동해설서는전자금융감독규정및동규정시행세칙의내용을관련업무종사자가이해하기쉽게만든내용으로, 개별사안에따라행정관청의유권해석은본해설서내용과상이할수있음을알려드립니다.

Transcription

1

2 동해설서는전자금융감독규정및동규정시행세칙의내용을관련업무종사자가이해하기쉽게만든내용으로, 개별사안에따라행정관청의유권해석은본해설서내용과상이할수있음을알려드립니다.

3 머리말 전자금융감독규정해설 월각금융업법에서정하는 IT 및전자금융거래에대한감독 검사를위해제정하여운영해온금융기관전자금융업무감독규정및시행세칙이 월전자금융거래법의제정 시행으로법과시행령에위임한사항을반영하여전면개정됨으로써비로소일관된전자금융거래규제체계가마련되었고, 이용자보호및전자금융서비스의개선에도많은발전이있었습니다. 그렇지만그이후정보기술부문의급속한발전과핀테크등에의한새로운전자금융서비스의출현으로 IT 보안의중요성이더욱부각되는한편, 금융회사의기술과창의에의한혁신을저해하지않도록규제체계를개선할필요성이지속적으로제기되어왔습니다. 이에금융위원회와금융감독원은전자금융거래법시행이후지난 9년간수차례에걸쳐전자금융거래감독규정및시행세칙을개정해왔습니다. 예컨대, 2013년에는 IT부문의보안을근본적으로향상시키기위하여망분리요건을의무화한바있으며, 2015년에는자율보안체제정착을지원하고혁신을도모하고자금융감독원에의한사전보안성심의제도와공인인증서의무사용규제등을전면폐지한바있습니다. 이러한점을감안하여 2007년및 2009년에발간하였던전자금융감독규정해설서를그간개정된규정내용및개정취지등을반영하고전면보강하여다시발간하고자합니다. 아무쪼록금융회사, 전자금융업자및이용자여러분들의이해에도움이되기를바랍니다. 아울러바쁜업무중에도이책을집필한구원호팀장이하김동일 천윤정 노경록 최진영선임조사역그리고내용전반에대해의견을주신금융위원회전자금융과여러분들에게진심으로감사드립니다 년 5 월 금융감독원 IT 금융정보보호단선임국장

4 목차 1장 2장 3장 4장 주요내용 1. 연혁 8 2. 기본개념 9 총칙 1. 규정목적 용어의정의 전자금융보조업자 18 전자금융거래당사자의권리와의무 1. 확인에필요한구체적인거래내용 전자금융사고책임이행을위한보험등의가입에관한기준 추심이체출금동의의방법 정보보호최고책임자 (CISO) 의지정대상 26 전자금융거래의안전성확보및이용자보호 제 1 절통칙 전자금융거래종류별안전성기준 30 제 2 절인력, 조직및예산부문 인력, 조직및예산 정보보호위원회의운영 34 제 3 절시설부문 건물에관한사항 전원, 공조등설비에관한사항 전산실에관한사항 38 제 4 절정보기술부문 단말기보호대책 전산자료보호대책 정보처리시스템보호대책 비중요정보처리시스템의지정 해킹등방지대책 금융감독원

5 전자금융감독규정해설 _ 목차 6. 악성코드감염방지대책 홈페이지등공개용웹서버관리대책 IP 주소관리대책 70 제 5 절정보기술부문내부통제 정보기술부문계획서 정보보호교육 정보처리시스템구축및전자금융거래관련사업추진 정보처리시스템구축및전자금융거래관련계약 정보처리시스템감리 비상대책 비상대응훈련 정보처리시스템의성능관리 직무분리 전산원장통제 거래통제 프로그램통제 일괄작업에대한통제 암호프로그램및키관리통제 내부사용자비밀번호관리 이용자비밀번호관리 95 제 6 절전자금융업무 전자금융거래시준수사항 이용자유의사항공지 자체보안성심의 인증방법사용기준 전자금융기반시설의취약점분석 평가주기, 내용등 전자금융기반시설의취약점분석 평가전문기관의지정등 침해사고대응기관 정보보호최고책임자 (CISO) 의업무 금융위원회가정하는보관자료및거래기록등 전자지급수단의이용한도 약관교부방법및관련보고 121 Financial Supervisory Service - 5

6 전자금융감독규정해설 _ 목차 5 장 6 장 7 장 전자금융업의허가와등록및업무 1. 개요 허가대상업무및면제요건 124 제1절허가및등록의대상과절차 총발행잔액의산정방법등 허가등절차의구분 예비허가등 허가등 등록 기재가생략되는출자자의범위 130 제2절허가및등록의세부요건 인력및물적시설세부요건 국외사이버몰을위한전자지급결제대행업 재무건전성세부기준및계산방법 사업계획에관한요건 주요출자자에관한요건 허가및등록신청결격자 신청에따른등록말소및이용자보호조치 142 제3절전자금융업의업무 전자화폐발행업자의겸업가능업무 수수료및준수사항등의고지방법 143 전자금융업무의감독 1. 정보기술부문실태평가 외부주문등에대한기준 전자금융보조업자의자료제출 업무보고서 경영지도기준 적기시정조치 166 보칙 1. 정보기술부문및전자금융사고보고 금융감독원

7 전자금융감독규정 해설 1장 주요내용

8 전자금융감독규정해설 주요내용 1. 연혁 금융기관전자금융업무감독규정 ( 금융감독위원회공고제 호 ) 제정 금융기관전자금융업무감독규정및동시행세칙시행 전자금융감독규정 ( 금융감독위원회공고제 호 ) 전부개정 전자금융거래법 ( 법률제7929호, 제정 ) 시행 전자금융감독규정 ( 금융감독위원회공고제 호 ) 일부개정 전자금융감독규정 ( 금융감독위원회공고제 호 ) 일부개정 전자금융감독규정 ( 금융감독위원회공고제 호 ) 일부개정 전자금융감독규정 ( 금융위원회고시제 호 ) 일부개정 전자금융감독규정 ( 금융위원회고시제 호 ) 일부개정 전자금융감독규정 ( 금융위원회고시제 호 ) 타법개정 전자금융감독규정 ( 금융위원회고시제 호 ) 일부개정 전자금융감독규정 ( 금융위원회고시제 호 ) 전부개정 전자금융감독규정 ( 금융위원회고시제 호 ) 일부개정 전자금융감독규정 ( 금융위원회고시제 호 ) 일부개정 전자금융감독규정 ( 금융위원회고시제 호 ) 일부개정 전자금융감독규정 ( 금융위원회고시제 호 ) 일부개정 전자금융감독규정 ( 금융위원회고시제 호 ) 일부개정 전자금융감독규정 ( 금융위원회고시제 호 ) 일부개정 전자금융감독규정 ( 금융위원회고시제 호 ) 일부개정 전자금융감독규정 ( 금융위원회고시제 호 ) 일부개정 전자금융감독규정 ( 금융위원회고시제 호 ) 일부개정 8 - 금융감독원

9 2. 기본개념가. 전자금융거래의정의 전자금융거래법은전자금융거래를 이용자가전자금융업무 ( 금융회사또는전자금융업자가전자적장치를통하여금융상품및서비스를제공하는것 ) 를비대면의자동화된방식으로이용하는거래 로정의 ( 제2조제1호 ) 제 1 장 주요내용 관계법령 < 법 > 제2조 ( 정의 ) 이법에서사용하는용어의정의는다음과같다. 1. 전자금융거래 라함은금융회사또는전자금융업자가전자적장치를통하여금융상품및서비스를제공 ( 이하 전자금융업무 라한다.) 하고, 이용자가금융회사또는전자금융업자의종사자와직접대면하거나의사소통을하지아니하고자동화된방식으로이를이용하는거래를말한다. 나. 전자금융거래의개념요소 전자금융거래가성립하기위해서는 금융회사또는전자금융업자가전자적장치를통하여금융상품및서비스를제공 ( 전자금융업무 ) 하고 이용자가비대면의자동화된방식으로이를이용하여야함 전자금융업자 란전자화폐의발행및관리, 전자자금이체, 직불전자지급수단의발행및관리, 선불전자지급수단의발행및관리, 전자지급결제대행, 결제대금예치, 전자고지결제등의업무를행하고자금융위원회의허가를받거나금융위원회에등록을한사업자 ( 금융회사제외 ) 를말함 전자금융업무의형태 : 금융상품및금융서비스를 전자적장치 를통하여제공 전자적장치를 통하여제공 한다는의미 - 금융상품및서비스를전자적장치를통하여제공한다는것은이용자가비대면으로전자적장치를통하여금융상품및서비스에직접접근할수있게하는정도에이르러야함을의미 - 단순히전자적장치를금융회사또는전자금융업자의업무에활용하는것만으로는전자적장치를통한제공에해당되지않음 Financial Supervisory Service - 9

10 전자금융감독규정해설 - 예컨대이용자가금융회사종사자와대면하여자금이체지시를한경우에금융회사종사자가거래지시이행을위하여전자적장치를활용하는경우, 이를전자적장치를통한제공이라할수없음 관계법령 < 법 > 제2조 ( 정의 ) 이법에서사용하는용어의정의는다음과같다. 8. 전자적장치 라함은전자금융거래정보를전자적방법으로전송하거나처리하는데이용되는장치로서현금자동지급기, 자동입출금기, 지급용단말기, 컴퓨터, 전화기그밖에전자적방법으로정보를전송하거나처리하는장치를말한다. 전자금융업무의객체 : 금융상품및서비스 전자금융거래법은 금융기관 및 전자금융업자 만을정의하고 금융상품및서비스 개념에대해별도로정하고있지않음 금융상품및서비스 에대하여다음과같은견해가있을수있음 - 금융 의개념을중시하여금융기관또는전자금융업자가자금의융통과관계된상품또는서비스를제공하는경우에국한하는견해 ( 협의의개념 ) - 금융상품및서비스에대한정의를별도로하지않은점을감안, 금융상품및서비스 란금융기관또는전자금융업자가제공하는금융관련상품및서비스일반을의미한다고해석하는견해 ( 광의의개념 ) 전자금융업무의범위는전자금융거래의대중화, 다양화및이용자보호등을고려할때광의의개념으로보는것이타당함 - 따라서인터넷을통한신용정보, 자산보유또는거래내역조회서비스제공도전자금융업무에해당함 접근매체 접근매체는자동화기기, 전화기및컴퓨터등의전자적장치를이용하기위한수단이며, 전자적장치를통하여전자금융거래에이용되는경우접근매체의효력이발생됨 - 예컨대이용자가예금통장 ( 뒷면의 Magnetic Stripe) 을이용하여자동화기기에서출금을한경우예금통장은접근매체로간주됨 10 - 금융감독원

11 - 하지만이용자와금융회사 ( 또는전자금융업자 ) 간전자금융거래계약이체결되지않아전자적장치를통해거래를할수없는예금통장의경우접근매체에해당하지않음 ( 대법원 선고 2010도2940 판결참조 ) 관계법령 < 법 > 제2조 ( 정의 ) 이법에서사용하는용어의정의는다음과같다. 10. 접근매체 라함은전자금융거래에있어서거래지시를하거나이용자및거래내용의진실성과정확성을확보하기위하여사용되는다음각목의어느하나에해당하는수단또는정보를말한다. 가. 전자식카드및이에준하는전자적정보나. 전자서명법 제2조제4호의전자서명생성정보및같은조제7호의인증서다. 금융회사또는전자금융업자에등록된이용자번호라. 이용자의생체정보마. 가목또는나목의수단이나정보를사용하는데필요한비밀번호 제 1 장 주요내용 비대면성 금융기관또는전자금융업자의종사자와직접대면하거나의사소통을하지아니하는것 - 이러한비대면성은전자금융거래의준비단계에서는요구되지않지만, 거래단계에서는거래지시단계및거래처리단계에서모두필요함 - 따라서비대면성의판단은거래지시의시점을기준으로하여야하며, 준비단계에서금융기관또는전자금융업자의종사자와대면했다는사실은전자금융거래의비대면성판단에영향을미치지않음 자동화된방식 전자금융거래는이용자가전자금융업무를자동화된방식으로이용하는거래임 - 전자적장치를통하여제공되는전자금융업무를금융기관또는전자금융업자의종사자와대면하거나의사소통을하지아니하고이용하는경우, 대체로자동화된방식의이용이될것임 - 이러한 자동성 의요건도비대면성요건과마찬가지로전자금융거래의준비단계에서는요구되지아니하며, 거래단계에서는거래지시단계와거래처리단계전반에걸쳐요구된다고할것임 Financial Supervisory Service - 11

12 전자금융감독규정해설 - 따라서단일한거래의거래지시는접근매체를통하여자동적으로이루어지나, 거래의완결과정에서인위적인판단이개입하는경우에는전자금융거래라할수 없음 1) 다. 적용대상 관계법령 < 법 > 제2조 ( 정의 ) 3. 금융회사 란다음각목의어느하나에해당하는기관이나단체또는사업자를말한다. 가. 금융위원회의설치등에관한법률 제38조제1호부터제5호까지, 제7호및제8호에해당하는기관나. 여신전문금융업법 에따른여신전문금융회사다. 우체국예금 보험에관한법률 에따른체신관서라. 새마을금고법 에따른새마을금고및새마을금고중앙회마. 그밖에법률의규정에따라금융업및금융관련업무를행하는기관이나단체또는사업자로서대통령령이정하는자 < 시행령 > 제2조 ( 금융회사의범위 ) 전자금융거래법 ( 이하 법 이라한다 ) 제2조제3호마목에서 대통령령이정하는자 라함은다음각호의어느하나에해당하는자를말한다. 1. 한국산업은행법 에따른한국산업은행 2. 중소기업은행법 에따른중소기업은행 3. 한국수출입은행법 에따른한국수출입은행 4. 산림조합법 에따른조합과그중앙회의신용사업부문 5. 농업협동조합법 에따른조합 6. 수산업협동조합법 에따른조합 7. 자본시장과금융투자업에관한법률 에따른거래소 8. 자본시장과금융투자업에관한법률 에따른한국예탁결제원 9. 금융지주회사법 에따른금융지주회사와 금융지주회사법시행령 제2조제2항제1호에해당하는회사 10. 보험업법 에따른보험협회와보험요율산출기관 11. 화재로인한재해보상과보험가입에관한법률 에따른한국화재보험협회 12. 자본시장과금융투자업에관한법률 에따른한국금융투자협회 14. 신용정보의이용및보호에관한법률 에따른신용정보회사와종합신용정보집중기관 15. 금융회사부실자산등의효율적처리및한국자산관리공사의설립에관한법률 에따른한국자산관리공사 16. 한국주택금융공사법 에따른한국주택금융공사 17. 신용보증기금법 에따른신용보증기금 18. 기술신용보증기금법 에따른기술신용보증기금 19. 기술보증기금법 에따른기술보증기금 1) 예컨대인터넷을통한대출신청의경우, 전자적장치를통하여약관등으로정한요건심사가자동적으로이루어져대출이실행된다면, 대출 이라는독립된거래로서전자금융거래에해당하나, 단순히신청만을인터넷으로접수하고이에대한심사가별도로이루어진후에자금이체의방법으로대출이실행된다고하여도이를전자금융거래라할수없음 12 - 금융감독원

13 전자금융감독규정 해설 2장 총 칙

14 전자금융감독규정해설 총칙 1. 규정목적 < 감독규정 > 제1조 ( 목적 ) 이규정은 전자금융거래법 ( 이하 법 이라한다 ) 및동법시행령 ( 이하 시행령 이라한다 ) 에서금융위원회에위임한사항과그시행에필요한사항및다른법령에따라금융감독원의검사를받는기관의정보기술부문안전성확보등을위하여필요한사항을규정함을목적으로한다. < 시행세칙 > 제1조 ( 목적 ) 이세칙은 전자금융거래법 ( 이하 법 이라한다 ) 및동법시행령 ( 이하 시행령 이라한다 ) 과 전자금융감독규정 ( 이하 규정 이라한다 ) 에서금융감독원장 ( 이하 감독원장 이라한다 ) 에게위임한사항과그시행에필요한사항을규정함을목적으로한다. 전자금융거래법 ( 이하 법 ) 및동법시행령 ( 이하 시행령 ) 제정에따라동법령에서위임되거나시행에필요한사항등을감독규정및시행세칙등으로정함 전자금융업자의전자금융업진입요건및안전한전자금융거래를위해필요한정보기술부문의안전성기준등을중심으로규정 전자금융감독규정은전자금융거래법및동법시행령에근거하였고, 금융위규정사항중중요한의사결정이요하지않는사항에대하여범위를설정하여감독원장에게위탁하였으며 ( 시행령제30조 ), 동사항에대해전자금융감독규정시행세칙으로규정 14 - 금융감독원

15 관계법령 < 시행령 > 제30조 ( 권한의위탁 ) 1 금융위원회는법제48조에따라다음각호의업무를금융감독원장에게위탁한다. 1. 법제21조제2항에따른인증방법에관한기준의설정 1의2. 법제21조제4항에따른정보기술부문에대한계획의접수 1의3. 법제21조의3제1항에따른취약점분석 평가결과의접수 1의4. 법제25조에따른약관의제정및변경보고의접수, 약관변경의권고 ( 이하생략 ) 2. 용어의정의 제 2 장 총 칙 < 감독규정 > 제2조 ( 정의 ) 이규정에서사용하는용어의정의는다음과같다. 1. 전산실 이라함은전산장비, 통신및보안장비, 전산자료보관및출력장비가설치된장소를말한다. 2. 전산자료 라함은전산장비에의해입력 보관 출력되어있는자료를말하며그자료가입력 출력되어있는자기테이프, 디스크, 디스켓, 콤팩트디스크 (CD) 등보조기억매체를포함한다. 3. 정보처리시스템 이라함은전자금융업무를포함하여정보기술부문에사용되는하드웨어 (hardware) 와소프트웨어 (software) 를말하며관련장비를포함한다. 4. 정보기술부문 이라함은컴퓨터등정보처리능력을가진장치를이용하여정보를수집 가공 저장 검색 송신또는수신을행하는금융회사또는전자금융업자의업무, 인력, 시설및조직을말한다. 5. 정보보호 또는 정보보안 이라함은컴퓨터등정보처리능력을가진장치를이용하여수집 가공 저장 검색 송신또는수신되는정보의유출 위변조 훼손등을방지하기위하여기술적 물리적 관리적수단을강구하는일체의행위를말하며사이버안전을포함한다. 6. 정보보호시스템 이라함은정보처리시스템내정보를유출 위변조 훼손하거나정보처리시스템의정상적인서비스를방해하는행위로부터정보등을보호하기위한장비및프로그램을말한다. 7. 해킹 이라함은접근을허가받지아니하고전자금융기반시설에불법적으로침투하거나허가받지아니한권한을불법적으로갖는행위또는전자금융기반시설을공격하거나해를끼치는행위를말한다. 8. 컴퓨터악성코드 ( 이하 악성코드 라한다 ) 라함은컴퓨터에서이용자의허락없이스스로를복사하거나변형한뒤정보유출, 시스템파괴등의작업을수행하여이용자에게피해를주는프로그램을말한다. 9. 공개용웹서버 라함은인터넷이용자들이웹페이지를자유롭게보고웹서비스 ( 월드와이드웹을이용한서비스를말한다 ) 를이용할수있게해주는프로그램이실행되는장치를말한다. 10. 정보통신망 ( 이하 통신망 이라한다 ) 이라함은유 무선, 광선등정보통신수단에의하여부호 문자 음향 영상등을처리 저장및송 수신할수있는정보통신조직형태를말한다. < 시행세칙 > 제2조 ( 정의 ) 이세칙에서별도로정하지아니한용어는법 시행령 규정에서정하는바에따른다. Financial Supervisory Service - 15

16 전자금융감독규정해설 전자금융거래법및시행령에서별도로정의하지않은용어에대해정의를규정 용어별해설 정보보호시스템 : 정보처리시스템내정보를유출 위변조 훼손하거나정보처리시스템의정상적인서비스를방해하는행위로부터정보등을보호하기위한장비및프로그램으로침입차단시스템 (Firewall), 가상사설망 (VPN:Virtual Private Network), 침입탐지시스템 (IDS: Intrusion Detection System), 침입방지시스템 (IPS: Intrusion Prevention System) 등이있음 컴퓨터악성코드 : 컴퓨터에서이용자의허락없이스스로를복사하거나변형한뒤정보유출, 시스템파괴등의작업을수행하여이용자에게피해를주는프로그램 공개용웹서버 : 인터넷이용자들이웹페이지를자유롭게보고웹서비스 ( 월드와이드웹을이용한서비스를말한다 ) 를이용할수있게해주는프로그램이실행되는장치 관계법령 < 시행령 > 제2조 ( 정의 ) 이법에서사용하는용어의정의는다음과같다. 1. 전자금융거래 라함은금융회사또는전자금융업자가전자적장치를통하여금융상품및서비스를제공 ( 이하 전자금융업무 라한다 ) 하고, 이용자가금융회사또는전자금융업자의종사자와직접대면하거나의사소통을하지아니하고자동화된방식으로이를이용하는거래를말한다. 2. 전자지급거래 라함은자금을주는자 ( 이하 지급인 이라한다 ) 가금융회사또는전자금융업자로하여금전자지급수단을이용하여자금을받는자 ( 이하 수취인 이라한다 ) 에게자금을이동하게하는전자금융거래를말한다. 3. 금융회사 란다음각목의어느하나에해당하는기관이나단체또는사업자를말한다. 가. 금융위원회의설치등에관한법률 제38조제1호부터제5호까지, 제7호및제8호에해당하는기관나. 여신전문금융업법 에따른여신전문금융회사다. 우체국예금 보험에관한법률 에따른체신관서라. 새마을금고법 에따른새마을금고및새마을금고중앙회마. 그밖에법률의규정에따라금융업및금융관련업무를행하는기관이나단체또는사업자로서대통령령이정하는자 4. 전자금융업자 라함은제28조의규정에따라허가를받거나등록을한자 ( 금융회사는제외한다 ) 를말한다. 5. 전자금융보조업자 라함은금융회사또는전자금융업자를위하여전자금융거래를보조하거나그일부를대행하는업무를행하는자또는결제중계시스템의운영자로서 금융위원회의설치등에관한법률 제3조에따른금융위원회 ( 이하 금융위원회 라한다 ) 가정하는자를말한다. 6. 결제중계시스템 이라함은금융회사와전자금융업자사이에전자금융거래정보를전달하여자금정산및결제에관한업무를수행하는금융정보처리운영체계를말한다 금융감독원

17 7. 이용자 라함은전자금융거래를위하여금융회사또는전자금융업자와체결한계약 ( 이하 전자금융거래계약 이라한다 ) 에따라전자금융거래를이용하는자를말한다. 8. 전자적장치 라함은전자금융거래정보를전자적방법으로전송하거나처리하는데이용되는장치로서현금자동지급기, 자동입출금기, 지급용단말기, 컴퓨터, 전화기그밖에전자적방법으로정보를전송하거나처리하는장치를말한다. 9. 전자문서 라함은 전자문서및전자거래기본법 제2조제1호에따른작성, 송신 수신또는저장된정보를말한다. 10. 접근매체 라함은전자금융거래에있어서거래지시를하거나이용자및거래내용의진실성과정확성을확보하기위하여사용되는다음각목의어느하나에해당하는수단또는정보를말한다. 가. 전자식카드및이에준하는전자적정보나. 전자서명법 제2조제4호의전자서명생성정보및같은조제7호의인증서다. 금융회사또는전자금융업자에등록된이용자번호라. 이용자의생체정보마. 가목또는나목의수단이나정보를사용하는데필요한비밀번호 11. 전자지급수단 이라함은전자자금이체, 직불전자지급수단, 선불전자지급수단, 전자화폐, 신용카드, 전자채권그밖에전자적방법에따른지급수단을말한다. 12. 전자자금이체 라함은지급인과수취인사이에자금을지급할목적으로금융회사또는전자금융업자에개설된계좌 ( 금융회사에연결된계좌에한한다. 이하같다 ) 에서다른계좌로전자적장치에의하여다음각목의어느하나에해당하는방법으로자금을이체하는것을말한다. 가. 금융회사또는전자금융업자에대한지급인의지급지시나. 금융회사또는전자금융업자에대한수취인의추심지시 ( 이하 추심이체 라한다 ) 13. 직불전자지급수단 이라함은이용자와가맹점간에전자적방법에따라금융회사의계좌에서자금을이체하는등의방법으로재화또는용역의제공과그대가의지급을동시에이행할수있도록금융회사또는전자금융업자가발행한증표 ( 자금을융통받을수있는증표를제외한다 ) 또는그증표에관한정보를말한다. 14. 선불전자지급수단 이라함은이전가능한금전적가치가전자적방법으로저장되어발행된증표또는그증표에관한정보로서다음각목의요건을모두갖춘것을말한다. 다만, 전자화폐를제외한다. 15. 전자화폐 라함은이전가능한금전적가치가전자적방법으로저장되어발행된증표또는그증표에관한정보로서다음각목의요건을모두갖춘것을말한다. 가. 대통령령이정하는기준이상의지역및가맹점에서이용될것나. 제14호가목의요건을충족할것다. 구입할수있는재화또는용역의범위가 5개이상으로서대통령령이정하는업종수이상일것라. 현금또는예금과동일한가치로교환되어발행될것마. 발행자에의하여현금또는예금으로교환이보장될것 16. 전자채권 이라함은다음각목의요건을갖춘전자문서에기재된채권자의금전채권을말한다. 가. 채무자가채권자를지정할것나. 전자채권에채무의내용이기재되어있을것다. 전자서명법 제2조제3호의공인전자서명이있을것라. 금융회사를거쳐제29조제1항의규정에따른전자채권관리기관 ( 이하 전자채권관리기관 이라한다 ) 에등록될것 제 2 장 총 칙 Financial Supervisory Service - 17

18 전자금융감독규정해설 마. 채무자가채권자에게가목내지다목의요건을모두갖춘전자문서를 전자문서및전자거래기본법 제6조제1항에따라송신하고채권자가이를같은법제6조제2항의규정에따라수신할것 17. 거래지시 라함은이용자가전자금융거래계약에따라금융회사또는전자금융업자에게전자금융거래의처리를지시하는것을말한다. 18. 오류 라함은이용자의고의또는과실없이전자금융거래가전자금융거래계약또는이용자의거래지시에따라이행되지아니한경우를말한다. 19. 전자지급결제대행 이라함은전자적방법으로재화의구입또는용역의이용에있어서지급결제정보를송신하거나수신하는것또는그대가의정산을대행하거나매개하는것을말한다. 20. 가맹점 이라함은금융회사또는전자금융업자와의계약에따라직불전자지급수단이나선불전자지급수단또는전자화폐에의한거래에있어서이용자에게재화또는용역을제공하는자로서금융회사또는전자금융업자가아닌자를말한다. 21. 전자금융기반시설 이란전자금융거래에이용되는정보처리시스템및 정보통신망이용촉진및정보보호등에관한법률 제2조제1항제1호에따른정보통신망을말한다. 22. 전자적침해행위 란해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스거부또는고출력전자기파등의방법으로전자금융기반시설을공격하는행위를말한다. 3. 전자금융보조업자 < 감독규정 > 제3조 ( 전자금융보조업자의범위 ) 법제2조제5호에서 금융위원회가정하는자 라함은다음각호의어느하나에해당하는자를말한다. 1. 정보처리시스템을통하여 여신전문금융업법 상신용카드업자의신용카드승인및결제그밖의자금정산에관한업무를지원하는사업자 2. 정보처리시스템을통하여은행업을영위하는자의자금인출업무, 환업무및그밖의업무를지원하는사업자 3. 전자금융업무와관련된정보처리시스템을해당금융회사또는전자금융업자를위하여운영하는사업자 4. 제1호부터제3호의사업자와제휴, 위탁또는외부주문 ( 이하 외부주문등 이라한다 ) 에관한계약을체결하고정보처리시스템을운영하는사업자 금융회사및전자금융업자와직접계약을체결하고관련된업무를수행하는사업자는전자금융보조업자로분류하여야하나 이들사업자와재위탁계약을체결한사업자들중전자금융거래와직접적인관련이없는단순콜센터, DM 발송업체등은제외 내부에상주하지않는콜센터, 쇼핑몰, 외부통신회선관리, IDC 등도전자금융보조업자의범위에포함되지않음 18 - 금융감독원

