[회사법무 스타트업] 금융분야 클라우드컴퓨팅서비스 이용가이드

금융보안원 2019. 1. 제공

1. 목적

금융회사 또는 전자금융업자(이하 ‘금융회사’)가 ｢전자금융감독규정｣(이하 ‘감독규정’) 제14조의2에 따라 클라우드컴퓨팅서비스(이하 ‘클라우드서비스’)를 이용하고자 할 경우 요구되는 세부절차를 안내하고 금융시스템 안전성 및 금융소비자 보호를 위해 필요한 보안사항을 권고하는 것을 목적으로 한다.

(1) 금융회사의 클라우드서비스 이용은 ｢금융회사의 정보처리 업무 위탁에 관한 규정｣ 제2조 제5항 및 제6항에 따라 정보처리 위탁에 해당하며, ｢자본시장법｣ 제42조 및 ｢금융기관의 업무위탁 등에 관한 규정｣ 제3조에 따른 업무위탁에 해당됨. 즉, 클라우드서비스 이용은 정보를 제공하는 것이 아닌, 위탁 처리 하는 것임.

(2) 전자금융업무와 관련된 정보처리시스템을 위탁할 경우 클라우드서비스 제공자는 감독규정 제3조제3호 또는 제4호에 따라 전자금융보조업자에 해당.

(3) 클라우드서비스를 이용한다고 해서 금융회사의 책임이 면제되는 것이 아니며, 고객 손해 발생 시 금융회사가 1차적 손해배상 책임의 주체이고, 클라우드 제공자는 수탁자로서 연대배상책임을 부담.

(4) 보조업자의 책임: 클라우드 서비스 제공자의 고의, 과실은 금융회사의 고의, 과실로 간주. 금융회사 준수사항: 보안, 비상, 백업대책 등을 수립, 운영하고 보안점검을 실시해야 함. 감독 및 검사: 금융위원회는 금융회사의 정보처리업무 위탁계약 시정, 보완 요구권(전자금융거래법 제40조 제2항), 금융감독원장은 보조업자에 대한 수탁계약서, 부속자료 등의 제출요구건(전자금융거래법 제40조 제3항 내지 제5항).

2. 전자금융감독규정

제14조의2 (클라우드컴퓨팅서비스 이용절차 등) ① 금융회사 또는 전자금융업자는 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제2조제3호에 따른 클라우드컴퓨팅서비스를 이용하고자 하는 경우 다음 각 호의 절차를 수행하여야 한다.

1. 자체적으로 수립한 기준에 따른 이용대상 정보처리시스템의 중요도 평가

2. <별표 2의2>의 항목을 포함한 클라우드컴퓨팅서비스 제공자의 건전성 및 안전성 등 평가

3. <별표 2의3>에서 정하는 사항을 반영한 자체 업무 위수탁 운영기준의 마련 및 준수

② 금융회사 또는 전자금융업자는 제1항에 따른 평가결과 및 자체 업무 위수탁 운영기준에 대하여 제8조의2에 따른 정보보호위원회의 심의·의결을 거쳐야 한다.

③ 금융회사 또는 전자금융업자는 제1항제1호에 따라 다음 각 호의 어느 하나에 해당한다고 평가하는 경우에는 클라우드컴퓨팅서비스를 실제로 이용하려는 날의 7영업일 이전에 금융감독원장이 정하는 양식에 따라 제4항 각 호의 서류를 첨부하여 금융감독원장에게 보고하여야 한다. 이 경우 「금융회사의 정보처리 업무 위탁에 관한 규정」 제7조 제1항부터 제3항까지의 규정에 따라 보고한 것으로 본다.

1. 고유식별정보 또는 개인신용정보를 처리하는 경우

2. 전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미치는 경우

④ 제3항에 따라 금융감독원장에게 보고할 경우 첨부해야 하는 서류는 다음 각 호와 같다.

