의무(제11조제1호), 무선통신망 설치 금지(제11조제2호), 전산실 내 정보처리시스템의 물리적 망분리(제15조제1항제5호) 규정 적용 제외
  • 단, 고유식별정보/개인신용정보 처리 시 무선통신망 설치 금지(제11조제2호) 적용 및 국내 설치 의무

 

소액후불결제업무 관련 규정

2025년 개정에서는 선불업자의 소액후불결제업무 겸영 관련 규정이 신설되었습니다.

주요 내용

  • 승인신청 (제56조의3): 승인신청서 제출 양식 규정
  • 승인 평가 (제56조의4): 사업계획 타당성 평가위원회 구성·운영 가능
  • 제공 한도 (제56조의5): 총제공한도 감소 시 1년간 한도 유지
  • 경영 건전성 관리 (제56조의6):
    • 소액후불결제업무채권 및 미사용약정에 대한 자산건전성 분류
    • 충당금 및 대손준비금 적립 의무
  • 연체정보 제공 (제56조의7): 미변제금액 10만원 이상, 연체기간 5영업일 이상 시 연체정보 제공

 

재해복구 및 비상대책

업무지속성 확보를 위한 규정도 강화되었습니다.

비상대책 등의 수립·운용 (제23조)

  • 업무지속성 확보방안 필수 포함 사항:
    1. 상황별 대응절차
    2. 백업/재해복구센터 활용 재해복구계획
    3. 비상대응조직 구성·운용
    4. 입력대행, 수작업 등 절차
    5. 모의훈련 실시
    6. 비상연락체제 구축
    7. 보고 및 대외통보 절차
    8. 비상지원인력 확보·운영(신설)
  • 재해복구센터 구축·운영 의무 대상 추가:
    • 여신전문금융업법상 시설대여업자, 할부금융업자, 신기술사업금융업자
    • 연간 전자금융거래 총액 2조원 이상 전자금융업자
  • 핵심업무 복구목표시간:
    • 일반 금융회사: 3시간 이내
    • 보험회사: 24시간 이내

비상대응훈련 실시 (제24조)

  • 연 1회 비상대응훈련 실시 및 금융위원회 보고 의무
  • 재해복구전환훈련을 포함하여 실시 가능

 

준수사항 점검 체크리스트

다음은 금융회사와 전자금융업자가 전자금융감독규정 준수를 위해 필요한 체크리스트입니다:

조직 및 인력 부문

  • [] 정보보호최고책임자(CISO) 지정
  • [] 연간 정보보호 교육계획 수립·시행
  • [] 정보보호위원회 설치·운영
  • [] 정보기술부문 직무분리 기준 수립·운용

시설 부문

  • [] 전산실 국내 설치 (국내 본점 기준)
  • [] 전산실 안전대책 및 출입통제 보안대책 수립·운용
  • [] 전원, 공조 등 설비 안전성 기준 수립·운용

정보기술 부문

  • [] 단말기 보호대책 수립·운용
  • [] 전산자료 보호대책 수립·운용
  • [] 정보처리시스템 보호대책 수립·운용
  • [] 클라우드컴퓨팅서비스 이용 시 절차 준수

정보보호 부문

  • [] 망분리 의무 준수
  • [] 악성코드 감염 방지대책 수립·운용
  • [] 공개용 웹서버 관리대책 수립·운용
  • [] IP주소 관리대책 수립·운용
  • [] 암호프로그램 및 키 관리 통제 방안 마련
  • [] 사용자 인증수단 관리방안 수립·운용

업무지속성 부문

  • [] 업무지속성 확보방안 수립·준수
  • [] 재해복구센터 구축·운영 (해당 기관)
  • [] 연 1회 비상대응훈련 실시
  • [] 연 1회 재해복구전환훈련 실시 (해당 기관)

사고 대응 부문

  • [] 취약점 분석·평가 실시 (연 1회 이상)
  • [] 침해사고 대응 및 복구훈련 계획 수립·시행
  • [] 정보기술부문 및 전자금융 사고보고 체계 구축

전자금융업 관련

  • [] 전자금융사고 책임이행을 위한 보험/공제 가입
  • [] 경영지도기준 준수
  • [] 약관 제·개정 시 규정 준수

 

FAQ

자주 묻는 질문

Q: 정보보호최고책임자는 어떤 자격을 갖춰야 하나요?

A: 정보보호최고책임자는 「금융회사의 지배구조에 관한 법률」 제5조에 따른 임원으로서, 다음 중 하나의 요건을 갖춰야 합니다:

  • 정보보호 분야에서 5년 이상 근무 경력 보유
  • 정보기술 분야에서 10년 이상 근무 경력 보유
  • 금융회사에서 정보보호 업무 3년 이상 포함, 총 10년 이상 근무 경력 보유

Q: 클라우드 서비스 이용 시 반드시 국내에 데이터를 두어야 하나요?

A: 고유식별정보 또는 개인신용정보를 처리하는 경우, 해당 정보처리시스템은 국내에 설치해야 합니다. 다만, 전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미치지 않는 외국금융회사의 국내지점, 국외 사이버몰을 위한 전자지급결제대행업자는 예외가 적용됩니다.

Q: 소규모 핀테크 스타트업도 이 규정을 모두 준수해야 하나요?

A: 전자금융업자로 등록된 모든 회사는 규정을 준수해야 합니다. 다만, 일부 규정은 자산규모나 업종에 따라 차등 적용됩니다. 특히 정보보호최고책임자 지정이나 재해복구센터 구축 의무 등은 회사 규모에 따라 적용 여부가 달라질 수 있습니다.

 

2025년 개정된 전자금융감독규정은 정보보호 부문 강화, 클라우드 컴퓨팅 이용 규제 개선, 소액후불결제업무 관련 규정 신설 등 다양한 변화를 담고 있습니다. 금융회사와 전자금융업자는 개정된 규정을 철저히 준수하고 안전하고 신뢰할 수 있는 전자금융 환경을 구축하도록 노력해야 하며,  특히 사이버 보안 위협이 날로 증가하는 상황에서, 정보보호 부문 강화는 금융회사와 전자금융업자의 보안 태세를 한층 더 강화하도록 요구하는 방향으로 감독 방향이 결정 될 것으로 보입니다.

이상으로 2025년 전자금융감독규정 총정리를 마칩니다. 추가 문의사항이 있으시면 언제든지 댓글로 남겨주세요!

참고자료: 금융위원회고시 제2025-4호(2025.2.5. 일부개정), 금융감독원세칙(2025.2.3. 일부개정)

댓글 남기기