19 전자금융보조업자예시서비스형태 VAN사업자 ATM관리아웃소싱업체자금이체대행 PG 전자고지납부업체결제중계시스템운영자공동수탁기관 주요업체 KICC, KSNet, KMPS 등 NICE, 한네트, 웹캐시, 노틸러스효성등금융결제원등한국인터넷빌링, 금융결제원등금융결제원, 한국예탁결제원등 KOSCOM, 저축은행중앙회등 제 2 장 총 전자금융거래와관련하여전자금융보조업자의고의나과실로인한손해에대해서는금융회사또는전자금융업자가배상책임을가짐 ( 금융회사등은전자금융보조업자에대해구상가능 ) 칙 관계법령 < 법 > 제2조 ( 정의 ) 이법에서사용하는용어의정의는다음과같다. 5. 전자금융보조업자 라함은금융회사또는전자금융업자를위하여전자금융거래를보조하거나그일부를대행하는업무를행하는자또는결제중계시스템의운영자로서 금융위원회의설치등에관한법률 제3조에따른금융위원회 ( 이하 금융위원회 라한다 ) 가정하는자를말한다. < 법 > 제11조 ( 전자금융보조업자의지위 ) 1 전자금융거래와관련하여전자금융보조업자 ( 전자채권관리기관을포함한다. 이하이장에서같다 ) 의고의나과실은금융회사또는전자금융업자의고의나과실로본다. 2 금융회사또는전자금융업자는전자금융보조업자의고의나과실로인하여발생한손해에대하여이용자에게그손해를배상한경우에는그전자금융보조업자에게구상할수있다. 3이용자는금융회사또는전자금융업자와의약정에따라금융회사또는전자금융업자에게행하는각종통지를전자금융보조업자에게할수있다. 이경우전자금융보조업자에게한통지는금융회사또는전자금융업자에게한것으로본다. Financial Supervisory Service - 19

20

21 전자금융감독규정 해설 3장 전자금융거래 당사자의 권리와 의무

22 전자금융감독규정해설 전자금융거래당사자의권리와의무 1. 확인에필요한구체적인거래내용 < 감독규정 > 제4조 ( 확인에필요한구체적인거래내용 ) 시행령제7조제4항제6호에서 금융위원회가정하여고시하는사항 이란다음각호를말한다. 1. 법제8조에따른오류정정요구사실및처리결과에관한사항 2. 전자금융거래신청, 조건변경에관한내용 금융회사또는전자금융업자는이용자가자신의전자금융거래서비스에대한거래내용을전자적장치등을통해서확인할수있도록하여야함 전자금융거래내용에대한범위 - 전자금융거래의종류, 금액및전자금융거래의상대방에관한정보 - 전자금융거래의거래일시, 전자적장치의종류및전자적장치를식별할수있는정보등 - 이용자의오류정정요구사실및처리결과와전자금융거래신청및조건변경에관한내용도기록 보관하여야함 해설 전자금융거래확인에필요한시스템은법에서정해진요건대로반드시갖추어야함 많은경우장애나오류가발생하였음에도이를고객들에게알리지않거나, 법에서정해진내용이제공되지않을경우법적책임을지게되는경우가있으므로주의가요구됨 22 - 금융감독원

23 2. 전자금융사고책임이행을위한보험등의가입에관한기준 < 감독규정 > 제5조 ( 전자금융사고책임이행을위한보험등의가입에관한기준 ) 1 금융회사또는전자금융업자가법제9조제4항에따라전자금융사고책임이행을위한보험또는공제에가입하는경우보상한도는다음각호에서정하는금액이상이어야한다. 1. 금융위원회의설치등에관한법률 제38조제1호 ( 다만, 은행법 에의한지방금융회사및같은법제58조에의해인가를받은외국금융회사의국내지점은제외한다 ) 및제7호의회사, 전자금융거래법시행령 제2조제2호의회사 : 20억원 2. 금융위원회의설치등에관한법률 제38조제8호의회사, 전자금융거래법 제2조제3호나목( 신용카드업자에한한다 ) 및다목의회사, 전자금융거래법시행령 제2조제1호의회사, 은행법 에따른지방금융회사및같은법제58조에의해인가를받은외국금융회사의국내지점 : 10억원 3. 금융위원회의설치등에관한법률 제38조제2호 ( 다만, 명의개서대행업무를수행하는회사는제외 ) 의회사 : 5억원 4. 제1호부터제3호이외의금융회사 : 1억원. 다만, 제1호부터제3호이외의금융회사들이관련법령에의해당해금융회사를구성원으로하는금융회사를통해전자금융거래관련정보기술부문의주요부분을공동으로이용하는경우, 정보기술부문의주요부문을제공하는금융회사가공동이용금융회사전체의사고를보장하는내용으로제2호의금액 ( 시행령제2조제5호의금융회사는제1호의금액 ) 이상의보험또는공제에가입하면공동이용금융회사는본호의보험또는공제에가입한것으로본다. 5. 법제28조제2항제1호및제2호의전자금융업자 : 2억원 6. 법제28조제2항제4호의전자금융업자중제1호또는제2호에속하는금융회사가발급한신용카드, 직불카드등거래지시에사용되는접근매체의정보를저장하는전자금융업자 : 10억원 7. 제5호, 제6호이외의전자금융업자 : 1억원 2 금융회사또는전자금융업자가전자금융사고책임이행을위한준비금을적립하는경우에는제1항각호에서정한금액이상의금액을보유하고책임이행이신속히이루어질수있도록준비금관리및지급에관한내부절차를수립하여운영하여야한다. 3 금융회사또는전자금융업자가보험또는공제가입과준비금적립을병행하는경우보험또는공제의보상한도는제1항에서정한금액에서준비금적립액을차감한금액이상으로한다. 4 제1항부터제3항의규정은전자금융업무를취급하지않는금융회사에대하여는적용하지아니한다. 제 3 장 전자금융거래 당사자의 권리와 의무 전자금융거래서비스를제공하는금융회사및전자금융업자는보험 ( 공제 ) 또는준비금을적립해야함 금융회사및전자금융업자에대한보험금액은전자금융거래액및과거전자금융사고등을참고하여권역별로결정함 해설 전자금융업무를취급하지않는금융회사는보험등에가입할의무없음 Financial Supervisory Service - 23

24 전자금융감독규정해설 복수업종의전자금융업무를하는경우각해당보험금액을합산하여준비금적립또는보험가입 금융회사가보험대신준비금을적립할경우동사가적립해야할적립금액은보험금액과일치함 보험 ( 공제 ) 과준비금을병행하는경우에는각각의합이기준금액을충족하면가능 단위조합등이전자금융거래관련정보기술부문의주요부분을공동으로이용하여, 현행보험제도하에서공동이용금융회사전체의사고를보장하는내용으로책임보험에가입하는것은가능토록함 신용카드, 직불카드등거래지시에사용되는접근매체정보를저장하여전자지급결제대행업무를수행하는경우 10억원 ( 제1항제6호 ) 3. 추심이체출금동의의방법 < 감독규정 > 제6조 ( 추심이체출금동의의방법등 ) 1 시행령제10조제1호에서 금융위원회가정하여고시하는전자문서 라함은다음각전자문서을말한다. 1. 전자서명법 제2조제2호에따른전자서명으로다음각목의요건을구비된전자서명을한전자문서가. 전자서명을생성하기위하여이용하는전자적정보 ( 이하 전자서명생성정보 라함 ) 가본인에게유일하게속할것나. 전자서명당시본인이전자서명생성정보를지배 관리하고있을것다. 전자서명이있은후에당해전자서명에대한변경여부를확인할수있을것라. 전자서명이있은후에당해전자문서의변경여부를확인할수있을것 2. 전자서명법 제2조제2호에따른전자서명으로다음각목의요건을구비된전자서명을한전자문서가. 서명전실명증표를통해본인확인나. 전자문서가생성된이후서명자가지급인본인임을확인가능다. 전자서명및전자문서에대한위변조여부확인이가능라. 전자문서를고객에게전송한이후고객이취소할수있는충분한기간부여 3. 삭제 2 시행령제10조제1호및제2호에서 금융위원회가정하는방법 이라함은다음각호의방법을말한다. 1. 전화녹취 2. 음성응답시스템 (Audio Response System : ARS) 3 지급인 ( 출금계좌의실지명의인을포함한다 ) 이출금의동의를해지하는경우에도제1항및제2항의규정을준용한다 금융감독원

25 4 금융회사 전자금융업자또는수취인은제1항각호의출금동의의방법을운용함에있어다음각호의어느하나에해당하는사실을확인하여야한다. 1. 지급인과추심이체출금계좌실지명의인이동일인인사실 2. 지급인과추심이체출금계좌실지명의인이동일인이아닐경우에는지급인이당해계좌에서출금할수있는권한을보유하고있는사실 규정개정 ( ) 으로금융회사또는전자금융업자는기존공인인증서외해당기관에서발급하는사설인증서도일정요건을갖춘경우추심이체출금동의의방법으로인정 음성응답시스템 (ARS) 로추심이체출금동의를받는경우녹취하여관련자료를금융회사등에게전달하여야하는것이기존해석이었으나, 지급인의육성이포함되지않은경우본인확인이가능한 ARS 로그기록등을통해대체가능 법령해석 ( ) < 질의 > 국세징수법 등에따른과세관청의강제징수절차진행과관련하여금융회사가 전자금융거래법 제15조상추심이체에대한지급인의동의획득의무를지는지여부 < 회신 > 국세징수법 등에따른과세관청의강제징수절차진행에따라금융회사가채무자의압류자산을추심하는경우금융회사는 전자금융거래법 제15조상추심이체에대한지급인의동의를획득하지않아도됩니다. < 이유 > 과세관청의강제징수는 국세징수법 등에따른권한및절차에따른것으로 전자금융거래법 제3조상다른법률에특별한규정이있는경우에해당하여추심이체에대한지급인의동의없이과세관청의강제징수절차진행이가능합니다. 제 3 장 전자금융거래 당사자의 권리와 의무 법령해석 ( ) < 질의 > 납입기일이속한해당월에잔고가부족한경우납입기일이속한해당월의불특정일자에해당이체계좌 ( 지급인이기동의한계좌 ) 에서출금을하도록지급인으로부터서면으로동의를받는경우에이체일이후에지속적으로인출하는방식이가능한지여부 < 회신 > 약관, 청약서등을통해지급인으로부터보험료납입기일이후매영업일또는보험사가특정하는출금일에미납된금액을인출할수있다는내용의사전동의를받은경우에는최초납입기일이후출금이가능합니다. Financial Supervisory Service - 25

26 전자금융감독규정해설 < 이유 > 전자금융거래법 제15조에서는지정된방법에따라지급인의동의를받는경우추심이체를허용하고있으며, 잔고부족등의이유로추심이체가안된경우의재시도방법등에대해서는정의하고있지않습니다. 따라서약관또는청약서등에관련내용을기재하여지급인의동의를받은경우에는납입기일이후에출금이가능할것입니다. 또한, 신용카드사의경우에도지급인의동의를받아이용대금결제일이후에미결제된금액을인출하고있는바, 보험사와카드사를달리규정할특별한이유가없습니다. 비조치의견서 ( ) < 요청대상행위 > 대출고객이홈페이지나앱을통해원리금을선결제하는서비스 * 를운영할경우, 서비스신청단계에서고객대면확인이필요한지여부 * 대출고객이웰컴저축은행홈페이지또는앱에접속하여 ( 로그인필요 ) 대출원리금선결제신청서 ( 추심이체에대한동의내용포함 ) 작성및공인인증서인증을완료하면고객계좌에서신청금액만큼추심이체됨 < 판단 > 선결제서비스신청서에추심이체동의내용이포함되어있고, 신청서제출시공인인증서를통한인증 ( 전자서명 ) 을하였다면별도의대면확인절차는필요하지않습니다. < 판단이유 > 전자금융관련법규에서는추심이체동의방법으로공인전자서명 * 한전자문서, 녹취, ARS와같은비대면방법을인정하고있는바 ( 전자금융거래법시행령제10조및감독규정제6조 ) * 공인인증서에기초한전자서명 ( 전자서명법제2조제2호 ) ㅇ홈페이지또는앱을통한선결제서비스신청시에공인인증서인증절차를통해추심이체출금동의를받은경우별도의대면확인절차는필요하지않습니다. ㅇ IT검사매뉴얼중 전자금융신청단계의적정성 점검항목은동규정의내용과상충하지않도록개정 ( ) 되었으니이점참고하시기바랍니다. 4. 정보보호최고책임자 (CISO) 의지정대상 < 감독규정 > 제6조의2( 정보보호최고책임자의지정대상 ) 1 시행령제11조의3제1항후단에서 금융위원회가정하여고시하는상시종업원수의산정방식 이란 소득세법 에따른원천징수의무자가근로소득세를원천징수한자를말한다. 2 시행령 < 별표 1> 의제3호나목단서에서 금융위원회가정하여고시하는산정방식 이란 소득세법 에따른원천징수의무자가근로소득세를원천징수한자를말한다 금융감독원

27 금융회사또는전자금융업자는전자금융업무및그기반이되는정보기술부문보안을총괄하여책임질정보보호최고책임자 (CISO) 를지정하여야함 ( 법제21조의2) 전자금융업무를하지않는은행, 증권사, 보험회사, 신용카드사, 신용정보회사등은예외 ( 법제3조, 시행령제5조 ) 관계법령 < 법 > 제21조의2( 정보보호최고책임자지정 ) 1 금융회사또는전자금융업자는전자금융업무및그기반이되는정보기술부문보안을총괄하여책임질정보보호최고책임자를지정하여야한다. 2 총자산, 종업원수등을감안하여대통령령으로정하는금융회사또는전자금융업자는정보보호최고책임자를임원 ( 상법 제401조의2제1항제3호에따른자를포함한다 ) 으로지정하여야한다. 3 총자산, 종업원수등을감안하여대통령령으로정하는금융회사또는전자금융업자의정보보호최고책임자는제4항의업무외의다른정보기술부문업무를겸직할수없다. 4 제1항에따른정보보호최고책임자는다음각호의업무를수행한다. 1. 제21조제2항에따른전자금융거래의안정성확보및이용자보호를위한전략및계획의수립 2. 정보기술부문의보호 3. 정보기술부문의보안에필요한인력관리및예산편성 4. 전자금융거래의사고예방및조치 5. 그밖에전자금융거래의안정성확보를위하여대통령령으로정하는사항 5 정보보호최고책임자의자격요건등에필요한사항은대통령령으로정한다. 제 3 장 전자금융거래 당사자의 권리와 의무 Financial Supervisory Service - 27

28

29 전자금융감독규정 해설 4장 전자금융거래의 안전성 확보 및 이용자 보호

30 전자금융감독규정해설 전자금융거래의안전성확보및이용자보호 제 1 절 통칙 1. 전자금융거래종류별안전성기준 < 감독규정 > 제7조 ( 전자금융거래종류별안전성기준 ) 법제21조제2항의 금융위원회가정하는기준 이라함은다음각호의내용에관하여제8조부터제37조에서정하는기준을말한다. 1. 인력, 조직및예산부문 2. 건물, 설비, 전산실등시설부문 3. 단말기, 전산자료, 정보처리시스템및정보통신망등정보기술부문 4. 그밖에전자금융업무의안전성확보를위하여필요한사항 전자금융거래법제21 조제2 항에서규정한 금융위원회가정하는기준 에전자금융감독규정제8조 ~ 제37조가해당 관계법령 < 법 > 제21조 ( 안전성의확보의무 ) 1 금융회사 전자금융업자및전자금융보조업자 ( 이하 금융회사등 이라한다 ) 는전자금융거래가안전하게처리될수있도록선량한관리자로서의주의를다하여야한다. 2 금융회사등은전자금융거래의안전성과신뢰성을확보할수있도록전자적전송이나처리를위한인력, 시설, 전자적장치, 소요경비등의정보기술부문, 전자금융업무및 전자서명법 에의한인증서의사용등인증방법에관하여금융위원회가정하는기준을준수하여야한다. 3 금융위원회는제2항의기준을정할때특정기술또는서비스의사용을강제하여서는아니되며, 보안기술과인증기술의공정한경쟁이촉진되도록노력하여야한다 금융감독원

31 4 대통령령으로정하는금융회사및전자금융업자는안전한전자금융거래를위하여대통령령으로정하는바에따라정보기술부문에대한계획을매년수립하여대표자의확인 서명을받아금융위원회에제출하여야한다. 제 2 절 인력, 조직및예산부문 1. 인력, 조직및예산 < 감독규정 > 제8조 ( 인력, 조직및예산 ) 1 금융회사또는전자금융업자는인력및조직의운용에관하여다음각호의사항을준수하여야한다. 1. 정보처리시스템및전자금융업무관련전담조직을확보할것 2. 외부주문등에관한계약을체결하는때에는계약내용의적정성을검토하고자체적으로통제가가능하도록회사내부에조직과인력을갖출것 3. 전산인력의자질향상및예비요원양성을위한교육및연수프로그램을운영할것 4. 정보보호최고책임자는임직원이정보보안관련법규가준수되고있는지정기적으로점검하고그점검결과를최고경영자에게보고할것 5. 최고경영자는임직원이정보보안관련법규를위반할경우그제재에관한세부기준및절차를마련하여운영할것 2 금융회사또는전자금융업자는인력및예산에관하여다음각호의사항을준수하도록노력하여야한다. 1. 정보기술부문인력은총임직원수의 100분의 5 이상, 정보보호인력은정보기술부문인력의 100분의 5 이상이되도록할것 2. 정보보호예산을정보기술부문예산의 100분의 7 이상이되도록할것 3 제2항각호의사항을이행하지못하는금융회사또는전자금융업자는그사유및이용자보호에미치는영향등을설명한자료를해당금융회사또는전자금융업자가운영하는홈페이지등을통해매사업연도종료후 1개월이내에공시하여야한다. 다만, 허가, 등록또는인가를마친후 1년이지나지않은금융회사또는전자금융업자는공시하지아니할수있다. 4 제2항제1호의인력에관한기준은 < 별표 1> 과같으며, 제2항제2호의예산에관한기준은 < 별표 2> 와같다. 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 정보처리시스템및전자금융업무개발과운영업무를담당하는인력, 조직및예산을통제하고금융사고없이 ( 기밀성, 무결성, 가용성보장등 ) 전산시스템을운용하는데필요한인력, 조직및예산관리체계를마련 Financial Supervisory Service - 31

32 전자금융감독규정해설 해설 정보처리시스템및전자금융업무의안정적운영에필요한적정인력으로구성된전담조직을확보 ( 제1항제1호 ) 외부주문등에관한계약을체결하는금융회사또는전자금융업자는계약내용의적정성을검토할수있고외부주문업체에대한통제력을상실하지않고직접외부주문을통제할수있도록필요조직및인력을갖추고내부통제용시스템을별도구축 ( 제1항제 2호 ) 전산인력 ( 외부용역직원포함 ) 에대한개인경력개발계획및연간교육계획에의하여필요한교육및연수프로그램을마련하고내부승인절차를거쳐직무교육및연수가실시되어야하며교육연수의목적및수준은전산인력의업무특성이적절하게반영 ( 제1항제3호 ) - 고객데이터에직접접근할수있는권한이있는직원 ( 내부및외부주문업체직원포함 ) 에대하여는정보보호교육및윤리교육 - 제19조의2에서정한정보보호교육시간은최소한의기준 정보보호최고책임자는임직원의보안법규인식저하에의한사고를예방할수있도록정기적으로임직원의 IT보안법규준수여부를점검 ( 제1항제4호 ) 최고경영자는자체보안점검에따른위규사항발견시관련법규를위반한임직원에대해제재할수있는처벌기준을금융회사내규에마련하여시행 ( 제1항제5호 ) 정보기술부문인력 5%, 정보보호인력 5%, 정보보호예산 7% 의기준은최소한의기준이므로조직의현황과특성에맞도록인력과예산을확보하는것이필요 ( 제75조제2항참조 ) 정보보호예산에포함되는예산은별표 2에규정한바를준용하되건물경비, 전화 / FAX 등전자금융거래와관련되지아니한장비의구입, 운영등에소요되는비용은포함되지않음 인력및예산이권고기준에미충족하는금융회사등은그사유및이용자보호에미치는영향등을공시 ( 제3항 ), 등록 허가 인가로부터 1년이지나지않은신규금융회사및전자금융업자는공시하지않을수있음 32 - 금융감독원

33 인력및예산권고기준미충족사유등공시대상 ( 예시 ) - 제 3 항 일자신규등록한전자금융업자의경우 까지최대 2년간 * 공시의무가없으며, 을기준으로인력 조직 예산기준을미충족할경우 ~1.31. 기간중공시하여야함 * ~ : 등록 허가 인가로부터 1년이지나지않음 ~ : 사업연도가종료되지않음 인력비율산정방법 ( 예시 ) - 전자금융감독규정별표 1 참조 ⑴ 총임직원수 : 10,000 명 ⑵ 정보기술부문인력비율 : 5% [(500 명 /10,000 명 ) 100] 내부정보전산금융회사내부인력전산자회사등의인력금융회사인정정보기술기술부문자회사외주외주인력부문인력정규직계약직정규직계약직재하청인력인력인력⑹3 ⑼2 (7+8+9) (1) (2) ⑶ ⑷ 인력⑸ (7=1+2) (8=3+4)1 150명 50명 70명 * 30명 * 100명 600명 200명 100명 200명 500명 * 전산자회사등의인력중 70명과 30명부분은운영비용분담비율을반영한인력규모임 1 전산자회사등 * 의인력 (200 명 ) 중전산자회사의재하청인력 (100명 ) 을제외하고운영비용분담률에해당하는정보기술부문인력인정 * 1) 금융지주회사의 IT자회사 2) 금융회사또는금융회사의동일기업집단이지분을 50% 를초과하여소유하는 IT( 손 ) 자회사 3) 회원사의전자금융시스템운영을공동수탁하는기관 ( 코스콤, 저축은행중앙회, 신협중앙회등 ) 2 외주인력 (600명 ) 중내부IT인력 (200명 ) 을초과하는인력 (400명 ) 은제외하고내부IT인력 (200명 ) 범위내에서외주인력 (200명) 을정보기술부문인력으로인정 3 재하청인력은외주인력인정범위내에서인정하며위탁금융회사의하청인력을초과할수없음 ⑶ 정보보호인력비율 : 5% [(25명/500명) 100] 전산금융회사내부인력전산자회사등의인력금융회사내부정보인정정보보호자회사외주보호인력외주인력인력정규직계약직정규직계약직재하청인력인력⑹3 (7=1+2) ⑼2 (7+8+9) (1) (2) ⑶ ⑷ 인력⑸ (8=3+4)1 7명 3명 3명 2명 10명 30명 10명 5명 10명 25명 * 전산자회사등의인력중 3명과 2명부분은운영비용분담비율을반영한인력규모임 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 1 전산자회사등 * 의인력 (15명) 중전산자회사의재하청인력 (10명) 을제외하고운영비용분담률에해당하는정보보호인력인정 * 1) 금융지주회사의 IT자회사 2) 금융회사또는금융회사의동일기업집단이지분을 50% 를초과하여소유하는 IT( 손 ) 자회사 Financial Supervisory Service - 33

34 전자금융감독규정해설 3) 회원사의전자금융시스템운영을공동수탁하는기관 ( 코스콤, 저축은행중앙회, 신협중앙회등 ) 2 외주인력 (30명) 중내부정보보호인력 (10명) 을초과하는인력 (20명) 은제외하고내부정보보호인력 (10명) 범위내에서외주인력 (10명) 을정보보호인력으로인정 3 재하청인력은외주인력인정범위내에서인정하며위탁금융회사의하청인력을초과할수없음 2. 정보보호위원회의운영 < 감독규정 > 제8조의2( 정보보호위원회운영 ) 1 금융회사또는전자금융업자는중요정보보호에관한사항을심의 의결하는정보보호위원회를설치운영하여야한다. 2 정보보호위원회의장은정보보호최고책임자로하며, 위원은정보보호업무관련부서장, 전산운영및개발관련부서장, 준법업무관련부서의장등으로구성한다. 3 정보보호위원회는다음각호의사항을심의 의결한다. 1. 법제21조제4항에따른정보기술부문계획서에관한사항 2. 법제21조의2제4항제1호에관한사항 3. 법제21조의3에서정한취약점분석 평가결과및보완조치의이행계획에관한사항 4. 전산보안사고및전산보안관련규정위반자의처리에관한사항 5. 기타정보보호위원회의장이정보보안업무수행에필요하다고정한사항 4 정보보호최고책임자는정보보호위원회심의 의결사항을최고경영자에게보고하여야한다. 5 최고경영자는특별한사정이없는한정보보호위원회의심의 의결사항을준수하여야한다. 정보보호위원회는정보보호와관련된정책, 사업, 징계등정보보호와관련된중요한결정을수행하는조직임. 동위원회의결과에대하여최고경영자는준수하여야함으로의사결정에신중함이요구됨 해설 정보보호위원회는 IT업무추진위원회와구분되어야하며구성원도정보보호업무수행부서와업무의개발운영부서, 검사부 ( 준법감시조직 ) 등관련부서의장이참여하는것이필요 또한 IT부문전반에관한계획서도심의 의결 ( 제3항제1호 ) 34 - 금융감독원

35 제 3 절 시설부문 1. 건물에관한사항 < 감독규정 > 제9조 ( 건물에관한사항 ) 금융회사또는전자금융업자는전산실이위치한건물에관하여다음각호의사항을준수하여야한다. 1. 건물출입구는경비원에의하여통제하고출입통제보안대책을수립 운용할것 2. 비상시대피를위한비상계단및정전대비유도등을설치할것 3. 번개, 과전류등고전압으로인한전산장비및통신장비등의피해예방을위하여피뢰설비를갖출것 4. 서버, 스토리지 (Storage) 등전산장비및통신장비등의중량을감안한적재하중안전대책을수립 운용할것 5. 화재발생시조기진압을위한소화기및자동소화설비등을갖추고, 화재전파방지를위한배연설비설치등화재예방안전대책을수립 운용할것 6. 화재발생위험이높은지역, 상습침수지역및진동피해발생지역등외부환경에의하여전산장비등이영향을받을수있는지역은제외할것 자연재해, 인적재해등의내 외부충격으로부터전산실을보호하기위한대책마련 해설 출입을신청한내 외부직원이전산센터내의데이터및시설에업무상접근이필요한직원인지확인, 이들직원이출입허가를받고출입할수있는절차를마련및외부직원이출입할경우에는내부직원이동반 ( 제1호 ) - 출입허가자명단을관리하고내 외부직원의출입기록은철저히관리되어야하며보안관리자가정기적으로점검. 특히자동판매기관리, 청소용역원등에대한직접또는간접인력관리 - 외부인이쉽게접근할수있는경로가있는지, 물리적차폐시설이나불법접근을확인할수있는공간이있는지점검 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 비상사태발생시전산실상주직원들이안전하게대피할수있도록전산센터의각통로에는비상구표시가있어야하며비상계단및정전대비유도등을설치 ( 제2호 ) Financial Supervisory Service - 35

