안녕하십니까
SH보안감사 입니다.
금융위원회는 2026년 4월 20일부터 금융회사가 내부 업무망에서 클라우드 기반 응용소프트웨어(SaaS)를 활용할 수 있도록 하는 내용의 제도 개선 방안을 발표하였습니다.
[개요]
o 금융회사가 내부 업무망에서 클라우드 기반 응용소프트웨어(SaaS)를 활용할 수 있도록 망분리 규제 예외가 허용됩니다.
o 금융위원회는 금융회사가 일정 수준의 보안요건을 충족하는 경우, 내부 업무망에서 SaaS를 활용할 수 있도록 관련 규제를 개선하였습니다.
[개정안 배경]
o 그간 금융권은 망분리 규제에 따라 내부 업무망과 외부 통신망을 분리하여 운영해 왔으며, 이에 따라 클라우드 기반 SaaS 활용에 제약이 존재하였습니다.
o 그러나 최근 업무환경의 클라우드 전환이 확대되면서 문서작성, 협업, 인사관리 등 다양한 업무영역에서 SaaS 활용 필요성이 증가하고 있습니다.
o 이에 금융위원회는 금융회사의 업무 효율성 제고 및 디지털 전환 지원을 위해 내부 업무망에서의 SaaS 활용을 허용하는 방향으로 제도를 개선하였습니다.
[개정안 주요 내용]
o 내부 업무망에서 SaaS 활용 허용
금융회사는 내부 업무망에서 클라우드 기반 응용소프트웨어(SaaS)를 활용할 수 있습니다.
기존에는 망분리 규제로 인해 SaaS 활용이 제한적으로 가능하였으나, 이번 제도 개선을 통해 업무용 SaaS 활용 범위가 확대됩니다.
o 보안 및 내부통제 요건 유지
SaaS 활용 시에도 기존 전자금융감독규정 및 클라우드 이용 관련 규정에 따른 보안 및 내부통제 요건은 동일하게 적용됩니다.
금융회사는 외부 서비스 이용에 따른 리스크 관리 및 데이터 보호 체계를 유지하여야 하며, 클라우드 이용에 따른 안전성 확보조치를 준수해야 합니다.
[26. 4.20 '전자금융감독규정시행세칙 개정시행에 따른 금융분야 SaaS서비스 활용 시 고려사항 및 이용절차]
o SaaS서비스가 금융보안원의 CSP 안전성 대표평가를 받은 경우 혁신금융서비스 신청 제외
- 단, CSP 안전성 대표평가를 받지 않은 경우 혁신금융서비스 신청 필수
- SH보안감사에서 혁신금융서비스 신청서 작성 자문지원
o SaaS서비스가 개인신용정보, 고유식별정보 처리 시 망분리 적용예외 제외됨(필수적으로 망분리 해야 함)
o SaaS서비스에서 개인정보(이름, 연락처, 주소, Email 등) 처리 시 가명정보로 해야 하며, 혁신금융서비스 신청 필수
o 금융권 SaaS 서비스 망분리 적용예외에 따른 보안 이행절차(필수)
1단계 : SaaS서비스 자체 위험성 평가 (SH보안감사에서 지원)
2단계 : '전자금융감독규정시행세칙'제2조의3에 따른 '별표7 망분리 대체 정보보호 통제(SaaS보안 신설)' 준수 (SH보안감사에서 정보보호통제 평가 및 자문지원(CSP/MSP 협력자문)
3단계 : 정보보호위원회 의결
[첨부파일]
o 내부업무망 SaaS 망분리 예외 적용에 따른 보안 해설서