고정 헤더 영역
상세 컨텐츠
본문
2025년 8월 전자금융감독규정 해설서 개정판 - 금융회사 보안관리자가 중점적으로 확인해야 할 핵심 항목 정리
□ 개요
전자금융 환경은 빠르게 진화하고 있습니다. 특히, 생성형 AI, 클라우드, API 기반 오픈 서비스 등 기술 변화가 빨라짐에 따라 금융회사의 보안 체계도 ‘정책 중심’에서 ‘원칙 중심’으로 재편되고 있습니다.
`25년 8월 개정된 전자금융감독규정 해설서는 이러한 변화에 대응하여 금융회사 보안관리자(CISO 포함)가 정보보호 거버넌스를 어떻게 운영하고, 어떤 사항을 이사회에 보고하며, 신기술 도입 시 어떤 심의와 통제가 필요한지를 명확히 안내합니다.
□ 개정 배경 및 방향
| 구분 | 내용 |
| 디지털 전환 | 생성형 AI, 클라우드 확산에 따라 보안 리스크도 다양화 |
| 규제 체계 변화 | 과거의 세부 규정 중심 → ‘원칙 중심 규제’로 전환 |
| 소비자 보호 | BNPL 제도화, 선불업 규제 강화 등 위험요소 대비 강화 |
| 자율보안 도입 | R&D 목적 망분리 예외, 클라우드 보안 규제 합리화 추진 |
□ 보안관리자가 중점 확인해야 할 항목
| 구분 | 중점 확인 항목 | 주요 내용 및 조치 방향 |
| 망분리 예외 | 망분리 예외 사유 확대 (AI·R&D 목적 등) | R&D용 개발환경 망분리 예외 가능 - 가명처리된 개인신용정보 사용 조건 명시 - 예외 적용 시 정보보호심의 및 기록 관리 필수 |
| CISO 지정 확대 | 전자금융업자도 CISO 지정 의무화 | 일정 기준 이상 전자금융업자에 CISO 지정 의무화 - 지정기준, 역할, 겸직 제한 여부 검토 필요 |
| 정보보호위원회 운영 | 구성 및 실효성 검토 | 운영 주기, 안건 심의 내용, 보고 체계 등 점검 - CISO 주관하에 정보보호 예산, 인력 보고 의무 강화 |
| 접근매체 해석 확대 | OTP, 통신용 비밀번호, 블록체인 키 포함 여부 | 법령해석 사례 반영하여 실무 적용 범위 재정의 필요 - 내부 통제 시스템에서 접근매체 정의 기준 업데이트 필요 |
| 자체 보안성 심의제도 | 전자금융 서비스 출시 전 의무화 | 전자금융거래 시 준수사항 및 사전 보안성 심의 결과 기록 유지 - 서비스 출시 전 정보보호팀 심의 절차 문서화 필요 |
| 클라우드 이용 절차 | CSP의 전산센터 → 전산실로 간주 | 클라우드 인프라 사용 시, 해당 CSP 전산센터도 전산실 기준 준용 - 사전위탁 심사 및 보안 점검체계 확보 필요 |
| 정보보호 예산 관리 | 예산 기준 및 분류표 명시 | 별표2 ‘정보보호시스템 분류표’ 준수 - 침입차단·DLP·DRM 등 보안 시스템별 예산관리 기준 정비 |
| 취약점 분석·사고보고 | 정기분석, 사고보고 체계 강화 | 전자금융기반시설 대상 연 1회 이상 취약점 분석 의무화 - 사고 발생 시 24시간 내 통보 및 등급별 보고 체계 정비 필요 |
| 홈페이지 보안 | 공개용 웹서버 보안관리 기준 | 외부 공개 웹서버 대상 WAF 적용, 소스 무결성 확인, - SSL, 취약점 점검 주기 관리 필요 |
| 정보처리시스템 감리 | 시스템 구축 시 감리 의무 확인 | 전자금융서비스 개발 또는 변경 시, 감리 대상 여부 확인 - 감리 결과 → 보안심의 및 내부통제 연계 운영 필요 |
□ CISO의 이사회 보고사항 명확화
| 구분 | 세부 보고 항목 |
| ① 정보보호 전략 | 연간 정보보호 계획 및 추진전략 - 자율보안체계 도입 계획 및 정책 |
| ② 예산 및 인력 | 정보보호 예산(예상 vs 집행) - 정보보호 조직 인력의 구성 및 역량 현황 |
| ③ 위협 현황 및 사고 | 최근 1년간 침해사고 발생 현황 - 대외 보안 위협 동향 및 영향 가능성 |
| ④ 보안 취약점 현황 | 취약점 진단 결과 요약 - 미조치 항목 및 사유 |
| ⑤ 망분리 예외 및 클라우드 도입 | R&D망 등 망분리 예외 사유 및 보안조치 - 클라우드 활용 서비스 및 보안계획 |
| ⑥ 외부 위탁 및 전자금융보조업자 현황 | 외부 위탁업체 보안 점검 결과 - 전자금융보조업자 위탁계약 및 보안관리체계 |
| ⑦ 감사 및 감독 지적사항 | 내부감사, 외부감사, 감독기관의 보안 관련 지적 및 개선 조치현황 |
□ 전자금융감독규정 해설서 개정판(2025년 8월) - 주요 내용 인터뷰
※ 출처 : 금융감독원 - 전자금융감독규정 해설서 개정판(2025년 8월)
이상. 끝.
'보안 컴플라이언스' 카테고리의 다른 글
| AI 기본법이란 무엇인가 – 인공지능 시대의 첫 국가 기준(시행 : 26.01.22) (0) | 2026.01.24 |
|---|---|
| 금융권 마케팅 연락차단 시스템(두낫콜) (3) | 2024.09.08 |
| 영리목적의 광고성 정보(문자) 발송 가이드 (3) | 2024.09.07 |