1. 「금융회사의 정보처리 업무 위탁에 관한 규정」 제7조제1항 각 호에 관한 서류

2. 제1항제1호에 따른 자체 중요도 평가 기준 및 결과

3. 클라우드컴퓨팅서비스 이용 관련 업무 연속성 계획 및 안전성 확보조치에 관한 사항

4. 제2항에 따른 정보보호위원회 심의·의결 결과

⑤ 클라우드컴퓨팅서비스를 이용하는 금융회사 또는 전자금융업자는 제3항에 따른 보고의무와 관계없이 제4항 각호에 따른 서류를 최신상태로 유지하여야 하며, 금융감독원장의 요청이 있을 경우 이를 지체 없이 제공하여야 한다.

⑥ 금융회사 또는 전자금융업자는 다음 각 호의 어느 하나에 해당하는 변경사항이 발생한 날로부터 7영업일 이내에 발생 사유, 관련 자료 및 대응계획을 첨부하여 금융감독원장에게 보고하여야 한다.

1. 클라우드컴퓨팅서비스 제공자의 합병, 분할, 계약상 지위의 양도, 재위탁 등의 사유로 클라우드컴퓨팅서비스 이용계약에 중대한 변경사항이 발생한 경우

2. 클라우드컴퓨팅서비스 제공자가 서비스품질의 유지, 안전성 확보 등과 관련한 중요 계약사항을 이행하지 아니한 경우

3. 제4항제2호 또는 제3호에 관한 중대한 변경사항이 발생한 경우

⑦ 금융감독원장은 제3항 또는 제6항에 따라 제출한 보고 서류가 누락되거나, 중요도 평가 또는 업무연속성계획·안전성 확보조치 등이 충분하지 않다고 판단하는 경우에는 금융회사 또는 전자금융업자에 대하여 개선·보완을 요구할 수 있다.

⑧ 제2항의 절차를 거친 클라우드컴퓨팅서비스 제공자의 정보처리시스템이 위치한 전산실에 대해서는 제11조제11호 및 제12호, 제15조제1항제5호를 적용하지 아니한다. 다만, 금융회사 또는 전자금융업자(전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미치지 않는 외국금융회사의 국내지점, 제50조의2에 따른 국외 사이버몰을 위한 전자지급결제대행업자는 제외한다)가 제3항제1호에 따른 고유식별정보 또는 개인신용정보를 클라우드컴퓨팅서비스를 통하여 처리하는 경우에는 제11조제12호를 적용하고, 해당 정보처리시스템을 국내에 설치하여야 한다.

⑨ 그 밖에 금융회사 또는 전자금융업자의 클라우드컴퓨팅서비스 이용에 대해서는 「금융회사의 정보처리 업무 위탁에 관한 규정」에 따른다.

3. 관련 용어

가. 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률

제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다.

1. “클라우드컴퓨팅”(Cloud Computing)이란 집적･공유된 정보통신기기, 정보통신설비, 소프트웨어 등 정보통신자원(이하 “정보통신자원”이라 한다)을 이용자의 요구나 수요 변화에 따라 정보통신망을 통하여 신축적으로 이용할 수 있도록 하는 정보처리체계를 말한다.

2. “클라우드컴퓨팅기술”이란 클라우드컴퓨팅의 구축 및 이용에 관한 정보통신기술로서 가상화 기술, 분산처리 기술 등 대통령령으로 정하는 것을 말한다.

3. “클라우드컴퓨팅서비스”란 클라우드컴퓨팅을 활용하여 상용(商用)으로 타인에게 정보통신자원을 제공하는 서비스로서 대통령령으로 정하는 것을 말한다.

4. “이용자 정보”란 클라우드컴퓨팅서비스 이용자(이하 “이용자”라 한다)가 클라우드컴퓨팅서비스를 이용하여 클라우드컴퓨팅서비스를 제공하는 자(이하 “클라우드컴퓨팅서비스 제공자”라 한다)의 정보통신자원에 저장하는 정보(「국가정보화 기본법」 제3조제1호에 따른 정보를 말한다)로서 이용자가 소유 또는 관리하는 정보를 말한다.