36 전자금융감독규정해설 번개, 과전류등으로부터전산장비, 통신장비, 통신회선등의피해를예방하기위하여 건축법및건축물의설비기준등에관한규칙 제20조 ( 피뢰설비 ) 를준용하여피뢰설비를설치 ( 제3호 ) 전산센터의적재하중에대한안전대책을수립할경우에는 건축물의구조기준등에관한규칙 ( 국토교통부령제260호 ) 또는 집적정보통신시설보호지침 ( 미래창조과학부고시제 호 ) 을참조하며, 적재하중이큰 UPS 등은지하층에분산배치하여적재물의하중과다로인하여전산센터에피해가발생하지않도록조치 ( 제4호 ) 전산실구축시에는건물설계서, 소방안전진단서검토및면담을통해내화자재를사용하였는지, 소화설비를갖추고있는건물인지, 건물하중에적절한구조로이루어졌는지, 노후화또는구조변경으로인한이상이없는지확인하고있다면적절하게대처 ( 제5호 ) - 화재시확산방지및대피를위해인접건물과충분한간격을확보하거나화재방화벽을설치하여화재발생시에도피해가최소화되도록전산실을관리 - 건물의규모및소방대상물의규모 용도및수용인원등을고려하여소화기및자동소화설비, 배연설비등의소방시설을설치및유지하여야하며, 이를위해 화재예방, 소방시설설치 유지및안전관리에관한법률 등소방관련법을준수 화재, 진동, 먼지, 유독가스, 염분, 홍수, 누수, 침수등의위험이높은곳은재해로인하여전산센터가동에영향을미칠수있으므로상기위험이있는장소에는전산센터구축금지 ( 제6호 ) 2. 전원, 공조등설비에관한사항 < 감독규정 > 제10조 ( 전원, 공조등설비에관한사항 ) 금융회사또는전자금융업자는전산실이위치한건물의전원, 공조등설비에관하여다음각호의사항을준수하여야한다. 1. 전원실, 공조실등주요설비시설에자물쇠등출입통제장치를설치할것 2. 전원, 공조, 방재및방범설비에대한적절한감시제어시스템을갖출것 3. 전산실의전력공급중단에대비하여자가발전설비를갖출것 4. 전력공급장애시전력선대체가가능하도록복수회선을설치하고전력공급의연속성유지를위한무정전전원장치 (Uninterruptible Power Supply : UPS) 를갖출것 5. 과전류, 누전에의한장애방지를위하여과전류차단기, 누전경보기등을설치하고일정한전압및주파수유지를위한정전압정주파수장치 (Constant Voltage Constant Frequency : CVCF) 를갖출것 36 - 금융감독원

37 6. 전산실에공급되는전원및공조설비는부하가큰설비부분과분리하여설치하고공조설비상태점검을위한압력계, 온도계등을갖출것 7. 전산실에 24시간동안적정한온도및습도를유지하기위해서자동제어항온 항습기를갖출것 주요정보가저장되어있는전산실에대한출입통제및정보처리시스템의운영연속성을보장하기위하여부대설비를운영하여자연재해, 기술적재해등비상사태발생에대비한예방책마련 해설 전원실, 공조실, 통신실등은외부인또는비인가자의출입을통제할수있도록통제구역으로설정하여 출입통제지역 임을표시하고, 자물쇠, 출입카드, 지문인식기등의출입통제장비구비 ( 제1호 ) 전원, 공조, 방재및방범등의설비에대한상시감시를위하여기기별작동상황및사고발생여부를실시간으로파악할수있는중앙감시시설및 CCTV, 실시간경보장치등을구축 운영 ( 제2호 ) 외부전력공급장애에대비하여충분한용량의전원공급이가능하고추가적인연료보충없이도전력을공급할수있는 ( 예시 : 2시간이상 ) 자가발전설비구비 ( 전산실이자체건물이아닌경우에는입주사제공가능 )( 제3호 ) 전산실의외부전력공급중단, 순간정전에대비하여전력선을이중화하고무정전전원장치 (UPS) 를갖추어야함. ( 예시 : UPS는정보시스템의 3개월간의평균순간사용전력의 130% 에해당하는전력을최소 20분이상공급할수있는용량을확보하고, UPS 상호백업이가능하도록동일한용량을사용 - 집적정보통신시설보호지침 ) ( 제4호 ) 안정적인전원공급을위하여과전압, 누전, 전압변동, 주파수변동등으로인한전원이상을방지하는과전류차단기, 누전경보기, 정전압안정주파수 (CVCF:Constant Voltage Constant Frequency) 등의장비구비 ( 제5호 ) 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 전산실에안정적인전원공급을위하여전원설비는전산장비의부하가큰설비부분과분리하여운영하고, 공조설비에대한정기적인상태점검을위하여각종계측장치를설치하여점검실시 ( 제6호 ) Financial Supervisory Service - 37

38 전자금융감독규정해설 전산기기는온도와습도에매우예민하게반응하므로항상최적의운영환경을유지할수있도록전산기기가설치된장소는 24시간동안적정한온도와습도를유지하기위해서자동제어항온항습기운영 ( 제7호 ) 법령해석 ( ) < 질의 > 전력선복수회선구간범위에대해서아래와같이질의하셨습니다. ㅇ일반건물내층간복수전력선운영은전문데이터센터건물이아니면분전반, 관련장비설치공간등구조적인이유로층간전력선이중화구축에어려움이있는바, 건물유입전력선, 건물내층간전력선, 전산실내전력선구간전체에대하여복수회선을설치해야하는지여부 ( 관련규정 ) 전자금융감독규정 제10조제 4호 : 전력공급장애시전력선대체가가능하도록복수회선을설치하고전력공급의연속성유지를위한무정전전원장치 (Uninterruptible Power Supply: UPS) 를갖출것 < 회신 > 전자금융감독규정 제10조제4호는전산실이위치한건물의전원에관한준수사항으로서, 동전산실에전력공급상장애가발생할시에도금융거래의연속성을보장하고자하는것입니다. 따라서전산실이위치한건물의인입전력선이이중화되어야전력공급장애로인한서비스중단을방지할수있으며, 이에따라건물은물론전산실까지복수의전력선을갖추어야합니다. < 이유 > 갑작스런전력공급장애에대비하고전산실내에위치한정보처리시스템의안정적인운용을위해서는전산실내의전력공급이중화가필요하며, 이를위해서는건물외부에서인입되는단계부터복수의전력회선을갖추어야합니다. 3. 전산실등에관한사항 < 감독규정 > 제11조 ( 전산실등에관한사항 ) 금융회사또는전자금융업자는전산실에관하여다음각호의사항을준수하여야한다. 1. 화재 수해등의재해및외부위해 ( 危害 ) 방지대책을수립 운용할것 2. 상시출입문은한곳으로정하며상시출입은업무와직접관련이있는사전등록자에한하여허용하고, 그밖의출입자에대하여는책임자의승인을받아출입하도록하며출입자관리기록부를기록 보관할것 3. 상시출입이허용된자이외의출입자의출입사항에대하여는전산실의규모및설치장소등을감안하여무인감시카메라또는출입자동기록시스템설치등적절한조치를취하여사후확인이가능하도록할것 4. 출입문은이중안전장치로보호하며외벽이유리인경우유리창문을통하여접근할수없도록조치할것 5. 천정 바닥 벽의침수로인한정보처리시스템의장애가발생하지않도록외벽과전산장비와의거리를충분히유지하고이중바닥설치등방안을강구할것 38 - 금융감독원

39 6. 적정수준의온도 습도를유지하기위하여온도 습도자료자동기록장치및경보장치설치등적절한조치를취할것 7. 케이블이안전하게유지되도록전용통로관설치등적절한보호조치를강구할것 8. 정전에대비하여조명설비및휴대용손전등을비치할것 9. 집적정보통신시설 (Internet Data Center : IDC) 등과같이다수의기관이공동으로이용하는장소에정보처리시스템을설치하는경우에는미승인자가접근하지못하도록적절한접근통제대책을마련할것 10. 다음각목의중요시설및지역을보호구역으로설정관리할것가. 전산센터및재해복구센터나. 전산자료보관실다. 정보보호시스템설치장소라. 그밖에보안관리가필요하다고인정되는정보처리시스템설치장소 11. 국내에본점을둔금융회사의전산실및재해복구센터는국내에설치할것 12. 무선통신망을설치하지아니할것 정보처리시스템에대한물리적보호를위하여화재, 수해등의재해발생시업무의연속성을확보하기위한재해복구시설구축과비인가자에의한정보처리시스템의접근을방지하기위한전산실보호대책마련 해설 위해방지대책은화재, 수해, 지진등의자연재해, H/W S/W의장애, 운용요원의고의또는실수, 사이버테러또는해킹등으로인하여전산실의기능이마비되는것을방지하기위한대책으로다음의사항을포함하여실현가능한대책수립 ( 제1호 ) - 화재등의재해방지를위한설비구축및점검절차 예시1 화재진압시설의경우컴퓨터실내부와외부에서작동이가능토록하여비상시대응이용이하도록함 예시2 수해방지를위하여전산실의지하층설치금지, 전산실천장수도관설치금지등 예시3 화재진압용시설은인원사상이되지않는재료를사용하여야하며정기적으로점검을실시하여유사시미작동으로인한피해를방지등 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 - 비상시연락체계구축 ( 내부, 외부 ) - 화재등의비상사태발생시대응절차수립 예시 반출자료, 반출우선순위, 반출자, 화재진압등에대하여사전정의 Financial Supervisory Service - 39

40 전자금융감독규정해설 - 훈련계획및훈련실시 ( 대상, 주기등 ) 사례 A금융회사옥상에위치한냉각탑이동파되어유출된물이건물외벽을타고전산실로유입되어전산실바닥이침수로인하여전산시스템의작동이중단됨 사례 B금융회사에서전산실천정을통과하는수도관의수압테스트를실시하던중상수관이파괴되어서버가침수되어마비되는사고발생 전산실의출입통제를위하여다음사항을포함한대책수립 ( 제2호내지제4호 ) - 상시출입이필요한직원은최소화하고불필요한직원이상시출입인가를받지않도록주의 예시 부서장, 시스템프로그래머등 IT 보안담당자의대부분이등록된사례가많으므로등록을제한하도록주의가필요 - 전산실상시출입문은여러곳이아닌한곳으로정하여비인가자에대한철저한전산실출입통제. 전산실출입문은 2중안전장치를설치하여외력으로침입할수없도록통제 ( 제4호 ) 예시 전산부서를통해전산실에출입하는경우전산부서출입문, 전산실출입문을이중으로통과 - 소방법등에따라출입문이외에비상구를설치할경우출입구는 2개로설치하되상시출입을하나로하는것이필요 - 또한서버룸은 OP룸, 통신룸, 유지보수직원룸등과완전분리하도록조치. Access Floor 밑을통한서버룸접근을차단 - 출입자관리기록부기록및기록내용확인철저. 특히, 유지보수업체직원에대한출입기록철저 - 출입자동기록시스템설치 ( 예시 ) 물리적보안대책이필요한전산실 - 주전산기, 서버, 광단국장비가위치한장소 - 시스템및네트워크를모니터링또는통제할수있는장소 - 데이터저장매체보관장소 - 통신회선분배장치 (MDF/IDF) 가위치한장소등 40 - 금융감독원

41 전산실의천정, 바닥, 벽등을통하여침수가발생하는경우정보처리시스템의장애또는고장의원인이되므로전산장비는외벽과일정한거리를두고설치하고, 바닥을이중으로구성하는등누수시에도전산시스템, 통신및전원케이블에영향을최소화하도록조치 ( 제5호 ) 정보처리시스템은온도와습도에매우예민하게반응하므로항상최적의운영환경을유지할수있도록온 습도자동기록장치및고온, 고습, 저온및저습시자동으로알려주는경보시스템을구축하여최적의운영환경유지 ( 제6호 ) 작업자의실수등에의하여전원케이블, 통신케이블의손상을방지하고전산실바닥침수시에도피해를최소화시키기위하여전용통로관 ( 바닥에서일정한높이에설치 ) 을설치하는등보호조치마련 ( 제7호 ) 전산실의정전시에도업무수행이나대피가용이하도록자동조명설비또는휴대용손전등비치 ( 제8호 ) 집적정보통신시설, 계열사공동전산센터등과같이다수의기관이공동으로이용하는장소에정보처리시스템을설치하는경우각정보처리시스템에대하여물리적 논리적접근통제가모두가능하며추가적으로미승인자가접근하지못하도록철저한관리가필요 ( 예시 ) 정보처리시스템구성상불가피하게공동으로이용하는농협단위조합, 상호저축은행중앙회, 코스콤과같이보안성심의를완료한경우에는공동이용허용 국내에본점을둔금융회사의전산실및재해복구센터는국내에설치해야하며, 전산실및정보처리시스템에대한물리적 논리적통제체계를구축하고비상사태발생에대비한복구훈련실시등국내법규및규정준수 ( 제11호 ) 전산실내무선통신망의설치금지 ( 제12호 ) 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 Financial Supervisory Service - 41

42 전자금융감독규정해설 제 4 절 정보기술부문 1. 단말기보호대책 < 감독규정 > 제12조 ( 단말기보호대책 ) 금융회사또는전자금융업자는단말기보호를위하여다음각호의사항을준수하여야한다. 1. 업무담당자이외의사람이단말기를무단으로조작하지못하도록조치할것 2. 정보처리시스템에접속하는단말기에대해정당한사용자인가의여부를확인할수있는기록을유지할것 3. 외부반출, 인터넷접속, 그룹웨어접속의금지등강화된보호대책이적용되는중요단말기를지정할것 4. 정보유출, 악성코드감염등을방지할수있도록단말기에서보조기억매체및휴대용전산장비에접근하는것을통제할것 5. 삭제 정보처리시스템에접근할수있는단말기 ( 이하개인용컴퓨터포함 ) 를제한함으로써비인가자에의한정보유출및악성코드감염, 프로그램변경, 불법거래등방지를목적으로하는단말기보호대책을마련 운영 해설 업무담당자이외의자가내부정보통신망과연결된단말기를무단으로조작하여전산자료를수정, 삭제, 조회하지못하도록단말기에대한보호대책마련 ( 제1호 ) - 로그인비밀번호, 일정시간단말기사용중지시화면보호기능설정및비밀번호재입력, 취급자지정등단말기접근통제 정보처리시스템에접속하는단말기에대해사용자인가정보를기록 유지함으로써필요시정보처리시스템사용자의정당성확인을위해사용자인가정보에대한조회가가능하도록조치 ( 제2호 ) 중요단말기가외부에반출되거나인터넷및그룹웨어에접속되는경우해커가침입하거나해킹프로그램또는악성코드에감염되어내부정보유출및자료파괴등피해가발생할수있으므로이를방지하기위하여중요단말기는외부반출, 인터넷접속, 그룹웨어접속금지등강화된보호대책을적용 ( 제3호 ) 42 - 금융감독원

43 ( 예 ) CD/ATM 은인터넷접속을차단하고인터넷망과분리된폐쇄망을이용하며, CD/ATM관리서버에연결되는관리자단말기를중요단말기로지정하고이외의단말기에서는 CD/ATM 및관리서버접속차단 < 중요단말기유형 > 정보처리시스템또는 DB에직접접근이가능한권한이부여되는단말기 보조기억매체나휴대용전산장비등이내부통신망에연결된단말기에접속되는경우동매체나장비를이용한정보유출및악성코드감염이발생할수있으므로사고방지를위하여내부통신망에접속하는단말기는보조기억매체및휴대용전산장비등접근을통제 ( 제4호 ) - 외주개발을위해투입된외주직원이사용하는단말기에도동일수준의접속통제를적용 - 용도에따라 USB 쓰기 / 읽기기능차단, USB 사용시책임자의사전승인, 보안정책에따른 USB 관리기록 비조치의견서 ( ) < 요청대상행위 > 단말기별취급자를지정하고, 단말기를켤때및운영체제 (O/S) 에접속할때각각비밀번호를설정 입력하며, 화면보호기능을설정한것이ㅇ업무당당자이외의사람이단말기를무단으로조작하지못하도록조치 * 한것인지여부 * 전자금융감독규정제12조제1호 < 판단 > 요청대상행위는적절한조치에해당하는것으로판단되는바, 특별한사정이없는한제재대상에해당하지않습니다. < 판단이유 > 전자금융감독규정제12조 ( 단말기보호대책 ) 제1호에의해금융회사또는전자금융업자는 업무담당자이외의사람이단말기를무단으로조작하지못하도록조치 하여야하는데, 구체적인조치방법은금융회사등이자율적으로결정하여운영할수있는바, ㅇ단말기별로취급자를지정하며비밀번호를 2중으로설정하게하고화면보호기등을설정할경우단말기가무단으로부팅 사용되거나작업중권한없는자가임의로사용하는것을예방할수있다고판단됩니다.* 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 * 구전자금융감독규정제12조제 1호 ( 개정전 ) 는 업무담당자이외의사람이단말기를무단으로조작하지못하도록단말기별취급자및비밀번호를지정하고화면보호기능을부여 하도록명시하고있었음 다만, 비밀번호설정 입력과관련하여전자금융감독규정제32조 ( 내부사용자비밀번호관리 ) 를준수해야합니다. Financial Supervisory Service - 43

44 전자금융감독규정해설 2. 전산자료보호대책 < 감독규정 > 제13조 ( 전산자료보호대책 ) 1 금융회사또는전자금융업자는전산자료의유출, 파괴등을방지하기위하여다음각호를포함한전산자료보호대책을수립 운용하여야한다. 1. 사용자계정과비밀번호를개인별로부여하고등록 변경 폐기를체계적으로관리할것 2. 외부사용자에게사용자계정을부여하는경우최소한의작업권한만할당하고적절한통제장치를갖출것 3. 전산자료의보유현황을관리하고책임자를지정 운영할것 4. 전산자료의입력 출력 열람을함에있어사용자의업무별로접근권한을통제할것 5. 전산자료및전산장비의반출 반입을통제할것 6. 비상시에대비하여보조기억매체등전산자료에대한안전지출및긴급파기계획을수립 운용할것 7. 정기적으로보조기억매체의보유현황및관리실태를점검하고책임자의확인을받을것 8. 중요도에따라전산자료를정기적으로백업하여원격안전지역에소산하고백업내역을기록 관리할것 9. 주요백업전산자료에대하여정기적으로검증할것 10. 이용자정보의조회 출력에대한통제를하고테스트시이용자정보사용금지 ( 다만, 법인인이용자정보는금융감독원장이정하는바에따라이용자의동의를얻은경우테스트시사용가능하며, 그외부하테스트등이용자정보의사용이불가피한경우이용자정보를변환하여사용하고테스트종료즉시삭제하여야한다 ) 11. 정보처리시스템의가동기록은 1년이상보존할것 12. 정보처리시스템접속시 5회이내의범위에서미리정한횟수이상의접속오류가발생하는경우정보처리시스템의사용을제한할것 13. 단말기에이용자정보등주요정보를보관하지아니하고, 단말기를공유하지아니할것 ( 다만, 불가피하게단말기에보관할필요가있는경우보관사유, 보관기간및관리비밀번호등을정하여책임자의승인을받아야한다 ) 14. 사용자가전출 퇴직등인사조치가있을때에는지체없이해당사용자계정삭제, 계정사용중지, 공동사용계정변경등정보처리시스템에대한접근을통제할것 2 제1항제1호의사용자계정의공동사용이불가피한경우에는개인별사용내역을기록 관리하여야한다. 3 금융회사또는전자금융업자는단말기를통한이용자정보조회시사용자, 사용일시, 변경 조회내용, 접속방법이정보처리시스템에자동적으로기록되도록하고, 그기록을 1년이상보존하여야한다. 4 제1항제11호의정보처리시스템가동기록의경우다음각호의사항이접속의성공여부와상관없이자동적으로기록 유지되어야한다. 1. 정보처리시스템에접속한일시, 접속자및접근을확인할수있는접근기록 2. 전산자료를사용한일시, 사용자및자료의내용을확인할수있는접근기록 3. 정보처리시스템내전산자료의처리내용을확인할수있는사용자로그인, 액세스로그등접근기록 5 금융회사또는전자금융업자는단말기와전산자료의접근권한이부여되는정보처리시스템관리자에대하여적절한통제장치를마련 운용하여야한다. 다만, 정보처리시스템관리자의주요업무관련행위는책임자가제28조제2항에따라이중확인및모니터링을하여야한다. < 시행세칙 > 제2조의4( 법인이용자정보의사용에대한동의 ) 규정제13조제1항제10호에따라동의를얻는경우다음각호의사항을정보주체에게사전에알려야한다 금융감독원

45 1. 테스트의목적및기간 2. 사용되는이용자정보의항목 3. 테스트기간중정보유출방지를위한통제계획 4. 테스트종료후테스트에사용된이용자정보의파기계획 금융회사또는전자금융업자가보유하고있는고객정보등중요정보의외부유출및불법사용을방지하고, 정보파괴시신속한복구가가능하도록대책을수립하며, 사고발생시추적이용이하도록정보처리시스템접속및이용자정보조회로그등정보처리시스템가동기록유지 해설 사용자계정과비밀번호는개인별부여를원칙으로하며, 사용자계정에관한등록 변경 폐기등절차를마련하여체계적으로관리함. 다만, 시스템의특성상공동사용이불가피한사용자계정 ( 예 : UNIX 의 root 등 ) 은사용자개인별사용내역이파악될수있도록사용자 IP, 접근시간등개인별세부사용내역을기록 유지함으로써추후에추적및확인이가능하도록관리 ( 제1항제1호, 제2항 ) 내부직원퇴직이나외주직원계약종료및해지등사유발생시해당사용자계정을삭제하여기존계정을이용한시스템접근이차단되도록조치. 다만, 사용자계정의삭제가불가능한경우에는반드시비밀번호를변경하고실사용자이름을바꾸어사용함 ( 제1항제 1호 ) 모든사용자계정은현재사용하고있는실제직원이확인될수있도록등록 관리하여야하며, 변경내용등에대한세부내역을기록 관리 ( 제1항제1호 ) 외부사용자에게사용자계정을부여할경우업무수행에필요한최소권한만을부여하여불필요한업무수행및자료접근을차단하고, 계약기간의적절한관리를통해계약종료또는해지시해당시스템접속이차단되도록통제장치를마련함으로써외주직원에의한정보유출등침해사고방지 ( 제1항제2호 ) 전산자료의적절한관리와통제를위하여전산자료보유현황을관리하고책임자를지정하여운영하며, 사용자별접근권한 ( 읽기, 쓰기, 변경, 삭제등 ) 을구분하여권한에따라서접근할수있는자료를한정하며, 중요자료에대한변경및삭제권한은최소한의사용자에게부여 ( 제1항제3호, 제4호 ) 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 Financial Supervisory Service - 45

46 전자금융감독규정해설 고객정보및금융거래정보에대한조회는업무상관련성이없는경우에는엄격히제한 ( 제1항제4호 ) 전산자료및장비를반출하거나반입할경우에는반 출입사항을기록관리하여야하며, 반출된전산자료는목적외사용이되지않도록하여야하고, 사용용도가완료된후에는즉시회수또는파기토록조치 ( 제1항제5호 ) 노트북또는 PC를반출시에는중요자료가수록되어있는가를확인을하여야하며, 외부에서반입된 PC 또는디스크등보조기억장치내에악성코드, 해킹프로그램이수록되지않았는가를확인 ( 제1항제5호 ) 보조기억매체는보유현황, 사용자, 사용용도등이파악될수있도록관리대장을통해관리되어야하며, 비상시대비보조기억매체등전산자료에대한안전지출및긴급파기를위한계획을수립하여운용하고, 보조기억매체파기는매체에수록된정보의복구가불가능하도록완전파기조치함 ( 제1항제6호, 제7호 ) 전산자료의백업대상및주기는전산센터시스템에저장된데이터및프로그램등이완전히파괴된경우에도시스템의정상적인복구가가능한수준으로백업및관리되어야하며, 백업자료 ( 보조기억매체 ) 는추후사용편의를위해식별이용이하도록보유현황을관리 ( 제1항제8호 ) 백업자료의소산은전산센터의화재, 수해등재해로인하여데이터및프로그램의사용이불가능할경우에도복구가가능하도록전산센터로부터원격지에위치한적절한장소에보관하여야하며, 관련법에서정한보존기간및업무중요도를고려하여소산대상및보존기간을정함. 특히, 프로그램및시스템프로그램이누락되지않도록하고, 매뉴얼, 시스템설계서등의관련문서 2) 를포함 ( 제1항제 8호 ) 소산장소는백업자료가손상되지않도록환경을유지하여야하며, 정기적으로자료를점검하여항시사용이가능토록유지하여야하고소산장소의접근통제필요 ( 제1항제8호 ) 주요백업전산자료는비상사태발생시복구를위해사용될수있도록전산자료의무결성등을정기적으로점검 ( 제1항제9호 ) 2) 관련문서 (Documentation) : 단위업무별로구성된전산시스템의업무개요, 흐름도 (flow-chart), 관련파일들의양식 (file lay-out), 프로그램설명서등을집합하여단위업무의전산시스템의수정, 보완, 유지, 관리의효율화를위하여구성한지침서 46 - 금융감독원

47 전산업무개발또는프로그램을변경하는경우테스트목적으로실이용자정보의사용을금지, 필요시이용자식별이불가능하도록하여사용하고, 테스트종료즉시테스트데이터삭제조치 ( 제1항제10호 ) - 다만, 법인인이용자정보는테스트의목적및기간, 사용되는이용자정보의항목등을사전에고지한후동의를얻어사용가능 고객인적사항, 금융거래정보등이용자정보가포함된조회나출력시이용자가노출되지않도록이용자식별정보를통제 ( 마스킹등 ) 하며, 계정계, 정보계, 업무서버, 네트워크장비등정보처리시스템의가동기록 3) 은전산기기의가동, 업무처리와관련하여주전산기또는서버에접속한일시, 접속자및접근을확인할수있는접근기록과전산자료를사용한일시, 사용자및자료의내용등을확인할수있는접근기록등이자동기록되도록하고 1년이상보존 ( 제1항제11호, 제4항 ) - ( 예 ) 시스템로그, 콘솔로그등 정보처리시스템접속에실패한접근시도에대해서도기록 유지하고, 접근시도실패가일정횟수 (5회이내의범위 ) 이상반복적으로발생하는경우시스템사용을제한하고중점점검 ( 제1항제12호 ) 단말기에는이용자정보 ( 계좌번호, 개인인적사항등 ) 등주요정보를보관하지아니하고단말기를공유하지않도록조치하며, 불가피하게단말기에보관할필요가있는경우에는보관사유 보관기간및관리비밀번호등을정하여책임자승인을받을것 ( 제1항제13호 ) - 단말기에이용자정보를저장하지않았더라도이용자정보보다넓은개념인전산자료의보호를위해단말기공유금지 사용자가전출 퇴직등인사조치가있을때에는지체없이해당사용자계정삭제, 계정사용중지, 공동사용계정변경등조치하고접근권한을회수하여이전계정및권한으로정보처리시스템에접속할수없도록통제 ( 제1항제14호 ) 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 3) 시스템가동기록은시스템이최초가동된시각, 시스템자원 (CPU, 메모리, 디스크등 ) 상태기록, 시스템장애상태등을확인할수있는기록을의미하고, 접근기록은정보시스템에사용자가접근한기록으로접근시간, 접근 ID, 접근 IP, 작업내용, 처리결과등을의미 Financial Supervisory Service - 47

