이번 포스트에서는 금융회사에서 일하시는 분들이라면 반드시 알아두셔야 할 ‘정보처리 업무 위탁 규정‘에 대해 체계적으로 설명해 드리려고 합니다.법규나 규정은 어렵고 딱딱하게 느껴지기 마련인데요, 실무자 입장에서 꼭 필요한 내용만 쏙쏙 뽑아서 정리했습니다. 복잡한 규정을 쉽고 명확하게 정리했으니, 실무에 바로 활용해보시기 바랍니다. 🙂

 

1. 규정의 기본 이해하기

규정의 목적과 법적 근거

금융회사의 정보처리 업무 위탁은 「금융회사의 정보처리 업무 위탁에 관한 규정」(금융위원회고시 제2021-9호, 2021.3.25. 개정)에 따라 관리됩니다. 이 규정은 금융회사가 인가·허가·등록 등을 받은 금융업을 영위하면서 IT 업무를 외부에 맡길 때의 일종의 안전장치입니다.

금융 분야에서 정보처리 업무 위탁이 중요한 이유는 금융회사들이 점점 더 많은 IT 기능을 외부 전문업체에 맡기는 추세이기 때문입니다. 이런 위탁은 비용 효율성, 전문성 활용, 핵심 역량 집중 등의 장점이 있지만, 동시에 정보 보안, 서비스 안정성, 규제 준수 등의 위험 요소도 함께 증가합니다. 이 규정은 바로 이러한 위험을 체계적으로 관리하기 위한 가이드라인입니다.

핵심 목적은 세 가지로 요약됩니다:

• 고객 정보의 안전한 보호: 금융 고객의 개인정보와 거래정보는 특히 민감하며, 유출 시 심각한 피해가 발생할 수 있습니다
• 금융 시스템의 안정적 운영 보장: 금융 서비스의 연속성은 사회 경제 전반에 영향을 미치는 핵심 요소입니다
• 위탁 관계의 투명성 확보: 누가, 어떤 정보를, 어떻게 처리하는지 명확히 하여 책임소재를 분명히 합니다

적용 대상 금융회사

이 규정은 다음과 같은 금융회사에 적용됩니다:

• 은행, 증권사, 보험사 등 전통적인 금융회사
• 상호저축은행, 신용협동조합, 여신전문금융회사
• 전자금융업자, 온라인투자연계금융업자(P2P)
• 금융상품자문업자 (2021년 추가)

 

2. 업무 위탁의 기본 원칙과 제한사항

위탁 가능 업무와 금지 업무

금융회사는 인가받은 업무의 정보처리를 제3자에게 위탁할 수 있지만, 다음 경우는 위탁이 금지됩니다:

• 관련 법령에서 위탁을 명시적으로 금지한 업무: 예를 들어, 일부 의사결정 기능이나 내부 통제 기능은 위탁이 금지될 수 있습니다
• 최근 3년 내 정보관리 관련 기관경고 이상 제재를 2회 이상 받은 경우: 이는 금융회사의 정보관리 역량에 심각한 문제가 있다고 판단되는 경우를 의미합니다
• 위탁으로 금융회사의 건전성, 신인도가 크게 저해되거나 금융이용자 피해가 우려되는 경우: 이는 위탁이 금융회사의 핵심 역량을 약화시키거나 고객 서비스의 질을 현저히 저하시킬 우려가 있는 경우입니다

참고로, 코스콤(증권 시장의 IT 인프라 제공 기관)이나 저축은행중앙회에 원장 등의 관리를 위탁하는 경우는 예외적으로 허용됩니다. 이는 금융 산업의 특성을 고려한 실용적 예외 조항입니다.

위탁 전 반드시 수행해야 할 위험 평가

모든 위탁 전에는 체계적인 위험 평가가 필수입니다. 이는 단순한 형식적 절차가 아니라 실질적인 위험 관리를 위한 핵심 단계입니다:

• 업무의 중요도와 핵심성 분석: 위탁하려는 업무가 금융회사의 핵심 비즈니스에 얼마나 중요한지, 문제 발생 시 영향 범위는 어떠한지 평가합니다. 예를 들어, 고객 데이터베이스 관리는 매우 높은 중요도를 가질 것입니다.
• 정보 유출 가능성과 영향도 평가: 어떤 종류의, 얼마나 많은 정보가 위탁 과정에서 처리되는지, 그리고 이 정보가 유출될 경우 고객과 회사에 미치는 영향을 분석합니다. 개인식별정보나 금융거래내역 등은 유출 시 심각한 피해가 예상됩니다.
• 위탁받을 회사의 보안 역량과 안정성 검증: 수탁 후보 회사의 정보보호 관리체계, 인증 보유 여부(ISMS 등), 과거 보안 사고 이력, 재무 안정성 등을 종합적으로 평가합니다. 이는 위탁 파트너 선정에 있어 가장 중요한 기준이 됩니다.
• 비상상황 발생 시 업무 연속성 보장 방안 확인: 시스템 장애, 자연재해, 사이버 공격 등 다양한 비상상황에서도 서비스가 중단 없이 제공될 수 있는 방안이 마련되어 있는지 검토합니다. 이는 금융 서비스의 연속성이 특히 중요하기 때문입니다.