나. 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 시행령

제2조(클라우드컴퓨팅기술) 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」(이하 “법”이라 한다) 제2조제2호에서 “대통령령으로 정하는 것”이란 다음 각 호의 어느 하나에 해당하는 기술을 말한다.

1. 집적･공유된 정보통신기기, 정보통신설비, 소프트웨어 등 정보통신자원(이하 “정보통신자원”이라 한다)을 가상으로 결합하거나 분할하여 사용하게 하는 기술

2. 대량의 정보를 복수의 정보통신자원으로 분산하여 처리하는 기술

3. 그 밖에 정보통신자원의 배치와 관리 등을 자동화하는 기술 등 클라우드컴퓨팅의 구축 및 이용에 관한 정보통신자원을 활용하는 기술

제3조(클라우드컴퓨팅서비스) 법 제2조제3호에서 “대통령령으로 정하는 것”이란 다음 각 호의 어느 하나에 해당하는 서비스를 말한다.

1. 서버, 저장장치, 네트워크 등을 제공하는 서비스

2. 응용프로그램 등 소프트웨어를 제공하는 서비스

3. 응용프로그램 등 소프트웨어의 개발･배포･운영･관리 등을 위한 환경을 제공하는 서비스

4. 그 밖에 제1호부터 제3호까지의 서비스를 둘 이상 복합하는 서비스

다. 감독규정

제2조(정의) 이 규정에서 사용하는 용어의 정의는 다음과 같다.

1. “전산실”이라 함은 전산장비, 통신 및 보안장비, 전산자료 보관 및 출력장비가 설치된 장소를 말한다.

2. “전산자료”라 함은 전산장비에 의해 입력･보관･출력되어 있는 자료를 말하며 그 자료가 입력･출력되어 있는 자기테이프, 디스크, 디스켓, 콤팩트디스크(CD) 등 보조기억매체를 포함한다.

3. “정보처리시스템”이라 함은 전자금융업무를 포함하여 정보기술부문에 사용되는 하드웨어(hardware)와 소프트웨어(software)를 말하며 관련 장비를 포함한다.

4. “정보기술부문”이라 함은 컴퓨터 등 정보처리능력을 가진 장치를 이용하여 정보를 수집･가공･저장･검색･송신 또는 수신을 행하는 금융회사 또는 전자금융업자의 업무, 인력, 시설 및 조직을 말한다.

5. “정보보호” 또는 “정보보안”이라 함은 컴퓨터 등 정보처리능력을 가진 장치를 이용하여 수집･가공･저장･검색･송신 또는 수신되는 정보의 유출･위변조･훼손 등을 방지하기 위하여 기술적･물리적･관리적 수단을 강구하는 일체의 행위를 말하며 사이버안전을 포함한다.

6. “정보보호시스템”이라 함은 정보처리시스템 내 정보를 유출･위변조･훼손하거나 정보처리시스템의 정상적인 서비스를 방해하는 행위로부터 정보 등을 보호하기 위한 장비 및 프로그램을 말한다.

7. “해킹”이라 함은 접근을 허가받지 아니하고 전자금융기반시설에 불법적으로 침투하거나 허가받지 아니한 권한을 불법적으로 갖는 행위 또는 전자금융기반시설을 공격하거나 해를 끼치는 행위를 말한다.

8. “컴퓨터악성코드”(이하 “악성코드”라 한다)라 함은 컴퓨터에서 이용자의 허락 없이 스스로를 복사하거나 변형한 뒤 정보유출, 시스템 파괴 등의 작업을 수행하여 이용자에게 피해를 주는 프로그램을 말한다.

9. “공개용 웹서버”라 함은 인터넷 이용자들이 웹페이지를 자유롭게 보고 웹서비스(월드 와이드웹을 이용한 서비스를 말한다)를 이용할 수 있게 해주는 프로그램이 실행되는 장치를 말한다.

10. “정보통신망”(이하 “통신망”이라 한다)이라 함은 유･무선, 광선 등 정보통신 수단에 의하여 부호･문자･음향･영상 등을 처리･저장 및 송･수신할 수 있는 정보통신 조직형태를 말한다.

정회목 변호사