48 전자금융감독규정해설 단말기를통해이용자정보를조회하는경우사용자, 사용일시, 조회또는변경내용, 접속방법등이시스템에자동기록되도록하여추후추적및확인이가능하도록조치하며, 조회기록은 1년이상보존함 ( 제3항 ) 단말기와전산자료의접근권한이부여되는정보처리시스템관리자에의한사고예방을위해관리자의업무행위에대해적절한통제장치를마련하여운영하고, 또한관리자가전산원장, 이용자정보등주요정보가저장된정보처리시스템에대한중요작업수행시책임자가이중확인하고작업수행내역에대해정기적으로모니터링실시 ( 제5항, 제28조제2항 ) 법령해석 ( ) < 질의 > 전자금융감독규정 제13조제1항제13호에서 단말기에이용자정보등주요정보를보관하지아니하고, 단말기를공유하지아니할것 ( 다만, 불가피하게단말기에보관할필요가있는경우보관사유, 보관기간및관리비밀번호등을정하여책임자의승인을받아야한다 ) 이라고정하고있는바, 단말기에이용자정보등주요정보를보관하고있지않은경우단말기공유가가능한지여부 < 회신 > 전자금융감독규정 제13조제1항제13호에따라금융회사및전자금융업자는단말기에이용자정보등주요정보를보관하고있지않더라도단말기를공유하는것이금지됩니다. < 이유 > 전산자료 는전산장비에의해입력 보관 출력되어있는자료를말하며그자료가입력 출력되어있는보조기억매체를포함합니다 ( 전자금융감독규정 제2조제2호 ). ㅇ 전자금융감독규정 제13조제1항은이같은 전산자료 의유출 파괴등을방지하기위해보유현황의관리, 책임자지정 운영, 업무별접근권한통제, 비상시안전지출및긴급파기, 정기적백업, 정보처리시스템의접근통제등을요구하고있습니다. ㅇ동항제13호또한이용자정보보다넓은개념인 전산자료 의유출 파괴등을방지하기위한취지로, 결과적으로이용자정보가포함되어있지않더라도단말기의공유를금지하는것으로해석해야할것입니다 금융감독원

49 비조치의견서 ( ) < 질의 > OO은행은사업구조개편에따라은행과상호금융계정계시스템을분리 구축하는사업을추진중 ( 예정일 : ) ㅇ전환시스템운영전이용자정보를사용하여전영업점을대상으로사전정합성검증 * 을실시하는것이전자금융감독규정제13조제1항제 10호위반에따른조치대상에해당하는지여부 * 특정거래일에발생한금융거래를구축중인전환시스템을이용하여재수행하고그결과를상호비교 < 회신 > 이용자정보를테스트용도로만제한하여사용한후즉시삭제하는한편, 정보유출을방지하기위한내부통제기준을마련하는등안전성을확보하여정합성검증을실시하는경우감독규정제13조제1항제10호위반으로조치하지않을예정입니다. < 이유 > 동규정의취지가전산자료유출방지및전자금융거래의안전성확보라는점을고려하여 ㅇ시스템의안전성확보를위해부득이하게 * 이용자정보를테스트용도로만제한하여사용한후즉시삭제하는한편, ㅇ외부주문에대한보안관리방안 ** 및실제운영시스템과동일한수준의보안대책 *** 을적용하는등검증작업시정보유출을방지하기위한내부통제기준을마련한경우에한하여이용자정보를사용한정합성검증을허용 * 정합성검증은실제발생한거래지시를전환시스템으로재처리하고그결과를실거래데이터와비교하는절차로이용자정보 실거래데이터없이효율적인검증곤란 ** 전자금융감독규정제60조1항7호및동시행세칙제9조의21항 *** 비인가전산장비 무선통신접속통제, 해킹방지대책, 악성코드감염방지대책, 사용자권한및비밀번호설정 운영, 이용자비밀번호암호화등 3. 정보처리시스템보호대책 < 감독규정 > 제14조 ( 정보처리시스템보호대책 ) 금융회사또는전자금융업자는정보처리시스템의안전한운영을위하여다음각호를포함한보호대책을수립 운용하여야한다. 1. 주요정보처리시스템에대한구동, 조작방법, 명령어사용법, 운용순서, 장애조치및연락처등시스템운영매뉴얼을작성할것 2. 데이터베이스관리시스템 (Database Management System : DBMS) 운영체제 웹프로그램등주요프로그램에대하여정기적으로유지보수를실시하고, 작업일, 작업내용, 작업결과등을기록한유지보수관리대장을작성 보관할것 3. 정보처리시스템의장애발생시장애일시, 장애내용및조치사항등을기록한장애상황기록부를상세하게작성 보관할것 4. 정보처리시스템의정상작동여부확인을위하여시스템자원상태의감시, 경고및제어가가능한모니터링시스템을갖출것 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 Financial Supervisory Service - 49

50 전자금융감독규정해설 5. 시스템통합, 전환및재개발시장애등으로인하여정보처리시스템의운영에지장이초래되지않도록통제절차를마련하여준수할것 6. 정보처리시스템의책임자를지정 운영할것 7. 정보처리시스템의운영체계, 시스템유틸리티등의긴급하고중요한보정 (patch) 사항에대하여는즉시보정작업을할것 8. 중요도에따라정보처리시스템의운영체제및설정내용등을정기백업및원격안전지역에소산하고백업자료는 1년이상기록 관리할것 9. 정보처리시스템의운영체제 (Operating System) 계정으로로그인 (Log in) 할경우계정및비밀번호이외에별도의추가인증절차를의무적으로시행할것 10. 정보처리시스템운영체제 (Operating System) 계정에대한사용권한, 접근기록, 작업내역등에대한상시모니터링체계를수립하고, 이상징후발생시필요한통제조치를즉시시행할것 정보처리시스템이정상적으로안전하게운영되고장애발생시신속하게복구및정상가동되는데필요한대책수립 해설 비상시정보처리시스템의신속한구동및조작, 업무담당자유고시대체인력에의한원활한시스템운영을위하여정보처리시스템및주요프로그램에대한운영매뉴얼을작성하여지정된장소 ( 전산실및재해복구센터 ) 에보관및관리 ( 제1호 ) - 운영매뉴얼은정보처리시스템및프로그램등주요프로그램의변경사항이발생하는경우현재상태를반영하여최신상태유지 정보처리시스템및주요프로그램 (DBMS, 운영체체, Web 및 WAS 서버등 ) 은장애예방을위해정기적으로유지보수되어야하며, 외부업체로부터유지보수를받는경우고객정보등의중요정보가유출되지않도록주의하고유지보수내용을기록한유지보수관리대장을작성 보관 ( 제2호 ) 정보처리시스템의장애예방을위해시스템의모든장애발생은장애상황기록부에기록하여관리하며, 시스템의정상작동여부확인이가능하도록시스템의자원상태를감시하고, 장애등이상징후발생시경고및제어가가능한모니터링시스템을구축 ( 제3호, 제4호 ) 정보처리시스템의통합, 전환및재개발시기운영시스템및신규도입시스템의장애, 업무지연등의사고발생으로정보처리시스템운영에지장을초래하지않도록사전에철저한검증을실시하는등통제절차를마련하여운영 ( 제5호 ) 50 - 금융감독원

51 정보처리시스템의관리책임자를지정 운영하고, 관리책임자는해당정보처리시스템에문제가발생하지않도록운영, 유지보수, 보안관리등의시스템관리업무총괄 ( 제6호 ) 정보처리시스템관리책임자는정보처리시스템의안전한운영을위하여시스템운영체제및유틸리티등주요소프트웨어에대해주기적으로보정 (patch) 사항이발표되는지확인하고필수적인보정사항이발표되는경우에는테스트시스템에우선적용하여테스트를실시하고시스템운영에지장을초래하지않을경우즉시실운영시스템에적용 ( 제7호 ) 정보처리시스템의운영체제삭제등비상상황발생시신속하게정상복구가가능하도록정보처리시스템의운영체제및설정내용등을정기적으로백업하여원격안전지역에소산하고, 백업자료는정기적검증을실시하며 1년이상보관 ( 제8호 ) 정보처리시스템의운영체제계정에대한보안강화를위하여로그인시계정및비밀번호이외의별도의안전한추가인증절차를반드시시행하고, 운영체제계정의작업수행에대한이상징후발생시필요한통제조치가즉시시행될수있도록모니터링체계수립 ( 제9호, 제10호 ) 4. 비중요정보처리시스템의지정 < 감독규정 > 제14조의 2( 비중요정보처리시스템지정 ) 1 금융회사또는전자금융업자는자체적으로수립한정보자산중요도평가기준에따라전자금융거래의안전성및신뢰성에미치는영향이현저히낮은정보처리시스템을비중요정보처리시스템으로지정할수있다. 다만, 개인의고유식별정보또는 신용정보의이용및보호에관한법률 에따른개인신용정보를처리하는정보처리시스템은비중요정보처리시스템으로지정할수없다. 2 금융회사또는전자금융업자는제1항에따라비중요정보처리시스템지정시제8조의2에따른정보보호위원회의심의 의결을거쳐야한다. 3 금융회사또는전자금융업자는제1항에따라비중요정보처리시스템을지정한날로부터 7일이내에금융감독원장이정하는양식에따라정보자산중요도평가기준, 지정결과, 관리방안등을포함한보고서를금융감독원에제출하여야한다. 4 금융감독원장은제3항에따라제출한보고서를검토한결과, 평가기준, 지정결과, 관리방안등이적합하지않다고판단되는경우에는금융회사또는전자금융업자에대하여개선 보완을요구할수있다. 5 제1항의비중요정보처리시스템만위치한전산실에대해서는제11조제11호및제12호, 제15조제1항제5호를적용하지아니한다. 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 Financial Supervisory Service - 51

52 전자금융감독규정해설 < 시행세칙 > 제2조의3( 비중요정보처리시스템의보고 ) 규정제14 조의2 제3항에따라감독원장이정하는양식은별지제6호서식에따른다. 금융회사및전자금융업자는클라우드컴퓨팅등을이용하기위하여고유식별정보및 신용정보의이용및보호에관한법률 에따른개인신용정보를제외한정보를처리하는시스템을비중요정보처리시스템으로지정할수있음 해설 전산실및재해복구센터의국내설치 ( 제11조제11호 ), 무선통신망의설치금지 ( 제11조제12호 ) 및전산센터물리적망분리 ( 제15조제1항제5호 ) 규정의적용을받지않을수있음 클라우드컴퓨팅서비스이용을위해반드시비중요정보처리시스템의지정이필요한것은아니며, 비중요정보처리시스템지정시적용되지않는규정 ( 제11조제11호및제12호, 제15조제1항제5호 ) 및전자금융감독규정시행세칙제2조의2( 망분리예외적용시 ) 등을모두준수할경우비중요정보처리시스템의지정없이클라우드컴퓨팅서비스이용이가능 - 또한개인의고유식별정보와신용정보법에의한개인신용정보를법규상절차에따라비식별화조치를한경우에도비중요정보처리시스템으로지정가능 5. 해킹등방지대책 < 감독규정 > 제15조 ( 해킹등방지대책 ) 1 금융회사또는전자금융업자는정보처리시스템및정보통신망을해킹등전자적침해행위로부터방지하기위하여다음각호의대책을수립 운용하여야한다. 1. 해킹등전자적침해행위로인한사고를방지하기위한정보보호시스템설치및운영 2. 해킹등전자적침해행위에대비한시스템프로그램등의긴급하고중요한보정 (patch) 사항에대하여즉시보정작업실시 3. 내부통신망과연결된내부업무용시스템은인터넷 ( 무선통신망포함 ) 등외부통신망과분리 차단및접속금지 ( 단, 업무상불가피하여금융감독원장의확인을받은경우에는그러하지아니하다 ) 4. 내부통신망에서의파일배포기능은통합및최소화하여운영하고, 이를배포할경우에는무결성검증을수행할것 5. 전산실내에위치한정보처리시스템과해당정보처리시스템의운영, 개발, 보안목적으로직접접속하는단말기에대해서는인터넷등외부통신망으로부터물리적으로분리할것 ( 단, 업무특성상분리하기 52 - 금융감독원

53 어렵다고금융감독원장이인정하는경우에는분리하지아니하여도된다.) 2 제1항제1호의규정에따른정보보호시스템을설치 운영하는경우에는다음각호의사항을준수하여야한다. 1. 삭제 2. 최소한의서비스번호 (port) 와기능만을적용하고업무목적이외의기능및프로그램을제거할것 3. 보안정책의승인 적용및보안정책의등록, 변경및삭제에대한이력을기록 보관할것 4. 정보보호시스템의원격관리를금지하고주기적으로작동상태를점검할것 5. 시스템장애, 가동중지등긴급사태에대비하여백업및복구절차등을수립 시행할것 3 제1항각호의정보보호시스템에대하여책임자를지정 운영하여야하며, 운영결과는 1년이상보존하여야한다. 4 금융회사또는전자금융업자는해킹등전자적침해행위로인한피해발생시즉시대처할수있도록적절한대책을마련하여야한다. 5 삭제 6 금융회사또는전자금융업자는무선통신망을설치 운용할때에는다음각호의사항을준수하여야한다. 1. 무선통신망이용업무는최소한으로국한하고법제21조의2에따른정보보호최고책임자의승인을받아사전에지정할것 2. 무선통신망을통한불법접속을방지하기위한사용자인증, 암호화등보안대책을수립할것 3. 금융회사내부망에연결된정보처리시스템이지정된업무용도와사용지역 (zone) 이외의무선통신망에접속하는것을차단하기위한차단시스템을구축하고실시간모니터링체계를운영할것 4. 비인가무선접속장비 (Access Point : AP) 설치 접속여부, 중요정보노출여부를주기적으로점검할것 < 시행세칙 > 제2조의2( 망분리적용예외 ) 1 규정제15조제 1항제3 호에서금융감독원장의확인을받은경우란내부업무용시스템을 ( 규정제12조의중요단말기는제외한다 ) 업무상필수적으로특정외부기관과연결해야하는경우를말한다 ( 다만, 이경우필요한서비스번호 (port) 에한하여특정외부기관과연결할수있다 ). 2 규정제15조제1항제5호에서금융감독원장이인정하는경우란다음각호와같다. 1. 금융회사의정보처리업무위탁에관한규정 에따라정보처리업무를국외소재전산센터에위탁하여처리하는경우 ( 다만, 해당국외소재전산센터에대해서는물리적방식외의방법으로망을분리하여야하며, 이경우에도국내소재전산센터및정보처리시스템등은물리적으로망을분리하여야한다 ) 2. 업무상외부통신망과연결이불가피한다음의정보처리시스템 ( 다만, 필요한서비스번호 (port) 에한하여연결할수있다 ) 가. 전자금융업무의처리를위하여특정외부기관과데이터를송수신하는정보처리시스템나. DMZ구간내정보처리시스템과실시간으로데이터를송수신하는내부통신망의정보처리시스템다. 다른계열사 ( 금융회사의정보처리업무위탁에관한규정 제2조제3항의 계열사 를말한다 ) 와공동으로사용하는정보처리시스템 3. 규정제23조의비상대책에따라원격접속이필요한경우 4. 전산실내에위치한정보처리시스템의운영, 개발, 보안목적으로직접접속하는단말기와외부통신망과의연결구간, 규정제15조제1항제3호의내부업무용시스템과의연결구간을각각차단한경우 3 제1항및제2항의규정은금융회사또는전자금융업자가자체위험성평가를실시한후 < 별표 7> 에서정한망분리대체정보보호통제를적용하고정보보호위원회가승인한경우에한하여적용한다. 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 Financial Supervisory Service - 53

54 전자금융감독규정해설 인터넷등공개된외부통신망과접속되는내부정보통신망및정보처리시스템을해킹등전자적침해행위로부터보호하기위하여침입차단시스템등정보보호시스템을설치하고, 침해행위발생즉시침해사실을탐지하여대응할수있도록대응체계구축 해설 내부정보처리시스템및정보통신망을해킹등전자적침해행위로부터보호하기위하여침입차단및침입탐지시스템, 암호화프로그램, 등정보보호시스템을설치및운영 ( 제1항제1호 ) - 대내외에서정보처리시스템에접속하는경우정보보호시스템을우회하여접속하지못하도록보안정책을적절히적용 운영체제등시스템프로그램취약점을이용한침해에대비하여시스템프로그램의보안취약점개선등긴급하고중요한사항은즉시보정작업실시 ( 제1항2호 ) 금융회사등의망분리 ( 제1항제3호및제5호 ) (1) 전산센터망분리 전산센터내에위치한정보시스템의운영, 개발, 보안목적으로정보처리시스템 ( 서버 ) 에직접접속하는단말기 ( 전산센터단말기 ) 는인터넷등외부통신망과물리적으로분리해야함 ( 제1항제5호 ) 물리적망분리란통신회선을업무용과인터넷용으로물리적으로분리하고별도단말기를사용하여야하는것으로방화벽정책설정만으로분리하는방식은물리적망분리라고할수없음 - 또한, 단일단말기에서가상화솔루션을이용하여망을분리한경우에도물리적망분리라고할수없음 ( 그림 1) 54 - 금융감독원

55 ( 그림 1) 방화벽정책만을이용한전산센터단말기의망분리 < 인터넷망 > < 업무망 > 망분리를완료한시스템과망분리를적용하지않은시스템이같은내부망에있는경우, 망분리가되지않은단말기를통해내부망에악성코드유입등이발생할수있으므로, - 망분리미적용단말기를통해망분리를적용한시스템과망분리를적용하지않은시스템사이는방화벽등의네트워크장비로차단필요 ( 그림2) 외부통신망 ( 그림 2) 전산센터단말기의물리적망분리구성예시 내부업무용통신망 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 전산실내에위치한정보처리시스템 ( 서버 ) 은인터넷등외부통신망으로부터물리적으로분리할것 ( 제1항제5호 ) Financial Supervisory Service - 55

56 전자금융감독규정해설 < 전산센터망분리예외 > 정보처리업무를국외소재전산센터에위탁하여처리하는경우, 국외소재전산센터는논리적망분리가능 ( 세칙제2조의2제2항제1호 ) 업무상불가피한경우내부망의서버에서특정외부기관 ( 참고1) 과연결가능 ( 세칙제2조의2제2항제2호가목 ) DMZ 내인터넷뱅킹등공개서버 (Web 서버 ) 와내부서버 (WAS) 연결가능 ( 세칙제2조의2제2항제2호나목 ) 다른계열사와공동으로사용하는인트라넷, 이메일시스템, 회계시스템과내부서버는연결가능 ( 세칙제2조의2제2항제2호다목 ) 비상시제한적으로외부망에서내부망으로원격접속가능 ( 세칙제2조의 2제2항제3호 ) (2) 본점 영업점망분리 내부통신망과연결된본점영업점 PC 및프린터등주변기기는물리적또는논리적방식으로망분리 ( 제1항3호 ) < 본점 영업점망분리예외 ( 시행세칙제 2 조의 2 제 1 항 ) > - 업무상불가피한경우내부망의서버에서특정외부기관 ( 참고1) 과의연결가능 ( 세칙제2조의2제1항 ) < 참고 > 특정외부기관의범위 - 행정자치부, 금융협회, 금융결제원, 예탁결제원, 코스콤, 금융보안원, 공인인증기관등의정부또는금융유관기관 - 그외업무상연결이필요한전자금융보조업자 시행세칙제2조의2의취지는망분리로인한업무의비효율을완화하고자일부필수적인외부기관과의연결을허용하는것으로, 불특정다수가접속하는인터넷포탈등은제한 (3) 망분리예외적용절차 세칙제2조의2제1항또는제2항에의하여전산센터및본점영업점망분리예외를적용하는경우 1자체위험성평가를실시하고 2세칙 < 별표7> 에서정한망분리대체정보보호통제를적용하고 3정보보호위원회승인후적용 ( 세칙제2조의 2제3항 ) 56 - 금융감독원

57 외부기관과내부통신망연결시유의사항 ( 제3호, 제5호 ) - 업무특성상내부통신망과외부통신망의연결이불가피한경우침입차단시스템등정보보호시스템의통제에의해필요한서비스포트의접근만허용하고그외의서비스는차단하여외부통신망에서내부통신망으로인가되지않은접근을통제 - 외부통신망연결에따른보안취약성해소를위하여접속로그를주기적으로분석하고수시로보안도구를이용한정보통신망의취약성을점검 < 망분리대체정보보호통제 > 대책 세부사항 내부망 - 업무망에반입되는전산자료대상으로악성코드감염여부진단 치료대책수립보안강화외부망 - 지능형해킹 (APT) 차단대책수립보안강화 - 외부망을통해전산자료외부전송시정보유출탐지 차단 사후모니터링대책수립메일시스템 - 본문과첨부파일포함하여메일을통한악성코드감염예방대책수립보안강화 - 메일을통한전산자료외부전송시정보유출탐지 차단 사후모니터링대책수립 - PC 사용자의관리자권한제거단말기 - 승인된프로그램만설치 실행토록대책수립보안강화 - 단말기전산자료암호화저장 - 원격접속기준및절차가포함된보안정책수립 - 불법원격접속을방지하기위한사용자인증, 암호화등의보안대책을수립 - 원격접속은책임자의승인을받은사전등록자에한하여허용하며원격접속관리기록부를기록 보관원격접속 - 원격에서접속하는외부단말기와내부업무용시스템구간의암호화통신통제수립 - 원격접속사용자는아이디 비밀번호이외에추가인증수단을적용 - 원격에서접속하는외부단말기의악성코드감염예방대책수립 적용 - 원격접속가능한내부업무용시스템의접근통제수립 적용 - 원격으로접속하여수행한모든작업내역기록하고매일이상여부점검실시및책임자가확인 침입차단시스템 (Firewall) 등정보보호시스템설치장소는비인가자출입통제등보안관리를철저히하고다음사항준수및점검 ( 제2항 ) 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 - 업무목적상필요한최소한의서비스번호 (port) 와기능만을적용하고업무목적이외의기능및프로그램을제거 - 보안정책의임의변경금지 ( 변경통제절차준용 ) Financial Supervisory Service - 57

58 전자금융감독규정해설 - 정보보호시스템의원격관리를금지하고주기적으로작동상태점검 - 일반사용자계정또는제조사설정비밀번호존재여부 - 환경설정에관련된파일의접근허용모드정당설정여부 - 관리자권한을도용할수있는프로그램변경및은닉여부 - 비인가자의침입여부를확인하기위한시스템접근기록등 규정제23조의비상대책등수립시해킹및사이버테러발생에즉시대처가능한대응체계및비상연락망등을포함해야하며, 정보처리시스템의해킹및취약점에대한정기진단및분석을실시하고분석결과문제점에대한보완대책을수립 시행하여해킹및취약점에의한피해가발생하지않도록조치 ( 제4항 ) 무선통신망설치및운용시준수사항 ( 제6항 ) - 업무는 AP의기능단위가아닌분장단위를의미 ( 청약업무, 민원처리업무, 상담업무등 ) - 비인가자에의한무선AP 접근을방지하기위하여무선AP의 SSID 브로드캐스팅을금지하고숨김기능을적용하여비인가자에게무선AP가노출되지않도록하며, 사용자인증강화를위하여사용자 ID/ 패스워드이외에단말기 MAC주소인증등을추가한인증방식을적용 - 내부의비인가무선AP 설치및접속여부를주기적으로점검하고통제하여악의적인의도로설치된비인가AP에의한중요정보유출방지 - 무선통신은특성상데이터가실린전파신호의도청이가능하여무선통신망에서데이터암호화가매우중요하므로보안이취약한 WEP(Wired Equivalency Protocol) 방식보다는 WPA(Wi-Fi Protected Access)/WPA2방식적용을권장 법령해석 ( ) < 질의요지 > 외부통신망에위치한보험설계사및 GA대리점사용단말기의경우에도 전자금융감독규정 제15조제 1항제3호에따라인터넷등외부통신망과분리 차단및접속금지하여야하는대상에해당되는지여부 이경우, 보험설계사및 GA대리점단말기에대해 VPN을통해인증된사용자에한하여접속하도록하고일부사이트 ( 타보험사홈페이지및일부포털등 ) 에한하여제한적으로외부망접근을허용한경우망분리를준수하고있다고판단할수있는지여부 58 - 금융감독원

59 < 회답 > 외부통신망에위치한보험설계사및 GA대리점사용단말기가업무처리등을위해보험회사의내부통신망에연결되어있는경우 전자금융감독규정 제15조제1항제3호의망분리적용대상에해당합니다. ㅇ다만, 보험설계사나외주직원의단말기가내부망과분리된망 (DMZ 등 ) 에위치한시스템에만접속하는경우에는망분리적용대상에포함되지않습니다. 제한적이라할지라도보험회사의내부망에연결되어있는단말기에외부망접근을허용하는것은망분리원칙을위배하고있는것으로보이며, 해당단말기는보험회사의본점 영업점단말기수준의망분리기준에적합하도록운영되어야할것입니다. < 이유 > 보험설계사및 GA대리점은 보험업법 에따라보험계약의체결을대리하는등의업무를수행하고있으며이에따라보험회사의영업점과같이내부업무용시스템에접속하여업무를처리할필요가있을것으로판단되는바, ㅇ이러한범위내에서해당단말기는 전자금융감독규정 제15조제1항제3호의 내부통신망과연결된내부업무용시스템 에해당되어망분리적용대상입니다. 보험설계사및 GA대리점사용단말기가내부통신망에연결되어있는경우사실상보험회사의본점 영업점단말기역할을수행하는것으로판단되므로그와동일한수준의보안통제가필요할것입니다. ㅇ특히, 해당단말기에서보험회사내부전산망이외에외부인터넷망을동시에사용하는경우악성코드전파등비인가접속가능성이있으므로보험회사의망분리정책을따르는것이적정합니다. 법령해석 ( ) < 질의요지 > 논리적및물리적망분리를함에있어클라우드컴퓨팅서비스를이용한인터넷망구성이 전자금융감독규정 상망분리규정을충족하는지여부 < 회답 > 전자금융감독규정 제15조제1항에서는전자금융거래의안전성학보를위해정보처리시스템및정보통신망의해킹방지를위해내부업무용시스템은인터넷등외부통신망과분리 차단하도록하고있고, 전산실내에위치한정보처리시스템과이에접속하는단말기는외부통신망과물리적으로분리를하도록하고있으나, 망분리방식을특정하고있지는않습니다. 따라서클라우드컴퓨팅서비스이용여부와상관없이망구성만으로망분리규정만족여부를판단하시면됩니다. ㅇ다만, 망분리를위한시스템설치및운영을외부업체에위탁할경우, 전자금융거래법 제40조제 6항의정보보호관련업무재위탁금지, 전자금융감독규정 제15조제2항의정보보호시스템의설치및운영기준, 같은규정제60 조의외부주문등에대한기준및 금융회사의정보처리업무위탁에관한규정 등관련규정을준수하여야할것입니다. 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 < 이유 > 전자금융감독규정 상망분리방식은특정하고있지않으며, 금융회사가적절한방식을선택할수있습니다. Financial Supervisory Service - 59