 

3. 위탁계약 필수 포함사항과 책임관계

계약서에 반드시 담아야 할 내용

위탁계약서는 다음 내용을 명확히 포함해야 합니다:

• 위탁업무의 구체적 범위와 서비스 수준(SLA)
• 데이터 접근통제와 보안 요구사항
• 전산사고 시 위·수탁회사 간 책임관계
• 금융당국의 감독·검사 수용 의무
• 재위탁 시 승인 절차와 관리 방안

책임소재의 명확화

위탁회사(금융회사)는 수탁회사가 규정을 위반하여 발생하는 손해에 대해 수탁회사와 연대하여 책임을 집니다. 즉, “업무는 위탁할 수 있어도 책임은 위탁할 수 없다”는 원칙이 적용됩니다.

 

4. 개인정보 보호를 위한 특별 규정

고유식별정보의 보호

제5조(특정정보의 보호)는 금융 분야에서 특히 민감한 개인정보 보호에 관한 특별 규정을 담고 있습니다. 이는 개인정보보호법의 일반적 규정보다 더 엄격한 금융 특화 보호 조치를 요구합니다:

• 개인고객의 고유식별정보를 반드시 암호화해야 함: 주민등록번호, 여권번호, 운전면허번호 등의 고유식별정보는 해킹이나 내부자에 의한 유출 위험을 막기 위해 안전한 알고리즘으로 암호화되어야 합니다. 이는 저장 시뿐만 아니라 전송 과정에서도 적용됩니다.
• 이러한 정보가 국외로 이전되지 않도록 보호해야 함: 국가 간 개인정보보호 수준의 차이와 국제적 사법관할권 문제로 인해, 고유식별정보의 국외 이전은 원칙적으로 금지됩니다. 이는 해외 데이터센터나 클라우드 서비스 이용 시 특히 중요한 제한사항입니다.
• 위탁 정보 보호를 위한 안전성 확보조치를 홈페이지 등에 공시해야 함: 금융회사는 어떤 정보가, 어떤 목적으로, 어떤 보호조치 하에 위탁되는지 투명하게 공개해야 합니다. 이는 고객의 알 권리를 보장하고 위탁 관리의 투명성을 높이는 조치입니다.
• 민감정보 처리 위탁 시 정보주체에게 개별 고지해야 함: 건강정보, 유전정보, 범죄기록 등 특히 민감한 정보의 위탁 처리는 더 높은 수준의 투명성이 요구되며, 금융감독원이 정한 방식으로 각 정보주체에게 직접 알려야 합니다.

이 규정들은 고객의 개인정보 자기결정권을 보장하고 정보유출 위험을 최소화하기 위한 핵심 안전장치입니다. 특히 금융 분야에서는 개인정보가 곧 금융자산에 대한 접근과 직결될 수 있어, 이러한 보호조치가 더욱 중요합니다.

 

5. 국내외 위탁에 따른 보고 의무

국내 위탁 시 보고 절차

국내 업체에 개인고객의 금융거래정보 처리를 위탁할 경우:

• 업무 수행 7영업일 이전에 금융감독원장에게 보고
• 위탁계약서, 업무위수탁 운영기준, 준법감시인 검토의견 등 첨부

해외 위탁 시 강화된 보고 의무

해외 업체에 위탁할 경우 더 엄격한 기준이 적용됩니다:

• 업무 수행 30영업일 이전에 금융감독원장에게 보고
• 국내 법규 준수 방안과 현지 법규와의 충돌 가능성 검토
• 금융당국의 감독·검사 실행 가능성 확보
• 비상시 데이터 국내 이전 계획 수립
• 위탁계약 상대방 정보, 피해자 구제절차 등 상세 자료 제출

 

6. 지속적인 관리·감독 의무

위탁 후 정기적인 점검 사항

위탁 계약 체결은 끝이 아니라 시작입니다. 금융회사는 위탁 이후에도 지속적인 관리와 감독 책임이 있으며, 이는 “위탁해도 책임은 남는다”는 원칙을 반영합니다:

• 정기적인 보안 점검 실시: 최소 분기별로 수탁회사의 정보보호 체계가 제대로 작동하는지 점검해야 합니다. 여기에는 기술적 보안 조치(방화벽, 침입탐지시스템 등)와 관리적 보안 조치(접근권한 관리, 보안교육 등) 모두가 포함됩니다. 정기적인 모의해킹이나 취약점 진단도 권장됩니다.
• 서비스 수준 준수 여부 모니터링: 계약서에 명시된 서비스 수준 협약(SLA)이 준수되고 있는지 실시간으로 모니터링해야 합니다. 시스템 가용성, 응답시간, 오류율 등 주요 성능 지표를 지속적으로 추적하고, 문제 발생 시 즉각적인 대응이 이루어져야 합니다.
• 위탁사의 재무·경영 상태 확인: 수탁회사의 재무적 안정성은 서비스 지속성과 직결됩니다. 정기적으로 재무제표를 검토하고, 경영 상태에 큰 변화(인수합병, 구조조정 등)가 있는지 모니터링해야 합니다. 수탁회사의 재무 위기는 금융회사의 업무 연속성에 직접적인 위협이 될 수 있습니다.
• 연 1회 이상 종합 평가 수행: 보안, 서비스 품질, 재무 안정성, 규제 준수 등을 포함한 종합적인 평가를 최소 연 1회 실시해야 합니다. 이 평가는 문서화되어야 하며, 필요시 위탁 계약의 갱신 또는 변경 여부를 결정하는 근거가 됩니다. 경영진에게 평가 결과를 보고하고, 발견된 문제점에 대한 개선 계획을 수립해야 합니다.