60 전자금융감독규정해설 비조치의견서 ( ) < 요청대상행위 > 당금융회사의전산센터단말기물리적망분리방식이전자금융감독규정제15조제1항제5호에위반되는지여부 < 판단 > 전산센터단말기를인터넷과물리적으로분리하고, 시행세칙제2조의2에따라망분리예외가적용된정보처리시스템 내부업무용단말기와연결을방화벽및네트워크장비로차단 통제하는경우전자금융감독규정제15조제3호및제5호에위배되지않습니다. < 판단이유 > 전자금융감독규정제15조제1항제5호는전자금융거래의안전성확보및정보처리시스템및정보통신망의해킹방지를위해전산실내에위치한정보처리시스템과이에접속하는외부통신망과물리적으로분리하도록규정하였습니다. ㅇ물리적망분리란통신망을물리적으로업무용과인터넷용으로분리하고별도단말기를사용하여야하는것으로방화벽정책설정으로만분리하는방식은물리적망분리라고할수없습니다. ㅇ다만, 전산실내정보처리시스템의운영등의목적으로직접접속하는단말기의경우금융회사는시행세칙제2조의2에따라외부통신망과연결되는내부업무용시스템 정보처리시스템을통해간접적으로외부통신망과연결될수있으므로ㅇ해당연결지점을통해악성코드유입및정보유출이발생하지않도록방화벽등의네트워크장비로차단 통제하여야합니다. 비조치의견서 ( ) < 요청대상행위 > 아래와같은통제를전제로당사인터넷망을무선통신망으로사용하는것이전자금융감독규정제15조제6항을준수하는지여부 1. 인터넷망에대한무선통신망이용에대하여 CISO 사전승인처리하여사용예정 60 - 금융감독원

61 2. 무선통신망불법접속을막기위해승인된무선AP/ 사용자 / 단말기만접속할수있도록통제적용할것이며, 암호화적용예정 3. 현재내부망에연결된단말기들은무선통신망에접속을차단하는솔루션을적용하고있으며, 비인가무선 AP들의내부망접속도자동차단되며, 실시간모니터링체계를운영하고있으며, 인터넷망도동일한통제체계를운영할예정 4. NAC(Network Access Control) 솔루션으로비인가무선AP의설치 접속여부는실시간으로확인되며, 자동으로당사인터넷망접속이차단되도록정책이적용될것이며, 주기적으로무선AP에대한보안점검을할예정 < 판단 > 물리적망분리가이루어진상태에서무선통신망을외부인터넷망의접속용도로사용을제한하고, 질의사항에서정한통제조치가적절히적용될경우전자금융감독규정제15조제6항에위배되지않음 < 판단이유 > 전자금융감독규정제15조의취지는금융회사및전자금융업자로하여금해킹과같은전자적침해행위로부터내부업무망및이와연계된정보처리시스템을보호하기위한것으로ㅇ무선통신망을인터넷망접속용도로한정하여이를통한내부망접속이차단될경우, 귀사에서제시한통제장치가적절히적용됨을전제로전자금융감독규정제15조제6항에위배되지않습니다. 다만, 비인가무선AP가내부망에접속할경우즉시차단하는조치, 내부망에연결된정보처리시스템의무선AP 접속차단조치가적절히시행될필요가있습니다. 비조치의견서 ( ) < 요청대상행위 > 지점사용자망분리수행시지점과전산센터간통신회선을 1회선으로구성하고회선양끝연결을 VPN( 내부망, 외부망 ) 으로구분하여망분리구성이가능한지여부 1. 통신회선 : 1회선 2. VPN : 2대 ( 내부망 1대, 외부망 1대 ) 3. 통신방법 - 내부망 : 업무PC 내부망 VPN( 지점 ) 통신회선 ( 공용 ) 내부망 VPN( 전산센터 ) 내부시스템 - 외부망 : 인터넷PC 외부망 VPN( 지점 ) 통신회선 ( 공용 ) 외부망 VPN( 전산센터 ) 인터넷 < 판단 > 전자금융감독규정제15조제1항제3호에따라내부통신망과연결된업무용시스템의망분리가이루어진상태에서, VPN( 가상사설망 ) 장비를이용하여하나의통신회선에서내부망과외부망을분리하여사용하는경우전자금융감독규정제15조제1항제3호에의한망분리의무규정에위배되지않습니다. 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 < 판단이유 > 지점단말기는전자금융감독규정제15조제 1항제3호에따라내부통신망과연결된내부업무용시스템을외부통신망과분리 차단하거나접속을금지하여야하며, ㅇ이와같은망분리는외부통신망과의분리 차단등을의미하는것으로통신회선에서의물리적인분리에대한의무사항을내포하지는않습니다. Financial Supervisory Service - 61

62 전자금융감독규정해설 다만, 하나의통신회신에서 VPN 장비로내 외부망을분리할경우내부업무용시스템을외부통신망으로부터분리하기위한 VPN 정책설정에유의하시기바랍니다. 비조치의견서 ( ) < 요청대상행위 > 정보처리시스템운영 개발 보안목적의단말기를별도의업무用 SBC(Server Based Computing) 방식으로구성하는것이가능한지여부 < 판단 > 정보처리시스템의운영, 개발, 보안목적으로직접접속하는단말기 ( 이하 전산센터단말기 ) 를 SBC로구성하는것은전산센터단말기가외부통신망으부터물리적으로분리된것으로볼수없어관련규정에위배됩니다. < 판단이유 > 금융회사는전자금융거래의안전성확보및정보처리시스템등의해킹방지를위해전산실내에위치한정보처리시스템을외부통신망으로부터물리적으로분리하여야합니다.( 전자금융감독규정제15조제1항제5호 ) 금융회사등은전자금융감독규정시행세칙 2의22ⅳ에따라전산센터단말기와외부통신망과연결구간, 업무용시스템과의연결구간을각각차단한경우는물리적망분리를적용하지않을수있으나, ㅇ문의하신구성은전산센터단말기가업무용단말기에설치된 SBC Client를통해접속하는방식으로, 두단말기의연결구간이차단되었다고볼수없어물리적망분리예외규정에해당하지않습니다 금융감독원

63 비조치의견서 ( ) < 요청대상행위 > 망분리관련보안솔루션적용시보안망, 인터넷망, 업무망으로분리하고방화벽을통해각각의보안솔루션을포트만오픈하며, 업무망및인터넷망을관리하는것이가능한지여부 < 판단 > 요청하신방식의경우 전자금융감독규정 제15조제 1항제3호에위배되는것으로판단됩니다. < 판단이유 > 금융회사는전자금융거래의안전성확보및정보처리시스템등의해킹방지를위해 전자금융감독규정 제15조제1항제3호에따라내부통신망과연결된내부업무용시스템을인터넷등외부통신망과분리 차단하거나접속을금지시켜야합니다. 방화벽과같은보안장비를이용하여통제하더라도외부망에서업무망으로접속할수있는방법이열려있을경우외부망과내부망을분리 차단한것에해당하지않으므로, ㅇ하나의보안솔루션을인터넷망과업무망모두에서사용하기위해네트워크간접속이가능한경우위규정에위배된다고할수있습니다. 아울러금융전산망분리가이드라인 ( 13.9 월 ) 은존속기간이경과하여효력이소멸하였음을알려드립니다. 비조치의견서 ( ) < 요청대상행위 > 물리적망분리를한상태에서보안USB 서버, 내부정보유출방지 (DLP) 서버, 네트워크접근제어 (NAC) 서버, 패치관리시스템 (PMS) 을인터넷망에구축해야하는지여부 < 판단 > 물리적망분리와관계없이단말기보호및정보처리시스템의안전한운영등을위해관련규정을준수하여야합니다. < 판단이유 > 금융회사는정보유출등의방지를위하여보조기억매체및휴대용전산장비에의접근을통제하는등단말기보호를위해필요한사항을준수하여야하며 ( 전자금융감독규정제12조 ), ㅇ긴급하고중요한보정사항에대해서는즉시보정작업을하는등정보처리시스템의안전한운영을위하여필요한보호대책을수립 운용하여야합니다 ( 전자금융감독규정제14조 ). 이는금융회사의단말기및정보처리시스템을보호하기위한것으로망분리와관계없이정보유출또는정보처리시스템의불안전한운영과관련한위험이있다면해당규정을준수하여야할것입니다. 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 Financial Supervisory Service - 63

64 전자금융감독규정해설 비조치의견서 ( ) < 요청대상행위 > 정보처리시스템에직접접근할수있는권한이없고, 개인정보를취급하지않는임직원이어플리케이션을통해제한된업무만을취급하기위해업무망에원격접속을할경우망분리관련규정을위반하는지여부 < 판단 > 전자금융감독규정시행세칙제2조의2에서정한예외사항에해당하지않을경우망분리의무를규정한전자금융감독규정제15조제1항제3호를위반하는것으로판단됩니다. < 판단이유 > 금융회사는전자금융감독규정제15조제1항제3호에따라내부망과연결된내부업무용시스템을외부통신망으로부터분리 차단등의조치를취하여야합니다. ㅇ재택근무및출장등을위한원격접속의경우외부인터넷망과의연결로인하여악성코드의업무망으로의유입등의위험을배제할수없어망분리예외로인정하기어려울것으로판단됩니다. 비조치의견서 ( ) < 요청대상행위 > 전산센터내에정보처리시스템을운영, 개발및보안등을위해직접접속하는전산센터 ( 중요 ) 단말기를가상PC(VDI) 로구성하여운영할경우물리적망분리요건을충족하는지여부 < 판단 > 정보처리시스템의운영, 개발, 보안목적으로직접접속하는단말기 ( 이하 전산센터단말기 ) 를가상 PC(VDI) 로구성하는것은전산센터단말기를외부통신망으부터물리적으로분리한것으로볼수없어관련규정을준수하지못한것으로보입니다. < 판단이유 > 금융회사는정보처리시스템등의해킹방지를위해전산실내에위치한정보처리시스템및전산센터단말기를외부통신망으로부터물리적으로분리하여야하나 ( 전자금융감독규정제15조제1항제5호 ), ㅇ전산센터단말기와외부통신망및내부업무용시스템과의연결구간을각각차단한경우등예외사유에해당할경우관련규정에따라물리적으로분리하지않을수있습니다 ( 동규정시행세칙제2조의2제2 항제4호 ). 전산센터단말기를내부업무용시스템에연결하여가상PC(VDI) 를구성하면동일한단말기에서전산실내정보처리시스템과내부업무처리시스템에대한접근이가능해집니다. ㅇ물리적망분리는별도의회선과단말기를사용하는것이므로가상PC(VDI) 를구성하여하나의단말기로내부업무용시스템과전산실내정보처리시스템에접근가능할경우동단말기는물리적으로분리된것으로보기어려우며, ㅇ전산센터단말기를가상PC(VDI) 로구성하는것은내부업무용시스템과의연결구간을방화벽으로차단한것과같은것으로보기에는아직까지충분히실증되었다고보기어려우므로물리적망분리예외에해당하지는않는것으로해석됩니다 금융감독원

65 비조치의견서 ( ) < 요청대상행위 > 직원의출장또는자택근무등으로인하여외부인터넷망에서회사내부망접속이필요한경우, 내부승인절차를거친후방화벽으로분리 독립된내부망의 VDI(Virtual Desktop Infrastructure : 데스크탑가상화 ) 를통하여업무처리가가능한지여부 < 판단 > 원격접속을위해기존내부업무용망과분리 독립된망을별도로구성하여차단 통제조치를할경우전자금융감독규정제15조제1항제3호에서정한망분리규정을준수한것으로볼수있습니다. < 판단이유 > 금융회사는내부업무용시스템이악성코드에감염되어정보유출 자료파괴등해킹공격에노출되는것을방지하기위하여내부통신망과연결된내부업무용시스템을외부통신망과분리 차단및접속금지조치를하여야합니다 ( 전자금융감독규정제15조제1항제3호 ). 외근직원의원격근무를위해방화벽으로분리 독립된 VDI를별도로구성한경우내부업무용시스템은외부통신망으로부터차단된것으로볼수있어관련규정에서정한망분리의무를준수한것으로보여집니다. ㅇ다만비인가자의내부망접속방지, 통신구간에대한암호화등정보유출및악성코드감염등의사고를방지하기위한보안대책의수립 운영에주의를기울여주시기바랍니다. 비조치의견서 ( ) < 요청대상행위 > 전산실내정보처리시스템의운영 개발 보안목적으로직접접속하는단말기 ( 이하 전산센터단말기 ) 를내부업무용시스템과의연결구간을차단하고, 내 외부망과방화벽으로각각차단된가상PC(VDI) 를통해전산실내정보처리시스템에접속하는것이가능한지여부 < 판단 > 귀사가구성하고자하는가상PC 가 전산실내에위치한정보처리시스템의운영, 개발, 보안목적으로직접접속하는단말기 에해당할경우외부통신망과의연결구간및내부업무용시스템과의연결구간을각각차단한다면시행세칙제2조의2제2항제4호에서정한예외규정을준수한것으로보입니다. < 판단이유 > 금융회사는정보처리시스템등의해킹방지를위해전산실내에위치한정보처리시스템및전산센터단말기를외부통신망으로부터물리적으로분리하여야하나 ( 전자금융감독규정제15조제 1항제5호 ), ㅇ전산센터단말기와외부통신망및내부업무용시스템과의연결구간을각각차단한경우등예외사유에해당할경우관련규정에따라물리적으로분리하지않을수있습니다 ( 동규정시행세칙제2조의2제 2항제 4호 ). 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 전산센터단말기를내 외부망과의연결구간이각각차단된 VDI 로구성한다면망분리예외를규정한전자금융감독규정시행세칙제2조의2 제2항제 4호를준수하는것으로볼수있으며, 내부망과차단된 Financial Supervisory Service - 65

66 전자금융감독규정해설 단말기로위 VDI 에접속하더라도내 외부망과는여전히차단되어망분리예외규정에해당하는것으로보입니다. ㅇ다만비인가자의내부망접속방지, 통신구간에대한암호화등정보유출및악성코드감염등의사고를방지하기위한보안대책의수립 운영에주의를기울여주시기바랍니다. 비조치의견서 ( ) < 요청대상행위 > 지도서비스제공업체를망분리예외규정에의한 특정외부기관 으로지정하여전자금융감독규정시행세칙제2조의2제 1항에따라내부통신망과연결된내부업무용시스템에서접속가능한지여부 < 판단 > 불특정다수가이용하는지도서비스제공업체는전자금융감독규정시행세칙제2조의2제1 항에의한 특정외부기관 에포함되지않아망분리예외대상으로보기어렵습니다. < 판단이유 > 금융회사는정보처리시스템등의해킹방지를위해내부통신망과연결된내부업무용시스템에대해인터넷등외부통신망과분리 차단및접속금지등의조치를하여야하며 ( 전자금융감독규정제15조제 1항제3호 ), ㅇ내부업무용시스템을업무상필수적으로특정외부기관과연결해야하는경우, 예외적으로망분리대체정보보호통제적용, 정보보호위원회승인등의절차를거쳐분리 차단등의조치를하지않을수있습니다 ( 전자금융감독규정시행세칙제2조의2제1항, 제4항 ). 시행세칙제2조의2제1항에서업무상필수적으로연결이필요한 특정외부기관 에는정부, 금융유관기관및전자금융보조업자등과같이전자금융업무의수행을위해반드시필요한기관이포함되나ㅇ금융회사와별도의계약등에따라보안이관리되지않고불특정다수가접속하는서비스운영업체의경우에는특정외부기관으로보기어렵습니다. 6. 악성코드감염방지대책 < 감독규정 > 제16조 ( 악성코드감염방지대책 ) 1 금융회사또는전자금융업자는악성코드감염을방지하기위하여다음각호를포함한대책을수립 운용하여야한다. 1. 응용프로그램을사용할때에는악성코드검색프로그램등으로진단및치료후사용할것 2. 악성코드검색및치료프로그램은최신상태로유지할것 3. 악성코드감염에대비하여복구절차를마련할것 4. 제12조제3호에따른중요단말기는악성코드감염여부를매일점검할것 2 금융회사또는전자금융업자는악성코드감염이발견된경우악성코드확산및피해를최소화하기위하여필요한조치를신속하게취하여야한다 금융감독원

67 악성코드 (Malicious Code) 는컴퓨터에서사용자의허락없이스스로를복사하거나변형한뒤정보유출, 시스템파괴등의작업을수행하여사용자에게피해를주는프로그램으로웜, 바이러스, 트로이목마, 스파이웨어, 애드웨어, 루트킷등으로분류 악성코드감염경로는스팸메일, 이동식저장매체, 악성코드가포함된웹페이지접속, 메신저, P2P프로그램등이주요경로 또한, 악성코드에감염된경우에는전파속도가빠르고치료및데이터복원을위해금전적 시간적 심리적인손해뿐만아니라해당금융회사의신뢰도에치명적인영향을줄수있으므로실효성있는대책마련필요 해설 악성코드감염을방지하기위하여다음사항에유의하여정보처리시스템을관리 ( 제1항 ) - 출처, 유통경로및제작자가명확하지아니한응용프로그램은악성코드검색프로그램으로진단후사용 - 전산시스템의규모, 메일서버의중요성등을고려하여필요한경우악성코드검색서버를설치하여외부에서들어오는메일등에대하여사전검색할수있는체계구축 - 개인용단말기및서버군의악성코드감염여부에대하여정기적으로점검실시및기록보관 - 정기적으로악성코드검색프로그램의엔진업데이트를수행하도록엔진업데이트의예약을설정한후사용 - 악성코드검색및치료프로그램의실시간감시기능을이용하여정보처리시스템보호 악성코드감염이발견된경우업무담당자는악성코드확산및피해를최소화하기위하여다음과같이적절한조치실행 ( 제2항 ) - 악성코드감염사실을신속히신고할수있도록연락체계구축 - 악성코드에감염된시스템의사용중지또는내부망에서분리 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 - 악성코드검색및치료프로그램을이용하여악성코드치료 - 감염확산방지를위하여사용자에게관련사실및보안조치사항을즉시전달 - 감염의재발을방지하기위하여원인분석및예방조치수행 Financial Supervisory Service - 67

68 전자금융감독규정해설 7. 홈페이지등공개용웹서버관리대책 < 감독규정 > 제17조 ( 홈페이지등공개용웹서버관리대책 ) 1 금융회사또는전자금융업자는공개용웹서버의안전한관리를위하여다음각호를포함한적절한대책을수립 운용하여야한다. 1. 공개용웹서버를내부통신망과분리하여내부통신망과외부통신망사이의독립된통신망 ( 이하 DMZ 구간 이라한다 ) 에설치하고네트워크및웹접근제어수단으로보호할것 2. 공개용웹서버에접근할수있는사용자계정은업무관련자만접속할수있도록제한하고아이디 비밀번호이외에추가인증수단을적용할것 3. 공개용웹서버에서제공하는서비스를제외한다른서비스및시험 개발도구등의사용을제한할것 4. DMZ 구간내에이용자정보등주요정보를저장및관리하지아니할것 ( 다만, 거래로그를관리하기위한경우에는예외로하되이경우반드시암호화하여저장 관리하여야한다 ) 2 금융회사또는전자금융업자는공개용웹서버에게재된내용에대하여다음각호의사항을준수하여야한다. 1. 게시자료에대한사전내부통제실시 2. 무기명또는가명에의한게시금지 3. 홈페이지에자료를게시하는담당자의지정 운용 4. 개인정보의유출및위 변조를방지하기위한보안조치 3 삭제 4 금융회사또는전자금융업자는공개용웹서버가해킹공격에노출되지않도록대응조치하여야한다. 5 금융회사또는전자금융업자는단말기에서음란, 도박등업무와무관한프로그램또는인터넷사이트에접근하는것에대한통제대책을마련하여야한다. 공개용웹서버는외부이용자에게홈페이지및업무서비스를제공하기위해운영되므로내부서버와달리외부로부터접근이허용되므로보안상취약점을이용한해커의공격에취약하여이에대한보안조치가필요 해설 웹서버, 메일서버등공개용웹서버를외부해킹등악의적인접근으로부터보호하기위해 1차침입차단시스템과 2차침입차단시스템사이 (DMZ 구간 ) 에설치하고네트워크및웹접근제어수단등으로보호 ( 제1항제1호 ) - 공개용웹서버가침해당하더라도외부유해트래픽이웹서버를경유해서내부네트워크로침입이불가능하도록침입차단시스템구성 공개용웹서버에접근할수있는사용자계정은업무관련자로제한하고보안강화를위하여사용자ID/ 패스워드인증이외에추가적인인증수단을적용 ( 제1항제2호 ) 68 - 금융감독원

69 공개용웹서버운영에필요한최소한의서비스만을제공하고불필요한서비스는반드시제거 ( 제1항제3호 ) - 공개용웹서버에서는개발및테스트도구등의사용을금지하며, 공개용웹서버에반영하기위한프로그램의변경, 수정및테스트는반드시별도의개발및테스트서버에서실시 공개용웹서버해킹에의한이용자정보등주요정보유출방지를위하여 DMZ구간내에는이용자정보등주요정보의저장및관리를금지함다만, 거래로그관리를위해이용자정보등의저장이필요한경우에는반드시암호화하여저장 관리 ( 제1항제4호 ) 공개게시자료에대한사전내부통제는업무종류, 내용등에대하여포괄적으로적용하며게시자료의개인정보포함여부등에대한내부통제절차를마련 실시하고, 자료게시담당자를지정하고자료게시는지정된담당자로제한 ( 제2항제1호, 제3호 ) 자료게시는무기명또는가명게시를금지하여게시자료에대한신뢰도확보와문제발생시책임관계명확화 ( 제2항제2호 ) 홈페이지서버등에게재되는내용에는개인정보등중요정보가유출되거나위 변조되지않도록게시기간이만료된정보의삭제, 개인을식별할수있는정보는마스킹하여게재, 화면위 변조방지등의조치 ( 제2항제4호 ) 공개용웹서버의취약점이노출되어해커의공격을받지않도록주기적으로점검을실시하고적절한대응조치를마련하여비인가자의접근을허용하거나서버에저장된고객정보유출및웹서버의비정상적인동작을야기하는일련의공격에대응 ( 제4항 ) 직원들이단말기를이용하여음란, 도박등업무와관련이없는인터넷사이트에접근할경우동사이트를통하여스파이웨어, 바이러스등악성코드에감염되고내부통신망을통해조직내에전파될우려가있으므로불필요한사이트의접근통제대책을강구 ( 제5항 ) 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 Financial Supervisory Service - 69

70 전자금융감독규정해설 8. IP 주소관리대책 < 감독규정 > 제18조 (IP주소관리대책 ) 금융회사또는전자금융업자는정보제공자주소 ( 이하 IP주소 라한다 ) 의안전한사용을위하여다음각호를포함하여적절한대책을수립 운용하여야한다. 1. 내부통신망에서사용하는 IP주소의경우사설 IP주소사용등으로보안을강화하며내부 IP주소체계의외부유출을금지할것 2. 개인별로내부 IP주소를부여하여유지 관리할것 3. 내부 IP주소및외부 IP주소의인터넷접속내용을 1년이상별도로기록 보관할것 4. 정보처리시스템의운영담당, 개발담당및외부직원등업무특성별로네트워크를적절하게분리하여 IP 주소를사용할것. 다만, 외부직원등과의공동작업수행등네트워크의분리가어렵다고금융감독원장이정하는경우에는업무특성별로접근권한을분리하여 IP주소를사용할수있다. 5. 내부통신망은다른기관내부통신망과분리하여사용할것 IP는외부에서해킹시가장먼저필요한정보이므로내부 IP는외부에노출되지않도록하여야함. 즉, 외부접속용 IP는공인 IP체계, 내부IP는사설 IP체계를사용하고 NAT 4) (Network Address Translation) 기능을이용하여 IP를관리 해설 내부망에서사용하는 IP주소는사설주소체계를사용하고, 공인IP를제외하여구성. 외부로접속시 NAT기능을이용하여사설주소체계를공인주소로변환 ( 제1호 ) 내부직원의개인별 IP 사용은보안사고의예방및사고발생시원인추적을위한것으로반드시개인별로부여하고가능한고정IP를부여. 다만, 업무담당자 ( 네트워크관리자등 ) 가개인별로 IP를부여하고개인별 IP 부여및변경현황을기록 관리할경우 DHCP(Dynamic Host Configuration Protocol) 방식도사용가능 ( 제2호 ) 내부직원이인터넷접속시접속일시, 출발지및목적지 IP, 접속포트 (Port), 사설IP 주소등을포함하여 1년이상기록 보관 ( 제3호 ) 정보처리시스템의개발담당, 운영담당, 외주직원등에대해업무특성별로네트워크를분리하여 IP를부여함으로써각네트워크별업무특성에따른적절한접근권한통제등보안정책을적용하여보안강화 ( 제4호 ) 4) 공개된인터넷과사설망사이에방화벽 (Firewall) 을설치하여외부공격으로부터사용자의통신망을보호하는기본적인수단으로활용할수있음. 이때외부통신망즉인터넷망과연결하는장비인라우터에 NAT 를설정할경우라우터는자신에게할당된공인 IP 주소만외부로알려지게하고, 내부에서는사설 IP 주소만사용하도록하여필요시에이를서로변환시켜줌. 따라서외부침입자가공격하기위해서는사설망의내부사설 IP 주소를알아야하기때문에공격이불가능해지므로내부네트워크를보호할수있음 70 - 금융감독원

71 한건물에여러기관이상주하는경우금융회사및전자금융업자는같은건물에상주하는다른기관과네트워크를적절히분리하여내부망을구성하고타기관에서금융회사및전자금융업자의침입차단시스템을우회한내부망접속금지 ( 제5호 ) 비조치의견서 ( ) < 요청대상행위 > 외주직원이운영시스템과같은내부망에업무상반드시접속이필요한경우내부 IP를발급하는행위가전자금융감독규정제18조에위반되는지여부 < 판단 > 요청대상행위는전자금융감독규정제18조에위반되지않는것으로판단됩니다. < 판단이유 > 전자금융감독규정제18조제4호에따르면, 정보처리시스템의운영담당, 개발담당및외부직원등업무특성별로네트워크를적절하게분리하여 IP를사용 해야하는데, ㅇ이는업무의종류에따라 IP그룹을별도로지정하여해당업무와무관한자의접근을제한하라는의미로, 외주직원은반드시외부IP를사용해야한다고볼수는없는것으로사료됩니다. 따라서정보처리시스템접근권한이분리되어있고업무상필요한경우외주직원에대한내부IP부여도가능한것으로판단됩니다. 비조치의견서 ( ) < 질의 > IP주소부여와관련하여다음의각관리방안이전자금융감독규정 ( 이하 감독규정 ) 제18조를준수한것인지여부ㅇ (1안)PC별로고정IP를부여하되 PC당 2인의사용자를등록하고사용자인증을거쳐사용하는방법ㅇ (2안) 개인별로 IP를부여하되고정IP가아닌 DHCP방식 * 으로부여하고변경현황을관리하는방법 * DHCP(Dynamic Host Configuration Protocol) 서버로부터임의의유동IP를할당받아서쓰는방식 < 회신 > 1안은감독규정제18조에위반되나, 2안의경우동규정을준수한것으로판단됩니다. < 이유 > 전자금융감독규정제18조제4호에따르면, 정보처리시스템의운영담당, 개발담당및외부직원등업무특성별로네트워크를적절하게분리하여 IP를사용 해야하는데, 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 ㅇ이는업무의종류에따라 IP그룹을별도로지정하여해당업무와무관한자의접근을제한하라는의미로, 외주직원은반드시외부IP를사용해야한다고볼수는없는것으로사료됩니다. Financial Supervisory Service - 71

72 전자금융감독규정해설 따라서정보처리시스템접근권한이분리되어있고업무상필요한경우외주직원에대한내부IP부여도가능한것으로판단됩니다. 비조치의견서 ( ) < 질의 > 외주직원이운영시스템과같은내부망에업무상반드시접속이필요한경우내부 IP를발급하는행위가전자금융감독규정제18조에위반되는지여부 < 회신 > 요청대상행위는전자금융감독규정제18조에위반되지않는것으로판단됩니다. < 이유 > 전자금융감독규정제18조제 4호에따르면, 정보처리시스템의운영담당, 개발담당및외부직원등업무특성별로네트워크를적절하게분리하여 IP를사용 해야하는데, ㅇ이는업무의종류에따라 IP그룹을별도로지정하여해당업무와무관한자의접근을제한하라는의미로, 외주직원은반드시외부IP를사용해야한다고볼수는없는것으로사료됩니다. 따라서정보처리시스템접근권한이분리되어있고업무상필요한경우외주직원에대한내부IP부여도가능한것으로판단됩니다 금융감독원

73 제 5 절 정보기술부문내부통제 1. 정보기술부문계획서 < 감독규정 > 제19조 ( 정보기술부문계획서제출절차등 ) 1 시행령제11조의 2에따라금융위원회에정보기술부문계획서를제출해야하는금융회사또는전자금융업자는현실적이고실현가능한장 단기정보기술부문계획을매년수립 운용하여야한다. 2 금융위원장은금융감독원장으로하여금정보기술부문계획서의적정성등을평가한후관련보고서를제출하게할수있다. 정보화는많은투자비용이소요되고, 전산화방향이금융회사및전자금융업자의경영전략에부합되지않을경우에는대외경쟁력을상실하게될뿐만아니라기투자된비용을회수하기가곤란하여예산낭비를초래하므로이를방지하기위해적절하고타당한장 단기계획을수립하여정보화추진 해설 정보화계획은전략기획 ( 장기계획 ) 과운용계획 ( 단기계획 ) 으로구분하여실현가능한장 단기정보기술부문계획을매년수립 ( 제1항 ) 하여대표자의확인 서명을받아금융감독원에제출 관계법령 < 법 > 제21조 ( 안전성의확보의무 ) 4 대통령령으로정하는금융회사및전자금융업자는안전한전자금융거래를위하여대통령령으로정하는바에따라정보기술부문에대한계획을매년수립하여대표자의확인 서명을받아금융위원회에제출하여야한다. < 시행령 > 제11조의2( 정보기술부문계획수립의대상금융회사등 ) 2 법제21조제4항에따른정보기술부문에대한계획에는다음각호의사항이포함되어야한다. 1. 정보기술부문의추진목표및추진전략 2. 정보기술부문의직전사업연도추진실적및해당사업연도추진계획 3. 정보기술부문의조직등운영현황 4. 정보기술부문의직전사업연도및해당사업연도예산 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 Financial Supervisory Service - 73

74 전자금융감독규정해설 5. 그밖에안전한전자금융거래를위하여정보기술부문에필요한사항으로서금융위원회가정하여고시하는사항 3 법제21조제 4항에따른정보기술부문에대한계획은매사업연도초일 ( 初日 ) 부터 3개월이내에금융위원회에제출하여야한다. 4 제2항에따라정보기술부문에대한계획에포함되어야하는사항의세부내용이나제출방법등에관하여필요한사항은금융위원회가정하여고시한다. 제30조 ( 권한의위탁 ) 1금융위원회는법제48조에따라다음각호의업무를금융감독원장에게위탁한다. 1의2. 법제21조제4항에따른정보기술부문에대한계획의접수 시행령개정에의거, 정보기술부문계획서제출처가금융위에서금감원으로변경됨에따라업무보고서내접수시스템마련 17년 1월부터제출하는정보기술부문계획서는금융정보교환망 * 의 금융감독원보고서작성기 를이용하여제출 * 금융정보교환망 : fines.fss.or.kr, 헬프데스크 : 02) /5413 기준월을회계연도마감월로선택하여조회를누르면, 업무보고서 ( 전자금융거래법령상제출의무보고서 ) 가선택되며, 이중 정보기술부문 (IT) 계획서접수 를선택하여보고서제출전자체체크리스트점검후보고서를제출 보고서제출은회계연도마감이후 3개월이내에회계연도마감월의보고서항목을조회하여제출 ( 마감이후제출불가 ) 74 - 금융감독원

75 ( 참고 ) 정보기술부문계획서제출유의사항 정보기술부문계획서양식 * 을준수하고, 제출전체크리스트를통해스스로필수제출항목의이행여부의확인 * ( 첨부1) 정보기술부문연간계획서양식참고 또한, 작성한정보기술부문계획서내용의전자금융거래법령및규정준수여부에대해스스로점검후제출 < 정보기술부문계획서점검자체체크리스트 > 평가항목 평가근거 정보기술부문계획서자체점검제출포함여부법규준수여부 1제출기한준수 (3개월이내제출 ) 令 11의2 3 YES/NO/ 대상외 - 2대표이사의확인후제출 法 21 4 YES/NO/ 대상외 - 3정보보호위원회의심의 의결 規 8의2 3 YES/NO/ 대상외 - 4( 내용 ) 추진목표및전략 令 11의2 2 YES/NO/ 대상외 적정 / 부적정 5( 내용 ) 직전연도추진실적 令 11의2 2 YES/NO/ 대상외 적정 / 부적정 6( 내용 ) 당해연도추진계획 令 11의2 2 YES/NO/ 대상외 적정 / 부적정 7( 내용 ) 조직등인력운영현황 令 11의2 2 YES/NO/ 대상외 적정 / 부적정 8( 내용 ) 전년및금년예산 令 11의2 2 YES/NO/ 대상외 적정 / 부적정 2. 정보보호교육 < 감독규정 > 제19조의2( 정보보호교육계획의수립시행 ) 1 정보보호최고책임자는임직원의정보보호역량강화를위하여필요한교육프로그램을개발하고, 다음각호의기준에따라매년교육계획을수립 시행하여야한다. 1. 임원 : 3시간이상 ( 단, 정보보호최고책임자는 6시간이상 ) 2. 일반직원 : 6시간이상 3. 정보기술부문업무담당직원 : 9시간이상 4. 정보보호업무담당직원 : 12시간이상 2 최고경영자는정보보호교육을실시한이후대상임직원에대해평가를실시하여야한다. 3 제1항의교육프로그램개발과정보보호교육은정보보호전문교육기관에위탁할수있다. 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 정보보호를위해가장중요한것은임직원의보안인식이므로보안인식강화를위해매년임직원에대한정보보호교육계획을수립하여시행 Financial Supervisory Service - 75

76 전자금융감독규정해설 해설 정보보호최고책임자는임 직원의정보보호인식제고및업무수행역량강화를위하여일반임원, CISO, 일반직원, IT담당직원, 정보보호업무담당직원등임직원의역할및직무에따라최소이수교육시간이상이이행될수있도록연간정보보호교육계획을수립 운영하며, 교육효과제고를위하여교육후평가실시 ( 제1항, 제2항 ) - 금융회사자체적기준에의하여평가가능하며위탁기관평가기준을활용할수있으나, 평가없이특정교육과정의이수만으로대체불가 임직원역할및직무별최소이수교육시간 - 임원 : 3시간이상 ( 단, 정보보호최고책임자는 6시간이상 ) - 일반직원 : 6시간이상 - 정보기술부문업무담당직원 : 9시간이상 - 정보보호업무담당직원 : 12시간이상 집합교육이아닌온라인교육으로도수행가능 법령해석 ( ) < 질의 > 전자금융감독규정 제19조의2에따라정보보호교육계획을수립 운영하는경우에, 그룹계열사등에파견중인임직원에대해서는서면자료배포를통해정보보호교육을시행할수있는지여부 < 회신 > 그룹계열사등에파견중인임직원에대해서면자료배포등을통해정보보호교육을시행할수있습니다. < 이유 > 전자금융감독규정 은동규정제19조의2에따른정보보호교육계획의수립및운영과관련하여정보보호교육의형태및내용을특정하여제한하고있지않으며, 해당금융회사등의정보보호최고책임자의판단에따라임직원의정보보호역량강화를위하여필요한수준의정보보호교육을적절한방식을통해시행하면됩니다. 따라서대면을통한정보보호교육이어렵고, 정보보호교육수료의필요성이비교적낮은금융회사외그룹계열사파견임직원에대해서는서면자료배포를통한정보보호교육도무방할것입니다 금융감독원

77 3. 정보처리시스템구축및전자금융거래관련사업추진 < 감독규정 > 제20조 ( 정보처리시스템구축및전자금융거래관련사업추진 ) 금융회사또는전자금융업자는정보처리시스템및전자금융거래와관련된사업을추진하는경우에다음각호의사항을준수하여야한다. 1. 조직에미치는영향이크거나내부직무전결기준에따라부서장전결금액이상의사업추진시에는사전에충분한타당성검토를실시할것 2. 정보처리시스템의신규사업및통합 전환 재개발등과같은주요추진사업에대하여비용대비효과분석을실시할것 3. 타당성검토와비용대비효과분석결과는전산운영위원회등독립적인조직의승인을받을것 4. 정보처리시스템의안전성과신뢰성을확보하기위하여분석 설계단계부터보안대책을강구할것 대규모 IT사업추진시불필요한투자결정및과잉중복투자방지를위하여금융회사또는전자금융업자의장기발전방향, 금융환경의변화등을반영하여타당성검토및효과분석을실시하고그결과를전산운영위원회의승인을받아 IT사업추진의효율성확보및투명성제고 해설 시스템통합및재개발, 경영전략상중요하다고인정되는사업등조직에미치는영향이크다고판단되는사업, 부서장전결금액이상의 IT사업추진시사전에충분한타당성검토를실시 ( 제1호 ) - 사전검토실시와관련된제반사항 ( 사전검토대상및범위, 담당부서또는담당자, 검토시기및세부적인검토방법등 ) 에대해자체적인기준을설정 운영 - IT사업추진을위한타당성검토시 IT부서실무책임자가참여하여 IT사업추진방향 ( 자체개발, 용역등 ), 선정된 Solution, 업체선정등에대하여 IT부서실무책임자의의견을반영할수있는장치 ( 내부규정또는업무처리절차에반영등 ) 를마련하고, 사전검토결과에대해 IT업무협의회등과같은내부기구에승인또는심의절차준수 일정금액이상의정보처리시스템신규사업, 통합, 전환, 재개발등주요추진사업에대한정당성및효과성확보를위하여비용대비효과분석을실시 ( 제2호 ) 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 - 비용대비효과분석시 IT부서는물론업무부서등타부서를참여시켜 IT 부서에서독단적으로결과를산출하지못하도록투명성을확보하고, IT사업에따른경제적효과와고객편의증진등부수효과에대하여제3자의입장에서충분한 Financial Supervisory Service - 77

78 전자금융감독규정해설 객관성이확보될수있도록구체적이며객관적으로분석실시 IT업무에대한타당성검토와비용대비효과분석결과는전산운영위원회의 (IT운영위원회등 ) 와같은독립적인조직의승인을받아시행될수있도록체계화하여투명성과공정성을제고 ( 제3호 ) 정보처리시스템이취약점을내포하는경우해커의침입경로로이용될수있으므로취약점이노출하지않도록정보시스템개발초기단계 ( 개발및분석 ) 부터적극적으로보안성을검토하여보안대책강구 ( 제4호 ) - 개발초기단계부터보안이고려되지않고개발된시스템을서비스개시이후보안성강화를위하여변경시개발초기단계보다훨씬더많은시간및비용이소요되는등어려움발생하므로개발초기단계부터적극적으로보안성검토실시필요 4. 정보처리시스템구축및전자금융거래관련계약 < 감독규정 > 제21조 ( 정보처리시스템구축및전자금융거래관련계약 ) 금융회사또는전자금융업자는정보처리시스템구축및전자금융거래와관련된계약체결시에다음각호의사항을준수하여야한다. 1. 적합한업체를공정하게선정하기위하여객관적인업체선정기준및절차를마련 운용할것 2. 정보처리시스템의안전성과신뢰성을확보하기위하여제1호에따른기준및절차의내용에는정보보안관련사항을포함할것 3. 공정하고합리적인예정가격산출기준을수립 적용할것 4. 계약금액, 구축완료일자, 납품방법및대금지급방법등계약이행에필요한내용을포함한계약서작성기준을수립 운용할것 5. 구매또는개발한제품의소유권, 저작권및지적재산권등의귀속관계를명확히하여사후분쟁이발생하지않도록할것 6. 납품또는개발이완료된소프트웨어등에대하여공급업체파산등비상사태에대비한대책을마련 운용할것 7. 검수는개발자, 계약자등이해당사자를배제하여공정하게실시할것 8. 계약조항을이행하지못하는사유가발생하였거나계약조항을변경할경우에는검사부서의승인을받을것 9. 내부감사규정에따라감사가정한금액이상의계약에대하여는자체감사를실시하거나검사부서의승인을받을것 78 - 금융감독원

79 정보처리시스템도입, 구축, 운영및전자금융거래관련계약시명확한기준없이당사자간에계약이체결되는경우, 불필요한비용지출또는비용의과잉지출등으로손실이발생할수있으므로업체선정을위한객관적이고합리적인기준을마련하여계약의투명성및공정성확보 해설 정보처리시스템구축및전자금융거래관련계약시공개경쟁입찰, 제한경쟁입찰, 수의계약등계약업체선정을위한제반절차및기준을마련하고합리적인예정가격을산출하기위한기준을마련하여업체선정및계약금액의적정성과공정성을확보 ( 제1호, 제3호 ) IT사업관련계약서상에계약이행에필요한주요사항이누락되지않도록계약서작성기준을마련하여계약내용을적정하게작성하며, 구매또는개발한제품 ( 소프트웨어, 하드웨어등 ) 의소유권, 저작권및지적재산권등의귀속관계를명확히하여사후분쟁이발생하지않도록조치 ( 제4호, 제5호 ) 납품또는개발이완료된소프트웨어등에대하여공급업체파산등비상사태에대비하여문서화및인수 / 인계를철저히하고, 대체서버확보방안강구등대책을수립하고프로그램에대한사용권한만확보한경우에는프로그램소스를제3자에게보관하는등의대책강구 ( 제6호 ) 정보처리시스템도입및구축후검수는이해당사자를배제한제3자에의해객관적이고공정하게실시될수있도록조치 ( 제7호 ) < 참고 > 이해당사자의범위 - 계약자, 개발자및해당부서를포함하며, 검수조서작성시에는이해당사자를완전히배제 공급자또는외부주문업체가계약조항을이행하지못하는사유가발생하였거나계약조항을변경할경우에는과실유 무에따른책임소재에관한내용을계약서에반영하고검사부서의승인을받도록하여업무를공정하게처리하고, 내부감사규정에서정한일정금액이상의계약건은계약의적정성및공정성이확보될수있도록자체감사실시및검사부서승인 ( 제8호, 제9호 ) 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 Financial Supervisory Service - 79

80 전자금융감독규정해설 5. 정보처리시스템감리 < 감독규정 > 제22조 ( 정보처리시스템감리 ) 금융회사또는전자금융업자는정보처리시스템의안전성및효율성확보를위하여다음각호의사항을포함한정보처리시스템감리지침을작성 운용하여야한다. 1. 목적및대상, 시스템감리인, 감리시기및계획등일반기준 2. 기획, 개발및운용의감리실시기준 3. 지적사항및개선사항등감리후보고기준 4. 전자금융업무와관련된외부주문등에대한감리기준 정보처리시스템구축및관련프로젝트수행에있어안전성및효율성향상을위하여전산감리대상, 감리인자격, 감리절차등에대한실현가능한합리적인자체기준을수립하여이행 해설 일반적으로감사는위법, 부당, 부정에대한적발및지적과시정에목적을두는반면전산감리는성과의극대화를위하여기술적인측면에서기획, 개발, 운영단계에이르기까지단계별또는종합적으로합리성, 타당성, 신뢰성, 안전성및효율성등을조사하고감독하는평가행위로감사부서의전산감사업무와구분 감사와감리비교표 구분감사감리 수행업무 - 회계적측면의예산에대한바른집행과집행결과에대한합법성, 정당성, 적정성을조사하고검증 - 완료된행위를대상으로잘못의지적과시정에역점을두며, 사후적인성격이강함 - 기술적측면에서프로젝트가기본계획과설계대로되었으며효율성, 신뢰성, 품질보증등기술적요건이보장되고있는가를감독, 지도하고평가 - 성과의극대화를위한관리적성격이강함 80 - 금융감독원

81 전산감리 5) 에대한세부기준은금융회사또는전자금융업자가자율적으로수립하고감리수행은외부감리인또는내부인력도가능하나, 전산감리인은해당사업에대하여독립성및기술적적격성확보 전산감리지침에포함되어야할내용 ( 예시 ) - 목적및대상기준 - 감리시기및절차 ( 사전 / 사후 / 단계별, 준비 / 계획 / 조사 / 감리 / 보고등 ) - 감리인자격요건및역할 ( 독립성및전문성, 책임및권한등 ) - 기획, 분석 / 설계, 개발및구현, 도입, 운용등의감리실시 - 지적사항, 개선사항등감리후보고및시정조치등 - 특히, 외부주문에의해공급되는전자금융업무관련정보처리시스템은전자금융업무의안전성및효율성확보를위해적극적인감리실시필요 제 4 장 6. 비상대책 < 감독규정 > 제23조 ( 비상대책등의수립 운용 ) 1 금융회사또는전자금융업자는장애 재해 파업 테러등긴급한상황이발생하더라도업무가중단되지않도록다음각호의내용을포함한업무지속성확보방안을수립하여야한다. 1. 상황별대응절차 2. 백업또는재해복구센터를활용한재해복구계획 3. 비상대응조직의구성및운용 4. 입력대행, 수작업등의조건및절차 5. 모의훈련의실시 6. 유관기관및관련업체와의비상연락체제구축 7. 보고및대외통보의범위와절차등 2 제1항에따른업무지속성확보대책에는비상사태에대비한다음각호의안전대책이반영되어야한다. 1. 파업시핵심전산업무종사자의근무지이탈에따른정보처리시스템의마비를방지하기위하여비상지원인력을확보 운영할것 2. 비상사태발생시에도정보처리시스템의마비를방지하고신속히원상복구가될수있도록정보처리시스템운영에대한비상지원인력또는외부전문업체를활용하는방안을수립 운영할것 3. 비상지원인력이사용법을충분히이해하고업무운용이가능한수준으로전산시스템운영지침서, 사용자매뉴얼등을쉽고자세하게작성하고최신상태로유지할것 전자금융거래의 안전성 확보 및 이용자 보호 5) 감리대상으로부터독립성을확보한제 3 자가안전성, 신뢰성, 보안성, 효율성, 경제성, 준거성등의다양한관점에서정보처리시스템구축에대한종합적인분석및평가를통하여문제점을발견하고개선하도록하는것을의미 Financial Supervisory Service - 81

82 전자금융감독규정해설 4. 핵심전산업무담당자부재시에도비상지원인력이업무를수행할수있도록비상지원인력에대한연수를실시할것 3 금융회사또는전자금융업자는제1항의규정에따른업무지속성확보대책의실효성 적정성등을매년 1회이상점검하여최신상태로유지하고관리하여야한다. 4 국가위기관리기본지침 에따라금융위원회가지정한금융회사는금융위원회의 금융전산분야위기대응실무매뉴얼 에따라위기대응행동매뉴얼 ( 이하 행동매뉴얼 이라한다 ) 을수립하고이를금융위원회에알려야한다. 5 금융위원회가별도로지정하지아니한금융회사또는전자금융업자는자연재해, 인적재해, 기술적재해, 전자적침해등으로인한전산시스템의마비방지와신속한복구를위한비상대책을수립하여야한다. 6 제4항에따른행동매뉴얼또는제5항에따른비상대책에는제1항의규정에따른업무지속성확보대책이반영되어야한다. 7 금융회사또는전자금융업자는중앙처리장치, 데이터저장장치등주요전산장비에대하여이중화또는예비장치를확보하여야한다. 8 다음각호의금융회사는시스템오류, 자연재해등으로인한전산센터마비에대비하여업무지속성을확보할수있도록적정규모 인력을구비한재해복구센터를주전산센터와일정거리이상떨어진안전한장소에구축 운용하여야한다. 1. 은행법 에의해인가를받아설립된은행 ( 다만, 은행법 제58조에의해인가를받은외국금융회사의국내지점은제외한다 ) 2. 한국산업은행법 에의한한국산업은행, 중소기업은행법 에의한중소기업은행, 농업협동조합법 에의한농협은행, 수산업협동조합법 에의한수산업협동조합중앙회의신용사업부문 3. 자본시장과금융투자업에관한법률 에의한투자매매업자 투자중개업자 ( 다만, 자본시장과금융투자업에관한법률 제12조에의해인가를받은외국투자매매업자 투자중개업자의지점등은제외한다 ) 4. 자본시장과금융투자업에관한법률 에의한증권금융회사및한국예탁결제원 5. 자본시장과금융투자업에관한법률 에의한거래소 6. 여신전문금융업법 에의한신용카드업자 ( 다만, 법인신용카드회원에한하여신용카드업을영위하는자는제외한다 ) 7. 보험업법 에의한보험요율산출기관 8. 상호저축은행법 에의한상호저축은행중앙회 9. 신용협동조합법 에의한신용협동조합중앙회 10. 보험업법 에의한보험회사 9 제8항각호의금융회사는업무별로업무지속성확보의중요도를분석하여핵심업무를선정하여야하며, 업무별복구목표시간을정하여야한다. 이경우핵심업무의복구목표시간은 3시간이내로하되, 보험업법 에의한보험회사의핵심업무의경우에는 24시간이내로한다. 10 제8항의규정에따른재해복구센터를운영하는금융회사는매년 1회이상재해복구센터로실제전환하는재해복구전환훈련을실시하여야한다 금융감독원

83 정보처리시스템의장애, 사고, 재해, 파업등으로인한중단사태에대비하여업무지속성확보방안이마련될수있도록비상대책을수립하고이에대한정기적인훈련을실시 해설 장애, 재해, 파업, 전자적침해등발생가능한모든위험으로부터업무가중단되지않도록다음의사항을포함한업무지속성확보방안을수립 ( 제1항 ) - 장애, 재해, 파업, 전자적침해등각비상상황별적절한대응절차 - 백업또는재해복구센터를활용한재해복구계획 - 사고발생시신속하게대응할수있도록비상대응조직구성및운용 - 비상상황발생에도지속적으로업무처리가가능하도록입력대행, 수작업등의조건및절차마련 - 업무지속성확보방안의실효성이제고될수있도록정기적으로상황별모의훈련실시 - 발생상황의금융업계파급차단및신속한해결을위한유관기관및관련업체와의비상체계구축 - 상황발생에대한보고및대외통보의범위와절차등 비상사태가발생할경우에도정보처리시스템의정상적인운영이가능하도록업무지속성확보대책에는비상지원인력확보등다음의안전대책을포함 ( 제2항 ) - 파업으로핵심업무종사자가근무지를이탈하는경우에도정상적인정보처리시스템운영이가능하도록비상지원인력확보 - 비상사태가발생하는경우정보처리시스템의마비방지및신속한원상복구를위하여정보처리시스템운영에대한비상지원인력또는외부전문업체활용방안수립 운영 - 전산시스템운영에필요한운영지침서, 사용자매뉴얼등을최신상태로유지하고, 비상지원인력에대해담당업무연수를정기적으로실시하여비상사태발생시업무수행이원활하게이루어지도록조치 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 업무지속성확보대책의실효성및적정성등을매년 1회이상점검하고최신상태를유지하여실제비상사태발생시전자금융업무가중단없이서비스되도록조치 ( 제3항 ) Financial Supervisory Service - 83

84 전자금융감독규정해설 비상대책 ( 위기대응매뉴얼포함 ) 의내용은장애및재해유형에따라복구절차, 복구예상시간, 복구우선순위, 담당자, 연락체계등을구분하여수립 ( 제4항, 제5항 ) < 예시 > 전산센터마비에대비한비상대책포함요소 - 재해선포절차 ( 예 : 결정자, 선포자등 ) - 대체시스템가동에필요한데이터및프로그램의준비 ( 예 : 데이터백업, 당일거래기록백업, 관련프로그램백업등 ) - 대체시스템가동절차 ( 예 : 업무별담당자, 담당자별처리절차, 시스템및통신망가동절차, 대체시스템확인절차, 영업점처리절차등 ) - 훈련및테스트계획 ( 예 : 훈련대상, 주기등 ) - 정상시스템전환절차 ( 예 : 데이터확인, 정상화선언 ) 비상대책 ( 위기대응매뉴얼포함 ) 은모든서비스를동시에대체할수있도록계획할수있으나, 비용, 기기용량, 신속성등을고려하여긴급한업무중심으로대상을선정할것인지모든서비스를대상으로선정할것인지에대하여자율적으로결정하며, 위기대응매뉴얼을수립한금융회사는금융위원회에알림 ( 제4항 ) 비상대책 ( 위기대응매뉴얼포함 ) 은수립및문서화하는것으로완료된것이아니고이에대한정기적인훈련이더욱중요하며, 시스템환경이변화된경우이를즉시비상대책에반영하여야함 ( 제3항, 제5항 ) 위기대응행동매뉴얼또는비상대책에는업무지속성확보대책을반영 ( 제6항 ) 서버, 데이터저장장치, 통신중계장치등의주요전산장비및통신회선에대하여는장애발생에대비하여이중화또는예비장비를확보하여야하며, 예비장비를보유하고있지않을경우에는납품업체또는제조업체와계약을통하여예비장비를우선수급받을수있도록조치 ( 제7항 ) 주전산센터가동중단에대비하여구축한재해복구센터는재해발생시주전산센터와동일한재해에영향을받지않도록주전산센터로부터일정거리이상떨어진안전한장소에구축 운영 ( 제8항 ) 제8항의규정에따른금융회사등은자체적으로업무의중요도를분석하여핵심업무를선정하고, 핵심업무가주센터를통한서비스가곤란한경우에도재해복구센터를이용하여복구목표시간내에서비스가가능하도록업무지속성이확보되어야함. 이경우복구목표시간은 3시간이내이며, 보험회사는 24시간이내임 ( 제9항 ) 84 - 금융감독원

85 < 예시 > 핵심업무 ( 17.4 월금융회사재해복구센터구축 운영가이드 - 금융보안원참고 ) ( 은행 ) 개인. 여신 수신, 기업여신 수신, 어음 / 수표, 연금, 방카슈랑스, 환전, 외화예금, 수출입, FX / 파생상품, 송금, SWIFT, 모바일 인터넷뱅킹, CD / ATM, 텔레뱅킹, 금융결제원공동망 (CD, 전자금융, 타행환, ARS) 등 ( 증권 ) 주식, 채권, 선물 / 옵션, 기타파생상품, 펀드, 입출금관리, 입출고관리, 소액지급, 모바일 인터넷뱅킹, 모바일 인터넷트레이딩. CD / ATM, 텔레뱅킹 / ARS, 계좌개설, 계좌원장, 잔고관리등 ( 보험 ) 사고접수, 사고조사, 보험금지급, 대출신청, 대출심사, 대출금지급, 신규계약, 계약심사, 계약변경등 ( 카드 ) 국내 외온라인승인, 국내 외오프라인승인, 회원한도관리, 회원정보관리, 신용정보관리, 카드정산 청구, 실시간입금 자동이체, 가맹점대금지급 정보관리, 매입심사 연계, 현금서비스 ( 이체 / 지급 ), 신용판매 ( 일시불 / 할부 ), 온라인결제 [ 승인 ], ISP인증, 모바일카드, 카드발급 조회등 제8항의규정에의거재해복구센터를운영하는금융회사는매년 1회이상재해복구센터로실제전환하는재해복구전환훈련을실시 ( 제10항 ) 7. 비상대응훈련 < 감독규정 > 제24조 ( 비상대응훈련실시 ) 1 금융회사또는전자금융업자는제23조제4항에따른행동매뉴얼또는같은조제5항에따른비상대책에따라연 1회의비상대응훈련을실시하고그결과를금융위원회에보고하여야한다. 이때, 제23조제10항에따른재해복구전환훈련을포함하여실시할수있다. 2 금융위원회는금융분야의비상대응능력을강화하기위하여금융회사또는전자금융업자를선별하여금융분야합동비상대응훈련을실시할수있다. 3 금융위원회는제2항의규정에따른합동비상대응훈련을실시할때, 다음각호의기관에게지원을요청할수있다. 1. 정부조직법 제15조에따른 국가정보원 ( 국가사이버안전센터 ) 2. 경찰법 제2조에따른 경찰청 ( 사이버테러대응센터 ) 3. 침해사고대응기관 4. 그밖에비상대응훈련의실효성확보를위하여금융위원회가필요하다고인정하는기관 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 Financial Supervisory Service - 85