감독당국의 검사와 자료제출 의무

위탁회사와 수탁회사 모두 금융감독원장의,

• 자료 제출 요구에 응해야 함
• 감독 및 검사를 수용해야 함
• 필요시 변경권고 등 조치를 이행해야 함

 

7. 비상대응 계획 수립과 운영

필수적인 비상계획 요소

만일의 사태에 대비한 계획이 필수적입니다:

• 서비스 중단 시 대체 운영 방안
• 정보 유출 발생 시 대응 프로세스
• 위탁사 도산 등 비상상황 대비책
• 정기적인 비상대응 훈련 실시

이러한 비상계획은 “최악의 상황을 가정하고 준비하라”는 원칙에 따라 실제 작동 가능한 수준으로 수립되어야 합니다.

 

8. 규정 위반 시 제재사항

위탁 규정을 위반할 경우 다음과 같은 제재가 가해질 수 있습니다:

• 기관 경고 또는 시정명령
• 임원에 대한 해임권고 또는 직무정지
• 과징금 부과
• 심각한 위반 시 업무 일부 정지

특히 고객정보 유출이나 중요 시스템 장애 발생 시 제재 수위가 높아집니다.

 

9. 실무자를 위한 종합 체크리스트

위탁 업무를 준비 중이라면 다음 체크리스트를 활용해서 미리 점검 해보시기 바랍니다.

□ 위탁하려는 업무의 중요도를 명확히 분류했는가?
□ 위험 평가를 객관적인 기준에 따라 실시했는가?
□ 계약서에 필요한 조항이 모두 포함되어 있는가?
□ 개인정보 보호를 위한 암호화 등 안전장치가 마련되어 있는가?
□ 위탁받을 회사의 보안 수준을 직접 확인했는가?
□ 비상 상황을 대비한 계획이 실제로 작동 가능한가?
□ 내부 보고와 금융당국 보고 절차는 준비되어 있는가?
□ 지속적인 관리·감독 체계가 수립되어 있는가?

 

10. 정보처리 업무위탁에 대한 글을 마무리 하며…

금융 정보처리 업무 위탁은 효율성과 보안 사이의 균형을 찾는 과정입니다. 장기적인 관점에서 아래와 같은 뷰를 가져보면 어떨까 합니다.

비용 절감을 넘어선 근원적 가치를 고려

단기적인 비용 절감에만 초점을 맞추는 것은 위험합니다. 실제로 많은 금융회사들이 처음에는 비용 절감을 위해 위탁을 시작했다가, 보안 사고나 서비스 품질 저하로 더 큰 비용을 지불하는 사례가 많습니다. 대신 위탁을 통해 얻을 수 있는 전문성, 기술 혁신, 업무 효율화 같은 장기적 가치에 집중할 필요가 있습니다.

위탁 관계를 파트너십으로 접근

단순한 거래 관계가 아닌 전략적 파트너십으로 위탁 관계를 구축하는 것이 중요합니다. 수탁회사와 정기적인 소통 채널을 유지하고, 서로의 비즈니스 목표와 도전 과제를 이해하며, 문제 발생 시 함께 해결책을 모색하는 협력 관계를 구축하는 것이 중요합니다.

변화하는 규제 환경에 대한 지속적인 관심

금융 규제는 기술 발전과 시장 변화에 따라 계속 진화합니다. 특히 디지털 금융, 클라우드 컴퓨팅, 인공지능 등 새로운 기술을 활용한 위탁에 대한 규제는 더욱 빠르게 변화하고 있습니다. 규제 변화를 지속적으로 모니터링하고, 필요한 경우 위탁 계약과 운영 방식을 신속하게 조정할 필요가 있습니다.

위험 관리는 지속적인 과정

“준비에 들인 시간만큼 위험은 줄어든다”는 것을 기억할 필요가 있습니다. 위험 관리는 위탁 전 한 번으로 끝나는 이벤트가 아니라, 위탁 관계 전체에 걸쳐 지속되는 과정입니다. 정기적인 위험 평가, 모니터링, 개선 활동을 통해 변화하는 위험 환경에 능동적으로 대응하는 것이 무엇보다 중요합니다.

 

 

이번 포스트가 여러분의 업무에 실질적인 도움이 되었으면 좋겠네요. 금융권 현장에서 고민되는 점이나 더 알고 싶은 내용이 있으시면 언제든 댓글로 남겨주세요. 금융 정보처리 위탁의 복잡한 과정 속에서 조금이나마 도움이 되었길 바랍니다. 🙂