86 전자금융감독규정해설 위기대응행동매뉴얼및비상대책을수립한금융회사또는전자금융업자는위기대응행동매뉴얼또는비상대책에따라비상대응훈련을연 1회실시하여재해, 장애등비상사태발생시에도업무지속성확보 해설 금융회사또는전자금융업자는장애, 재해, 파업, 전자적침해등발생가능한모든위험으로부터업무중단방지및신속한복구를위하여위기대응행동매뉴얼및비상대책에따라연 1회비상대응훈련을실시하여야하며, 이때재해복구훈련을포함하여실시할수있으며, 훈련실시결과를금융위원회에보고 ( 제1항 ) 8. 정보처리시스템의성능관리 < 감독규정 > 제25조 ( 정보처리시스템의성능관리 ) 금융회사또는전자금융업자는정보처리시스템의장애예방및성능의최적화를위하여정보처리시스템의사용현황및추이분석등을정기적으로실시하여야한다. 최적의정보처리시스템용량확보를통한장애예방및성능최적화를실현함으로써시스템의가용성확보및대고객서비스를제고하고, 효과적인자원활용을통한비용절감등을동시에추구하기위하여정기적으로정보처리시스템자원의사용현황및추이분석실시 해설 정보처리시스템의용량부족으로인한서비스지연, 장애등을방지하기위하여다음과같은조치를시행하고결과를기록 보관 - 전산기기에대한용량분석 (Capacity Planning) - 피크타임 (peak time) 기준의시스템상태, 이용도모니터링및응답시간지연등의이상징후발생시원인분석 - 시스템용량확장시점예측을위한이용도분석 (CPU, Storage Memory, I/O Channel 등 ) - 신규업무개발시전산시스템의수용능력을평가하여기운영업무에영향을주지않도록조치 - 미사용시스템의자원분석을통하여적정배분사용등 86 - 금융감독원

87 9. 직무분리 < 감독규정 > 제26조 ( 직무의분리 ) 금융회사또는전자금융업자는다음각호의업무에대하여직무를분리 운영하여야한다. 1. 프로그래머와오퍼레이터 2. 응용프로그래머와시스템프로그래머 3. 시스템보안관리자와시스템프로그래머 4. 전산자료관리자 (librarian) 와그밖의업무담당자 5. 업무운영자와내부감사자 6. 내부인력과전자금융보조업자및유지보수업자등을포함한외부인력 7. 정보기술부문인력과정보보호인력 8. 그밖에내부통제와관련하여직무의분리가요구되는경우 직무분리는동일인이여러업무를수행함으로인하여발생할수있는시스템조작, 원장변경등의사고를방지하기위한것으로, 직무분리는담당업무별로업무를분리하는것이바람직하며최대한상호견제가이루어질수있도록통제체계마련 운영 해설 직무분리의일반적인방법 - 입력 승인 확인등모든거래과정이동일직원에의해처리되지않도록분리 - 프로그램개발자와시스템운영자분리 - 데이터베이스관리자와시스템및응용프로그래머분리 - 시스템프로그래머의작업에대한자체감사자의통제 - 전산기기운영자 (Operator) 에대한자체감사자또는시스템프로그래머의통제 - Batch 프로그램에의한온라인데이터베이스접근통제 - 업무개발자와관리자의분리 - 내부감사자및보안관리자의타업무겸임금지 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 Financial Supervisory Service - 87

88 전자금융감독규정해설 ( 참고 ) 직무별설명 직무프로그래머오퍼레이터응용프로그래머시스템프로그래머시스템보안관리자전산자료관리자 (Librarian) 설명 컴퓨터프로그래밍을하고소프트웨어를개발하는자프로그램의운영또는개발을담당하지않는프로그래머는제한된프로그램에대해서만접근을허용 정보처리시스템을조작하여운용하는자프로그램소스를직접확인하거나수정하여서는안됨실행용 (Production) 전산원장을이용하는배치작업을담당자의의뢰없이는오퍼레이터의임의수행금지및프로그램개발자의직접실행금지 ( 시스템유지보수기능을하는프로그램을제외 ) 사용자를위한프로그램을개발하는자응용프로그래머가운영체제실행명령어를사용하는것을금지하여야하며, 특히어셈블러와같은기계어에가까운저급언어를사용할경우에는더욱통제를철저히실시 운영체제, 데이터베이스시스템및어플리케이션개발을지원하는기술적지원그룹으로소프트웨어공급업자, 응용프로그래머, 컴퓨터운영요원사이의매개역할을담당 비인가된접근으로부터통신네트워크및시스템, 응용서비스등을보호하는역할을담당 전산자료및관련매체를관리하는자 10. 전산원장통제 < 감독규정 > 제27조 ( 전산원장통제 ) 1 금융기관또는전자금융업자는장애또는오류등에의한전산원장의변경을위하여별도의변경절차를수립 운용하여야한다. 2 제1항의절차에는변경대상및방법, 변경권한자지정, 변경전후내용자동기록및보존, 변경내용의정당여부에대한제3자확인등이포함되어야한다. 3 금융회사또는전자금융업자는대차대조표등중요자료의계상액과각종보조부 거래기록 전산원장파일의계상액에대한상호일치여부를전산시스템을통하여주기적으로확인하여야한다. 4 금융회사또는전자금융업자는제3항에따른확인결과불일치가발견된때에는그원인및조치내용을전산자료의형태로 5년간보존하여야한다. 5 금융회사또는전자금융업자는이용자중요원장에직접접근하여중요원장을조회 수정 삭제 삽입하는경우에는작업자및작업내용등을기록하여 5년간보존하여야한다. 전산원장은금융회사의가장중요한정보로고객본인의정상적인거래시에만변경되어야하나프로그램오류, 거래오류, 시스템장애등으로인하여변경이불가피한경우에는엄격한통제절차에의하여변경이이루어지도록하고사후철저한검증실시 88 - 금융감독원

89 해설 전산시스템장애또는프로그램오류등에의한전산원장변경절차수립시다음사항을고려 - 변경대상및방법명시 : 사전에변경대상을지정하여변경대상정보에대하여만변경토록하고, 만약절차에지정된변경대상이외의정보에대하여변경이필요한경우에는변경절차에변경대상및방법을추가 ( 제1항 ) - 변경전후내용의자동기록및보존 : 온라인이외의방법으로변경이일어날경우거래 Log에기록이되지않기때문에별도의프로그램이작성되어있지않을경우변경내용에대한확인이불가능하므로반드시변경전 후내용이기록되도록프로그램이준비되어있어야하고, 동기록은 5년간보관 관리 ( 제5항 ) 원장수정은불법수정과고객정보유출등의사고예방을위하여전담자를지정하고전용단말기를통해수정할수있도록하며자체감사부서의상시감시대상에포함하여모니터링실시 ( 제2항 ) 전산원장수정의경우에는제3자가수정의정당성을사전승인토록하고, 원장수정전후내역을전산기록 (logging) 하고 5년간보존 ( 제2항, 제5항 ) - 전산원장변경시제3자의범위는객관적으로확인이가능한자로감사부서, IT자체감사부서, 준법감시팀등이해당됨 - 정기적으로실행되는일괄작업 (BATCH) 의경우최초 1회시에만적용하여도가능 주요자료의계상액과각종보조부, 거래기록, 전산원장파일의계상액이상호불일치할경우불일치내용, 원인, 조치사항을전산시스템으로 5년간보관하여추후사고발생시근거자료로활용 ( 제4항 ) 사고발생시사고원인추적및근거자료로활용이가능하도록중요전산원장접근 ( 조회, 수정, 삭제, 삽입등 ) 로그를작업자, 작업일시, 작업내용등의전산자료형태로 5년간기록 보관 ( 제5항 ) 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 Financial Supervisory Service - 89

90 전자금융감독규정해설 11. 거래통제 < 감독규정 > 제28조 ( 거래통제등 ) 1 금융회사또는전자금융업자는사고위험도가높은거래에대하여는책임자승인거래로처리토록하는등전산시스템에의한이중확인이가능하도록하여야한다. 2 금융회사또는전자금융업자는전산원장, 주요정보또는이용자정보등이저장된정보처리시스템에대한중요작업수행시책임자가이중확인을해야한다. 일정금액이상의고액인출, 각종사고신고, 계좌일괄조회, 정정거래등사고위험도가높거나이상거래의개연성이있는업무에대해서는업무담당자가단독으로처리할경우사고위험이높으므로책임자가정보처리시스템에의하여실무자가확인된결과를재확인 해설 책임자승인거래업무범위에대하여사전에지정하고, 신규업무개발시에는책임자승인거래대상여부를확인하여해당되는업무는반드시추가하고현재운영되고있는책임자승인거래대상및범위에대하여확인 ( 제1항 ) 책임자승인방식은책임자의개입없이담당자가단독으로업무를처리할수없도록비밀번호방식보다는물리적수단 ( 카드키, 지문, OTP 등 ) 에의한인증방식의적용을권고하고책임자부재등부득이한경우에는책임자가사전에지정한업무대행자가확인하도록전산시스템을개발 전산원장, 이용자정보, 전자금융거래정보등이저장되어있는정보처리시스템에대한중요작업수행시정보유출등의사고예방을위하여책임자가작업내용이중확인 ( 제2항 ) 12. 프로그램통제 < 감독규정 > 제29조 ( 프로그램통제 ) 금융회사또는전자금융업자는다음각호의사항을포함한프로그램등록 변경 폐기절차를수립 운용하여야한다. 1. 적용대상프로그램종류및등록 변경 폐기방법을마련할것 2. 프로그램변경전후내용을기록 관리할것 3. 프로그램등록 변경 폐기내용의정당성에대해제3자의검증을받을것 4. 변경필요시해당프로그램을개발또는테스트시스템으로복사후수정할것 90 - 금융감독원

91 5. 프로그램에대한접근은업무담당자에한정할것 6. 운영시스템적용은처리하는정보의기밀성 무결성 가용성을고려하여충분한테스트및관련책임자승인후실시할것 7. 프로그램반출, 실행프로그램의생성및운영시스템등록은전산자료관리자등해당프로그램담당자이외의자가수행할것 8. 운영체제, 데이터베이스관리프로그램등의시스템프로그램도응용프로그램과동일한수준으로관리할것 9. 프로그램설명서, 입 출력레코드설명서, 프로그램목록및사용자 운영자지침서등프로그램유지보수에필요한문서를작성 관리할것 10. 전자금융거래에사용되는전산프로그램은실제업무를처리하는정보처리시스템에설치하기전에자체보안성검증을실시할것 프로그램은전산업무처리의근본으로이에대한관리및변경은신중하게통제되어야하며특히, 보유프로그램목록관리, 프로그램변경및접근통제실시 해설 정보처리시스템에서사용되고있는모든프로그램에대하여목록을작성 ( 전자파일포함 ) 하여관리하고 ( 제1호 ) 프로그램변경시프로그램소스관리를위하여현재사용중인최신버전의프로그램 ( 소스 ) 를변경하여야하며, 구버전의프로그램을변경하지않도록프로그램변경관리절차를수립하여운영하여야하고가급적자동화된프로그램소스관리툴 ( 형상관리도구 ) 을활용 ( 제2호 ) 프로그램의변경은변경사유가명확하여야하고, 변경내용에대한확인및실시스템 (Production System) 적용은해당프로그램개발자가아닌제3자에의하여정확히이루어질수있도록절차를마련 ( 제3호 ) 보관중인프로그램소스에대한접근은업무담당자로한정하며, 프로그램소스접근통제및관리절차를수립 운영 ( 제5호 ) 사용중인프로그램변경을위한반출, 실행프로그램생성및운영시스템등록업무를개발담당자가직접수행하는것을금지 ( 제7호 ) 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 중요도가높은시스템운영체제, 데이터베이스관리프로그램등의시스템프로그램의변경또는패치프로그램적용시충분한테스트를실시하고관리권한을최소한으로한정하는등관리통제를강화하여업무서비스장애발생가능성최소화 ( 제8호 ) Financial Supervisory Service - 91

92 전자금융감독규정해설 프로그램담당자의사직, 유고, 업무이동등으로담당자가변경되는경우프로그램관리가원활하게이루어질수있도록관련문서를상세히작성하고최신상태유지 ( 제9호 ) 전자금융거래용전산프로그램은보안취약성을내포하는경우해커에의한침입경로및악성코드유포수단으로사용될수있으므로실운영시스템에반영하기전에취약점점검등프로그램에대한자체보안성검증실시 ( 제10호 ) 13. 일괄작업에대한통제 < 감독규정 > 제30조 ( 일괄작업에대한통제 ) 금융회사또는전자금융업자는안전하고체계적인일괄작업 (batch) 의수행을위하여다음각호의사항을준수하여야한다. 1. 일괄작업은작업요청서에의한책임자의승인을받은후수행할것 2. 일괄작업은최대한자동화하여오류를최소화할것 3. 일괄작업수행과정에서오류가발생하였을경우반드시책임자의확인을받을것 4. 모든일괄작업의작업내용을기록 관리할것 5. 책임자는일괄작업수행자의주요업무관련행위를모니터링할것 일괄작업의경우하나의프로그램에의하여대량자료가변경되기때문에데이터의무결성 신뢰성 정확성을유지하기위하여작업처리에대한철저한통제실시 ( 일괄작업으로전산원장을변경하는경우에도규정제27조준수필요 ) 해설 일괄작업은표준화된작업의뢰서를작성하고업무담당책임자의승인하에운영요원에게제출되어야하며, 운영요원에의해일괄작업내용이변경되거나부당작업이수행되지아니하도록작업통제절차를수립 ( 제1호 ) 일괄작업에대한책임자의승인은정형화된경우에는일괄하여승인할수있으나, 비정형화된경우에는건별로승인 ( 제1호 ) 일괄작업의수작업처리오류로인해발생하는시스템지연가동또는장애최소화를위하여일괄작업을최대한자동화 ( 제2호 ) 92 - 금융감독원

93 일괄작업수행과정에서오류가발생하는경우작업을중단하고해당업무책임자의확인을받도록하고오류일시, 오류내용, 확인자등을기록 관리 ( 제3호, 제4호 ) 일괄작업은시스템운영에중대한영향을미칠수있으므로사고예방을위하여책임자는일괄작업수행자의비정형일괄작업, 오류처리, 비정상작업종료등주요업무관련행위를모니터링 ( 제5호 ) 14. 암호프로그램및키관리통제 < 감독규정 > 제31조 ( 암호프로그램및키관리통제 ) 1 금융회사또는전자금융업자는암호프로그램에대하여담당자지정, 담당자이외의이용통제및원시프로그램 (source program) 별도보관등을준수하여유포및부당이용이발생하지않도록하여야한다. 2 금융회사또는전자금융업자는암호및인증시스템에적용되는키에대하여주입 운용 갱신 폐기에대한절차및방법을마련하여안전하게관리하여야한다. 제 4 장 암호프로그램과암호키가유출될경우금융거래에서가장중요한고객정보인주민번호, 계좌비밀번호, 일회용비밀번호등의유출사고로이어질수있으므로일반프로그램보다더욱철저히관리 해설 암호프로그램및암호키는전담담당자를지정하여관리토록하고, 전산부서직원인경우에도담당자이외에는접근통제철저 ( 제1항 ) - 특히, 프로그램내에하드코딩된키로암호화하지않도록주의 암호프로그램의소스는 M/T, IC카드등의보조저장매체를이용하여별도로보관하여야하며서버, 개발자 PC 등에소스저장금지, 또한암호화프로그램이복사된보조저장매체는비밀문서에준하여안전한장소에보관 ( 제1항 ) 암호프로그램관련설계서도암호프로그램과동일하게비밀문서에준하여관리 ( 제1항 ) 전자금융거래의 안전성 확보 및 이용자 보호 암호프로그램을외부주문에의하여개발한경우사용되는키는외부주문업체로부터인수즉시변경하여야하며암호키의생성, 운용, 주입및폐기는해당금융회사또는전자금융업자의지정된담당자가직접수행 ( 제2항 ) Financial Supervisory Service - 93

94 전자금융감독규정해설 실시스템의암호및인증시스템에서이용하고있는키와테스트시스템에서테스트용으로사용되고있는키는동일한키의사용금지 ( 제2항 ) 15. 내부사용자비밀번호관리 < 감독규정 > 제32조 ( 내부사용자비밀번호관리 ) 금융회사또는전자금융업자는내부사용자의비밀번호유출을방지하지위하여다음각호의사항을정보처리시스템에반영하여야한다. 1. 담당업무외에는열람및출력을제한할수있는접근자의비밀번호를설정하여운영할것 2. 비밀번호는다음각목의사항을준수할것가. 비밀번호는이용자식별부호 ( 아이디 ), 생년월일, 주민등록번호, 전화번호를포함하지않은숫자와영문자및특수문자등을혼합하여 8자리이상으로설정하고분기별 1회이상변경나. 비밀번호보관시암호화다. 시스템마다관리자비밀번호를다르게부여 3. 비밀번호입력시 5회이내의범위에서미리정한횟수이상의입력오류가연속하여발생한경우즉시해당비밀번호를이용하는접속을차단하고본인확인절차를거쳐비밀번호를재부여하거나초기화할것 내부사용자의비밀번호는정보처리시스템에직접접근하여고객정보, 금융거래정보등에접근할수있는권한을부여하는핵심정보이므로비밀번호유출방지대책마련 해설 금융회사내부사용자가본인의담당업무에대해서만정보시스템에저장되어있는정보를열람, 출력할수있도록금융회사내부사용자에대하여담당업무별로비밀번호설정 운영 ( 제1호 ) 비밀번호설정시아래와같은경우에는비밀번호로등록이되지않도록관련프로그램에반영 ( 제2호 ) - 비밀번호의자릿수가 8자리미만인경우 - 비밀번호가사용자계정 (ID) 을포함하는경우 - 영문자, 숫자, 특수문자를혼합하지않은경우 주민등록번호, 전화번호등쉽게유추가능한개인신상정보, 연속숫자및동일숫자나문자를연속해서사용하지않도록조치필요 ( 제2호 ) 94 - 금융감독원

95 시스템관리자비밀번호는해킹등에의한비밀번호유출에대비하여비밀번호를시스템마다다르게부여하여보안강화 ( 제2호 ) 비밀번호는암호화하되업무포털등의사용자계정비밀번호뿐만아니라그외서버나 DB의접속을위한사용자계정비밀번호도암호화필요 ( 제2호 ) 내부사용자의비밀번호오류허용횟수는 5회이내의범위에서금융회사에서자율적으로정하여운영하고, 오류횟수는일단위가아니고누적횟수를적용 ( 제3호 ) 비밀번호입력오류횟수를초과하지않은상태에서정상적인비밀번호를입력하는경우에는누적오류발생횟수를 0 으로변경가능 ( 제3호 ) 16. 이용자비밀번호관리 < 감독규정 > 제33조 ( 이용자비밀번호관리 ) 1 금융회사또는전자금융업자는정보처리시스템및전산자료에보관하고있는이용자의비밀번호를암호화하여보관하며동비밀번호를조회할수없도록하여야한다. 다만, 비밀번호의조회가불가피하다고인정되는경우에는그조회사유 내용등을기록 관리하여야한다. 2 금융회사또는전자금융업자는이용자의비밀번호유출을방지하기위하여다음각호의사항을정보처리시스템에반영하여야한다. 1. 주민등록번호, 동일숫자, 연속숫자등제3자가쉽게유추할수있는비밀번호의등록불가 2. 통신용비밀번호와계좌원장비밀번호를구분해서사용 3. 5회이내의범위에서미리정한횟수이상의비밀번호입력오류가발생한경우즉시해당비밀번호를이용하는거래를중지시키고본인확인절차를거친후비밀번호재부여및거래재개 ( 이체비밀번호등동일한비밀번호가다양한형태의전자금융거래에공통으로이용되는경우, 입력오류횟수는이용되는모든전자금융거래에대하여통산한다 ) 4. 금융회사가이용자로부터받은비밀번호는거래전표, 계좌개설신청서등에기재하지말고핀패드 (PIN pad) 등보안장치를이용하여입력받을것 5. 신규거래, 비밀번호변경, 이체신청과같이비밀번호를등록 사용하는경우사전에신청서등에기입하지않고, 핀패드등보안장치를이용하거나이용자가사후에전자적장치를이용하여직접입력하는방식으로운영할것 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 이용자의비밀번호는예금거래, 주식거래, 보험청약등에서핵심이되는정보로서금융회사직원이라하여도임의로조회금지 Financial Supervisory Service - 95

96 전자금융감독규정해설 이용자는여러종류의비밀번호를암기하기가어려워본인의신상과관련이있는숫자를사용하는것이일반적이므로전산시스템에서유추가능한비밀번호의등록을제한하고, 일정횟수이상의입력오류발생시에는사용을정지시킴으로써전자금융사고예방 해설 접속용비밀번호, 원장비밀번호, 현금카드비밀번호등과같은이용자비밀번호는암호화하도록하고, 정보처리시스템에저장하여금융회사업무담당자도조회가불가능하도록운영 ( 제1항 ) - 비밀번호조회가불가피할경우조회사유 내용등을기록 관리 비밀번호설정시아래와같은경우에는비밀번호등록이불가하도록시스템구현 ( 제2항 ) - 이용자의주민등록번호, 전화번호등과같이쉽게유출가능한개인신상정보를이용한비밀번호 - 연속숫자, 연속문자, 동일숫자, 이름등과같이제3자가비밀번호를쉽게유추할수있는경우 - 이용자가전자금융거래이용을위하여금융회사또는전자금융업자의정보처리시스템에접속시사용하는로그인비밀번호, ARS 비밀번호등을계좌원장비밀번호와동일하게설정하는경우 - 전자금융거래를이용하기위하여채널접속에사용하는비밀번호는영 숫자 특수문자를혼합하여보안성을강화, 다만유선전화와같이영문입력이곤란한경우에는숫자로만설정가능 이용자가전자금융수단을이용하여비밀번호를입력시금융회사가사전에정한일정횟수 ( 예, 3회등 ) 를초과입력한비밀번호에대하여입력오류가발생한경우즉시해당비밀번호를이용하는거래를중지시키고본인확인절차를거친후비밀번호재부여 ( 제2항제3호 ) 계좌원장비밀번호, 이체비밀번호등비밀번호가인터넷뱅킹, 자동화기기 (CD/ATM), 텔레뱅킹등과같이다양한형태의전자금융거래에서공통으로이용되는경우입력오류횟수를모든전자금융거래에대하여통산하여적용 ( 제2항제3호 ) 96 - 금융감독원

97 ( 참고 ) 비밀번호오류시거래제한 유형 계좌원장비밀번호오류 일회용비밀번호오류특정전자금융거래에서만사용하는비밀번호오류 설명 이체, 출금, 조회 ( 계좌원장비밀번호를입력하는경우에한정 ) 등계좌원장비밀번호를이용하는전자금융거래제한인터넷뱅킹, 텔레뱅킹등에서일회용비밀번호를사용하는전자금융거래제한 해당전자금융거래만제한예 ) ARS 전용이체비밀번호오류횟수초과시 ARS 이체만불가, 조회가능 법령해석 ( ) < 질의 > ACS(Auto Call System) 를통한비밀번호입력방식이전자금융감독규정제33조 ( 이용자비밀번호관리 ) 제2항제4호내지 5호에서규정하고있는 핀패드등보안장치또는전자적장치 에해당하는지여부 < 회신 > 귀사의 ACS는전자금융감독규정제33조제2항제4호또는제5호에서규정하고있는핀패드 (Pin-Pad) 와동등또는유사한방식으로판단됩니다. < 이유 > 핀패드는통상고객의통장개설신청서, 전표등에기재된비밀번호가금융회사직원의업무처리또는전표폐기과정에서유출되는것을방지하기위하여, ㅇ고객이거래용지등에비밀번호를쓰는대신손으로직접입력할수있게하는장치 ( 금융용어사전, 금융감독원 ) 를의미합니다. 귀사의 ACS 는고객이비밀번호를신청서, 전표등에기재하지않고고객의단말기를이용하여직접입력한다는점에서본질적으로핀패드와동등또는유사한방식으로판단됩니다. ㅇ다만, 귀사의 ACS는통상금융회사의비밀번호입력기를사용하는통상적핀패드와달리고객의단말기를사용한다는점에서더욱엄격한관리가필요할것으로판단됩니다. 법령해석 ( ) < 질의 > 이용자의계좌원장비밀번호입력오류로인해 전자금융감독규정 제33 조제 2항제 3호에따른본인확인절차가필요한경우, 동조항상본인확인절차가 지점방문을통한대면확인 만을의미하는것인지여부 < 회신 > 전자금융감독규정 제 33 조제 2 항제 3 호에따른본인확인절차는원칙적으로지점방문을통한대면확인만을의미하는것은아니며, 비대면인증기술을통한비대면본인확인도가능합니다. 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 < 이유 > 전자금융감독규정 제33조제2항제3호는본인확인절차를대면또는 실명증표의확인 등으로특정방식으로한정하고있지않은바, 금융회사의판단에따라적절한본인확인절차를적용토록함이바람직합니다. Financial Supervisory Service - 97

98 전자금융감독규정해설 제 6 절 전자금융업무 1. 전자금융거래시준수사항 < 감독규정 > 제34조 ( 전자금융거래시준수사항 ) 금융회사또는전자금융업자는전자금융거래와관련하여다음각호의사항을준수하여야한다. 1. 전화등거래수단성격상암호화가불가능한경우를제외한전자금융거래는암호화통신을할것 ( 다만, 전용선을사용하는경우로서제36조의규정에따라자체보안성심의를실시한경우에는그러하지아니하다 ) 2. 전자금융사고를예방하기위하여비대면전자금융거래를허용하지않는계좌개설, 중요거래정보에대한문자메시지및이메일 ( ) 통지등의서비스를이용자가요청하는경우, 동서비스를제공할수있도록시스템을갖출것 3. 전자금융거래에사용되는접근매체를발급받기위해서는반드시실명확인후교부할것. 4. 거래인증수단채택시안전성, 보안성, 이용편의성등을충분히고려할것 5. 금융회사또는전자금융업자는전자금융거래에서이용자에게제공하거나거래를처리하기위한전자금융거래프로그램 ( 거래전문포함 ) 의위 변조여부등무결성을검증할수있는방법을제공할것 2 삭제 전자금융거래는인터넷등공개된통신망을이용한비대면거래로데이터전송중고객정보유출, 타인으로위장한거래, 거래정보의송 수신과정에서위 변조등의위험이상존하기때문에안전한전자금융거래보호대책마련필요 해설 전자금융거래에사용되는전자적장치중유선전화기와같이암호화를적용시킬수없는경우를제외한모든전자금융거래는송 수신정보를암호화하여통신회선에서의불법적인정보유출방지및유출시에도알수없도록조치 ( 제1호 ) 다만, 금융회사또는전자금융업자와이용자간 ( 법인포함 ) 전용회선을설치하여정보를송 수신하는경우로써자체보안성심의를받은경우에는암호화예외가능 전자금융거래이용을원하지않는이용자의예금과금융거래정보를보호하기위하여금융회사는모든예금계좌 ( 요구불, 저축성, 신탁등 ) 를보안계좌 6) 로설정또는개설이가능하도록시스템구축 ( 제2호 ) 6) 온라인거래수단인 인터넷뱅킹, 텔레뱅킹, 모바일뱅킹, 온라인계좌이체 ( 전자상거래 ), 콜센터또는전화를통한거래 로이체 조회등모든거래가불가능한계좌를말하며상기업무를제외한나머지업무는일반계좌와동일 ( 영업점에서직접대면을통한거래 ( 조회, 이체, 입금등 ) 및 CD/ATM 거래, 입금거래등은제한이없음 ) 특히, 고객이영업점에전화를걸어계좌의조회를요청하는경우에도보안계좌인경우에는거래내역을유선상으로알려줄수없음 98 - 금융감독원

99 전자금융거래이용자가주요금융거래내역및제3자의부정사용여부에대한모니터링을할수있도록거래내역을실시간으로확인할수있는문자메세지 (SMS 서비스 ) 및이메일 ( ) 알림서비스를요구하는경우서비스제공이가능하도록시스템구축 ( 제2호 ) 전자자금이체거래시접근매체 ( 전자식카드및전자적정보, 전자서명법제2조제4호의전자서명생성정보및같은조제7호의인증서, 이용자의생체정보등 ) 를발급하는경우금융회사또는전자금융업자는전자금융거래이용자본인의실명을확인한후교부 ( 제3호 ) 금융회사또는전자금융업자가보안카드및일회용비밀번호등거래인증수단을채택시인증수단의안전성, 보안성, 이용편의성등을충분히고려하여결정 ( 제4호 ) 전자금융거래를위해이용자에게제공하거나거래처리에이용되는전자금융거래프로그램 ( 거래전문포함 ) 을해킹이나악성코드감염등에의한위 변조사고를예방하기위하여전자금융거래프로그램에대한무결성검증방법제공 ( 제5호 ) 2. 이용자유의사항공지 < 감독규정 > 제35조 ( 이용자유의사항공지 ) 금융회사또는전자금융업자는전자금융거래의안전한수행을위하여이용자에게다음각호의사항을준수하도록공지하여야한다. 1. 비밀번호유출위험및관리에관한사항 2. 금융기관또는전자금융업자가제공하고있는이용자보호제도에관한사항 3. 해킹 피싱등전자적침해방지에관한사항 4. 본인확인절차를거쳐비밀번호변경이가능하도록정보처리시스템을구축하고비밀번호변경시같은번호를재사용하지않도록할것 전자금융거래이용자가안전한전자금융거래를수행할수있도록개인정보유출방지, 금융이용자보호제도및비밀번호관리에관한사항공지 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 해설 금융회사또는전자금융업자는전자금융거래이용자유의사항을홈페이지게시등전자적인방법또는우편물등을통하여이용자에게공지 Financial Supervisory Service - 99

100 전자금융감독규정해설 3. 자체보안성심의 < 감독규정 > 제36조 ( 자체보안성심의 ) 1 금융회사또는전자금융업자는다음각호의행위를하고자하는경우금융감독원장이정하는기준과절차에따라보안성심의를실시하여야한다. 1. 정보통신망을이용하여이용자를대상으로신규전자금융업무를수행 2. 복수의금융회사또는전자금융업자가공동으로전자금융거래관련표준을제정 2 금융회사또는전자금융업자는제1항에따른심의 ( 이하 자체보안성심의 라한다 ) 를마친후제1항각호의행위를수행한날로부터 7일이내에금융감독원장이정하는자체보안성심의결과보고서를금융감독원에제출하여야한다. 다만, 제1항제1호에따른보안성심의의경우신규전자금융업무가제공또는시행된날을기준으로과거 1년이내에전자금융사고가발생하지않은기관으로서금융감독원장이정하는기준에해당하는금융회사또는전자금융업자는그러하지아니하다. 3 금융감독원장은제2항에따라제출받은자체보안성심의결과보고서를검토한결과, 보안수준이충분하지않다고인정되는경우에는금융회사또는전자금융업자에대하여개선 보완을요구할수있다. 4 제2항및제3항에도불구하고다음각호의기관은제1항제1호에따른자체보안성심의결과보고서의제출을하지아니할수있다. 1. 우체국예금 보험에관한법률 에의한체신관서 2. 새마을금고법 에의한새마을금고및새마을금고중앙회 3. 한국수출입은행법 에따른한국수출입은행 4. 공공기관의운영에관한법률 제4조에따른공공기관 < 시행세칙 > 제3조 ( 자체보안성심의기준등 ) 1 규정제36조제1항에따른금융감독원장이정하는기준과절차란다음각호를말한다. 1. 정보통신망을이용하여신규전자금융업무를수행하는경우 < 별표 1> 의기준에따라보안성심의를실시한후정보보호최고책임자의승인을받을것 2. 공동으로전자금융거래관련표준을제정하는경우 < 별표 1의2> 의기준에따라보안성심의를실시할것 ( 다만, 이경우특정금융회사또는전자금융업자가다른금융회사등을대표하여규정제36조제2항에따른자체보안성심의결과보고서를제출할수있음 ). 2 금융회사또는전자금융업자가규정제36조제 2항에따라제출하는자체보안성심의결과보고서의양식은제1항제1호의경우별지제3호서식에, 제1항제2호의경우별지제4호서식에각각따른다. 3 금융회사또는전자금융업자는제1항에따른자체보안성심의를수행함에있어필요한경우규정제37조의4제1항의침해사고대응기관, 정보통신기반보호법 제16조제1항의정보공유 분석센터등외부기관에보안대책의적정성여부등에대한검토를의뢰할수있다. 4 규정제36조제2항단서에서 금융감독원장이인정하는기준 이란다음각호에서정하는요건을충족하는것을말한다. 1. 전자금융업자 : 법제28조에따라금융위원회로부터허가를받았거나금융위원회에등록한날및전자금융업무를신규로수행한날로부터 1년이경과하였을것. 2. 금융회사 : 전자금융업무를신규로수행한날로부터 1년이경과하였을것 금융감독원

101 금융회사또는전자금융업자의정보통신망을이용하여이용자를대상으로신규로전자금융업무를수행하는경우전자금융업무의안전성이확보될수있도록금융감독원장이정한거래당사자인증, 거래정보의기밀성및무결성, 정보유출방지대책등기준과절차에따라자체보안성심의를실시하여전자금융업무의보안문제점을제거 해설 금융회사또는전자금융업자는전자금융업무를신규로추진하고자하는경우금융감독원장이정한자체보안성심의기준에따라보안성심의를실시하고정보보호최고책임자의승인을받은후전자금융업무가제공또는시행된날로부터 7일이내에보안성심의결과보고서를금융감독원에제출 신규전자금융업무의제공또는시행일기준으로과거 1년이내에전자금융사고가발생하지않은금융회사등은자체보안성심의결과를금융감독원제출면제 ( 제1항제1호 ) - 다만, 신규등록한전자금융업자또는전자금융서비스를최초제공한지 1년이지나지않은금융회사는 1년이내전자금융사고가발생하지않은기관 에포함되지않음 ( 시행세칙제3조제4항 ) - 즉, 자체보안성심의가면제되는대상은해당전자금융업무를신규로수행한지 1년이넘은금융회사나전자금융업자중최근 1년동안전자금융사고가발생하지않은회사 - 여기서의 전자금융업무 란 PG업, 에스크로업과같이전자금융업등록단위가아닌계좌이체, 멤버십기능추가, 본인인증방식추가등세부적단위의업무를의미 금융회사또는전자금융업자공동으로표준제정시보안성심의실시및사후보고필요 ( 제1항제 2호 ) - 공동표준안제정시보안성심의에관한자료는표준제정에참여한금융회사중대표금융회사가제출가능 전자금융업무에대한자체보안성심의기준및절차는금융감독원장이정한심의기준 < 시행세칙별표1> 에따라보안성심의를실시하고정보보호최고책임자의승인을받는것을의미 ( 세칙제3조제1항제1호 ) 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 Financial Supervisory Service - 101

102 전자금융감독규정해설 - 공동표준제정에대한자체보안성심의는 < 시행세칙별표1의2> 에따라실시 ( 세칙제3조제1항제2호 ) 금융회사등이자체보안성심의를실시할때필요한경우침해사고대응기관, 정보공유 분석센터 ( 금융보안원 ) 등외부전문기관에의뢰하여심의대상전자금융업무에대한보안대책의적정성여부검토가능 법령해석 ( ) < 질의 > 전자금융감독규정 상자체보안성심의대상인 신규전자금융업무 의구체적의미 < 회신 > 금융당국에서는금융회사및전자금융업자의부담을완화하고자율적인보안수준확보노력을유도하고자과거금융감독원에서수행하는보안성심의제도를폐지하고자체보안성심의를수행보고토록하고있으며, 자체보안성심의대상은 전자금융감독규정 제36조에서 신규전자금융업무 로규정하고있습니다. 이때 전자금융업무 란 PG업, 에스크로업과같이전자금융업등록단위가아닌계좌이체, 멤버십기능추가, 본인인증방식추가등세부적단위의업무를뜻합니다. 따라서예시하신 (i) 신규로전자금융업중하나를등록하면서약관도제정하여신고하는경우, (ii) 기존에전자금융업으로등록하고약관신고도마친전자금융서비스를영위중기존전자금융업서비스중일부서비스에새로운유형의전자금융서비스를추가하여출시하는경우, (iii) 기존전자금융업등록한서비스와동일유형의전자금융서비스를추가로출시하는경우와더불어 (iv) 기존전자금융업으로등록한서비스의전자금융업무유형을유지하면서관련한서비스를추가로출시하는경우, (v) 기존전자금융업으로등록된서비스의일부변경, 개편, 기능추가등의경우에도새로운서비스가추가된다면신규에해당하는것으로볼수있습니다. 다만, (iv), (v) 의경우단순메뉴추가, 디자인변경등신규성이있다고보기어려운경우도많습니다. 이런경우보안성심의의목적에맞게보안리스크가상당히증가하는경우에만신규성이있다고판단하고있습니다. 또한, 금융당국은자율보안수준확보라는목적에맞춰금융회사및전자금융업자가자체보안리스크평가기준을내규화하여평가결과에따라신규성을판단하도록유도하고있습니다. 따라서명백히신규성이있다고판단되는 (i), (ii), (iii) 의경우및 (iv), (v) 의경우중자체내규에따라신규성이있다고판단되는경우자체보안성심의를실시하시면됨을알려드립니다. < 이유 > 전자금융감독규정 제36조의자체보안성심의는보안성수준에대한심의를하는것으로신규성의기준은보안관점에서볼때신규성입니다 금융감독원

103 * ( 예시 ) 당초조회기능만제공하던모바일금융서비스앱에서신규로이체등거래를추가할경우보안리스크가증가하고증가한수준이보안에미치는영향이상당하다고판단될때이를신규로판단하여자체보안성심의실시및금융감독원제출필요 법령해석 ( ) < 질의요지 > 은행의 핀테크오픈플랫폼 에서제공하는 API를활용하여핀테크기업이제작한핀테크서비스가신규전자금융업무에해당할경우, ㅇ동핀테크서비스에대해은행이보안성심의실시및결과보고를해야하는지여부 < 회신 > 신규전자금융업무를수행하는핀테크기업이전자금융업자에해당하는경우 전자금융감독규정 제36조의자체보안성심의를실시하여야합니다. 은행이핀테크기업에 API를제공하는데에그치고직접전자금융업무를수행하지않는경우에는해당조항에따른보안성심의실시및결과보고의무의적용을받지않습니다. < 이유 > 전자금융감독규정 제36조 ( 자체보안성심의 ) 는금융회사또는전자금융업자가신규전자금융업무를수행하는경우자체적으로보안성심의를실시하도록규정하고있습니다. 따라서 금융회사또는전자금융업자 가아닌경우또는직접 전자금융업무를수행 하지않는경우에는해당조항의적용을받지않는것으로판단됩니다. 다만, 보안성심의실시주체와별개로핀테크기업과협약을맺어 API를제공하는은행의신뢰유지및금융소비자보호등의측면을고려하여금융보안원을통한보안컨설팅등해당서비스의안정성확보에충분한노력을기울여야할것입니다. 금융감독원장이정한자체보안성심의기준 ( 신규전자금융업무 ) 심의기준 1 거래당사자인증 2 거래정보의기밀성및무결성 3 정보처리시스템보호대책 4 고객단말기보호대책 5 정보유출방지대책 6 이상금융거래방지대책 7 시스템가용성확보및비상대책 8 시스템설치장소에대한물리적접근통제 전자금융업무유형에따라자체적으로심의기준추가 수정가능 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 Financial Supervisory Service - 103

104 전자금융감독규정해설 금융감독원장이정한자체보안성심의기준 ( 공동표준안 ) 심의기준 1 컴플라이언스준수 2 사용자접근성 3 호환성지원 4 서비스품질보장 ( 안정성 ) 5 불필요한기능제거 ( 간결성 ) 6 표준화그룹체계관리 공동표준안의유형에따라자체적으로심의기준추가 수정가능 4. 인증방법사용기준 < 감독규정 > 제37조 ( 인증방법사용기준 ) 금융회사또는전자금융업자는전자금융거래의종류 성격 위험수준등을고려하여안전한인증방법을사용하여야한다. 금융회사또는전자금융업자가전자금융거래이용자신원확인, 거래내용의위 변조, 거래사실의부인방지등을위해전자금융거래시적용하였던공인인증서의사용의무가폐지되고, 금융회사등이전자금융거래의종류 성격 위험수준등을고려하여전자금융거래의안전성및정당성확보에가장적합하다고판단되는인증방법사용 법령해석 ( ) < 질의 > 공인인증서대신가상번호 (VASCO 토큰 ) 인증을인터넷뱅킹의인증방법으로사용하는것이가능한지여부 < 회신 > 전자금융거래에있어서공인인증서대신 전자금융감독규정 제37조( 인증방법사용기준 ) 에따라안전하다고판단되는인증방법을사용하는것이가능합니다. < 이유 > 전자금융거래법 제21조 ( 안전성의확보의무 ) 는전자금융거래의안전성및신뢰성을확보하는것을전제로특정기술또는서비스의사용을강제하지않는 기술중립성원칙 을명확히하고있으며, 전자금융감독규정 제37조도전자금융거래에있어특정한인증방법 ( 예 : 공인인증서 ) 을한정하고있지않으므로금융회사또는전자금융업자의판단과책임하에안전한인증방법을적절히선택하여사용할수있다고봄이타당합니다 금융감독원

105 비조치의견서 ( ) < 질의요지 > 인터넷 / 스마트뱅킹을통한전자자금이체거래시ㅇㅇ안심보안카드 * 를인증방법으로사용할경우, * ㅇㅇ안심보안카드를스마트폰에접촉하여본인임을인증하고, 이체거래시보안카드번호를입력하는 2단계인증절차를수행ㅇ동인증방법이전자금융감독규정제37조에서정한안전한인증방법에해당하는지여부 < 회답 > 금융회사는전자금융거래에사용되는인증방법을자율적으로선택하여사용할수있습니다. ㅇ다만, 개정법규의취지에따라금융회사자체적으로보안및인증방법에대한안전성을확보해야하오니이점유념하시기바랍니다. < 판단이유 > 전자금융거래법제21조제3항및전자금융감독규정제37조의내용을고려 * 할때금융회사는전자금융거래에사용되는인증방법을자율적으로선택할수있습니다. * 특정기술또는서비스의사용을강제하지않는 기술중립성원칙 이도입됨에따라경쟁촉진적인인증기술사용을위해전자금융거래시공인인증서등을사용하도록한의무를폐지 ( 금융위원회고시제2015-7호 ) 5. 전자금융기반시설의취약점분석 평가주기, 내용등 관계법령 < 법 > 제37조의2( 전자금융기반시설의취약점분석 평가주기, 내용등 ) 1 전자금융기반시설의취약점분석 평가는총자산이 2조원이상이고, 상시종업원수 ( 소득세법 에따른원천징수의무자가근로소득세를원천징수한자를기준으로한다. 이하같다 ) 300명이상인금융회사또는전자금융업자이거나 수산업협동조합법, 산림조합법, 신용협동조합법, 상호저축은행법 및 새마을금고법 에따른중앙회의경우연 1회이상 ( 홈페이지에대해서는 6개월에 1회이상 ) 실시하여야한다. 2 금융회사및전자금융업자는취약점분석 평가를위하여정보보호최고책임자 ( 정보보호최고책임자가없는경우최고경영자가지정한다 ) 를포함하여 5인이상으로자체전담반을구성하여야하며, 구성원중 100분의 30 이상은 정보보호산업의진흥에관한법률시행규칙 제8조의정보보호전문서비스기업지정기준에서정한고급기술인력이상의자격을갖춘자이어야한다. 다만, 제37조의3제1항에따른평가전문기관에위탁하는경우에는자체전담반을구성하지아니할수있다. 3 제1항에따른금융회사및전자금융업자이외의자의경우연 1회이상 ( 홈페이지에대해서는 6개월에 1회이상 ) 실시하되자체전담반을구성하지아니할수있다. 이경우취약점분석 평가의내용은금융감독원장이정한다. 4 금융회사및전자금융업자는해당주기내에평가대상시설과평가기간을나누어평가할수있다. 5 금융회사또는전자금융업자는취약점분석 평가에따라이행계획을수립 시행하여야하며다음각호의사항을준수하여야한다. 1. 취약점분석 평가결과에따른취약점의제거또는이에상응하는조치의시행 2. 취약점의제거또는이에상응하는조치가불가한경우에는최고경영자승인을득할것 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 Financial Supervisory Service - 105

106 전자금융감독규정해설 3. 이행계획의시행결과는최고경영자에게보고할것 < 시행세칙 > 제7조의 2( 전자금융기반시설의취약점분석 평가의내용 ) 규정제37조의2제3항에따라감독원장이정하는취약점분석 평가의내용는별표 3과같다 금융회사또는전자금융업자는전자금융기반시설에대하여관리적, 물리적, 기술적취약점을연 1회이상 ( 홈페이지는 6개월에 1회이상 ) 점검하여식별된보안취약점을제거또는보완함으로써전자금융기반시설의기밀성, 가용성, 무결성확보를통해대내외위협으로부터조직의정보자산을안전하게보호하고이용자에게안전한전자금융거래서비스를제공 해설 총자산이 2조원이상이고상시종업원이 300명이상인금융회사또는전자금융업자와수산업협동조합, 산림조합, 신용협동조합, 상호저축은행법및새마을금고법에따른중앙회는정보보호최고책임자를포함한 5인이상 (30% 이상은고급기술인력이상의자격을갖출것 ) 으로자체전담반을구성하거나, 규정제37조의3제1항에따른외부평가전문기관에위탁하여전자금융기반시설에대한취약점분석 평가를연 1회이상 ( 홈페이지는 6개월에 1회이상 ) 실시 ( 제1항, 제2항 ) 제37조의2제1항에해당하지않는금융회사또는전자금융업자는연 1회이상 ( 홈페이지는 6개월에 1회이상 ) 실시하되자체전담반을구성하지않고취약점분석 평가실시가능, 이경우금융감독원장이정한취약점분석 평가내용에따라실시 ( 제3항 ) 금융감독원

107 전자금융기반시설취약점분석 평가내용 < 시행세칙별표 3> 평가부문 관리적보안 물리적보안 평가항목 - 정보보호정책 - 정보보호조직및인력 - 내부통제 - 정보보호교육및훈련 - 자산관리 - 업무연속성관리 - 사고관리 - 정보시스템도입 개발 유지보수 - 전산설비보안 - 전산센터보안 - 인터넷전자금융보안 - 모바일전자금융보안 - 접근통제 - 전산자료보안 - 서버보안기술적보안 - 데이터베이스보안 - 웹서비스보안 - 단말기보안 - 네트워크보안 - 정보보호시스템보안 금융회사또는전자금융업자는해당주기내에평가대상시설과평가기간을나누어시행가능하며, 취약점분석 평가에따라이행계획을수립 시행하며다음사항을준수 ( 제4항, 제5항 ) - 취약점분석 평가결과에따른취약점의제거또는이에상응하는조치시행 - 취약점의제거또는이에상응하는조치가불가한경우는최고경영자승인 - 이행계획의시행결과는최고경영자에게보고 취약점 분석평가결과보고서제출처가금융위에서금감원으로변경됨에따라업무보고서내접수시스템마련 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 17년부터제출하는취약점 분석평가결과보고서는금융정보교환망 * 의 금융감독원보고서작성기 를이용하여제출 * 금융정보교환망 : fines.fss.or.kr, 헬프데스크 : 02) /5413 Financial Supervisory Service - 107

108 전자금융감독규정해설 기준월을회계연도마감월로선택하여조회를누르면, 업무보고서 ( 전자금융거래법령상제출의무보고서 ) 이선택되며, 이중 취약점분석 평가결과보고서 를선택하여보고서제출전자체체크리스트점검후보고서를제출 홈페이지취약점평가보고서의경우 회계연도마감월, 회계연도마감월 +6개월 으로 1년에 2번보고서제출이필요함예 ) 12월이회계마감월인경우, 매년 12월, 6월기준월업무보고서를검색하여제출 법령해석 ( ) < 질의 > 금융거래정보미포함홈페이지의경우전자금융기반시설의취약점분석 평가대상에서제외되는지여부 * ( 사실관계 ) ㅇㅇ자산운용의경우전자금융거래가발생하는펀드거래시스템일체 ( 거래전용홈페이지포함 ) 를코스콤에외주를주고있으며, 해당시스템에대해서는매년취약점을분석하여보고하고있음그러나ㅇㅇ자산운용의홈페이지는금융거래와관련한정보는일체보유하고있지않으며코스콤에서위탁운용하고있는펀드거래시스템에단순링크만해놓고있음 < 회신 > 전자금융거래법 제21조의3제1항에따르면금융회사및전자금융업자는전자금융거래의안전성과신뢰성을확보하기위하여 전자금융기반시설 에대하여취약점분석 평가를실시하고그결과를금융위원회에보고하여야하나, 금융감독원

109 금융회사및전자금융업자가운영하는홈페이지가 전자금융거래법 제2조제21호의 전자금융기반시설 에해당되지않을경우, 즉전자금융거래에이용되지않거나정보를수집 가공 저장 검색 송신또는수신하는정보통신체계가없는경우에는같은법제21조의3제1항에따른취약점분석 평가대상이아닙니다. < 이유 > 전자금융거래법 제21조의 3제1항은금융회사및전자금융업자에대해전자금융거래의안전성과신뢰성을확보하기위해전자금융기반시설에대하여취약점분석 평가를실시하도록하고있습니다. 한편, 같은법제2조제21호에서는 전자금융기반시설 에대하여 전자금융거래에이용되는정보시스템및 정보통신망이용촉진및정보보호등에관한법률 제2조제1항제1호에따른정보통신망 으로정의하고있고, 정보통신망이용촉진및정보보호등에관한법률 제2조제1항제1호에서는 정보통신망 에대하여 전기통신설비와컴퓨터및컴퓨터의이용기술을활용하여정보를수집 가공 저장 검색 송신또는수신하는정보통신체제 로정의하고있습니다. 이상각법률의정의에따라금융회사및전자금융업자가운영하는홈페이지가전자금융거래에이용되지않거나정보의수집 가공 저장 검색 송신또는수신하는정보통신체제를사용하지않는경우 전자금융거래법 제21조의3제1항에따른취약점분석 평가의무가없습니다. 6. 전자금융기반시설의취약점분석 평가전문기관의지정등 < 감독규정 > 제37조의3( 전자금융기반시설의취약점분석 평가전문기관의지정등 ) 1 전자금융기반시설의취약점분석 평가를위한평가전문기관은다음각호의자로한다. 1. 정보통신기반보호법 제16조에따라금융분야정보공유 분석센터로지정된자 2. 정보보호산업의진흥에관한법률 제23조에따라지정된정보보호전문서비스기업 3. 침해사고대응기관 4. 금융위원장이지정하는자 2 금융회사및전자금융업자는시행령제11조의5제3항에따른전자금융기반시설의취약점분석 평가결과보고서를금융위원장에게제출하여야하며, 금융감독원장은결과보고서를분석하여매분기 1개월이내에금융위원장에게보고하여야한다. 3 금융위원장은취약점분석 평가결과보고서에근거하여필요시금융회사및전자금융업자에대하여개선 보완을요구할수있다. 금융회사또는전자금융업자가취약점분석 평가실시를위탁가능한외부평가전문기관을지정하고, 그실시결과를금융위원회에보고하도록하여전자금융기반시설에대한취약점분석 평가의실효성제고 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 Financial Supervisory Service - 109

110 전자금융감독규정해설 해설 전자금융기반시설에대한취약점분석 평가를자체실시하거나외부평가전문기관에위탁하여실시한후그결과보고서를금융감독원에제출 관계법령 < 시행령 > 제11조의5( 전자금융기반시설취약점분석 평가의절차및방법등 ) 3 금융회사및전자금융업자는법제21 조의3제 1항에따라전자금융기반시설의취약점분석 평가를하였을때에는다음각호의사항이포함된결과보고및보완조치이행계획서를그취약점분석 평가종료후 30일이내에금융위원회에제출하여야한다. 1. 취약점분석 평가의사유, 대상, 기간등실시개요 2. 취약점분석 평가의세부수행방법 3. 취약점분석 평가결과 4. 취약점분석 평가결과에따른필요한보완조치의이행계획 5. 그밖에취약점분석 평가의적정성을확보하기위하여필요한사항으로서금융위원회가정하여고시하는사항 7. 침해사고대응기관 < 감독규정 > 제37조의4( 침해사고대응기관지정및업무범위등 ) 1 침해사고에대응하기위한침해사고대응기관은다음각호의자로한다. 1. 금융보안원 2. 삭제 3. 금융위원장이지정한자 2 침해사고대응기관은다음각호의업무를수행한다. 1. 침해사고에관한정보의수집 전파를위한정보공유체계의구축 2. 침해사고의예보 경보발령내용의전파 3. 침해사고의원인분석과신속한대응및피해확산방지를위해필요한조치 4. 금융회사및전자금융업자와관련된해킹등전자적침해행위정보를탐지 분석하여즉시대응조치를하기위한기구 ( 이하 금융권통합보안관제센터 라한다 ) 의운영 3 금융위원장은침해사고대응기관을포함하여침해사고조사단을구성할수있다. 4 금융위원장은제2항에따른침해사고긴급대응을위한침해사고대응기관의업무수행또는제3항에따른침해사고원인분석및긴급조치를위하여금융회사및전자금융업자, 전자금융보조업자에협조를요청할수있다. 5 금융회사및전자금융업자는침해사고에대한대응능력확보를위하여연 1회이상침해사고대응및복구훈련계획을수립 시행하여야하며그계획및결과를침해사고대응기관의장에게제출하여야한다 금융감독원

111 다만다음각호의어느하나에해당하는금융회사는그러하지아니한다. 1. 법제2조제3호가목의금융회사중신용협동조합 2. 법제2조제3호다목 라목의금융회사 3. 시행령제2조제4호부터제6호까지의조합 4. 시행령제5조제2항의요건을충족한금융회사 6 금융위원장은침해사고대응기관의장으로하여금침해사고대응 복구및훈련결과를점검하고보완이필요하다고판단되는경우개선 보완을요구할수있다. 7 금융위원장은침해사고대응기관의장으로하여금시행령제11조의6제1항제4호에따른보안취약점통보를위하여금융회사및전자금융업자가사용하고있는소프트웨어에대한조사 분석을실시하게할수있다. 금융위원회는침해대응기관을지정하여금융회사또는전자금융업자의침해사고에대한정보공유체제구축, 예보및경보발령내용전파, 원인분석과신속한대응을통한피해확산방지, 금융회사또는전자금융업자의침해사고대응능력확보를위해침해사고대응및복구훈련계획을수립 시행 해설 금융회사또는전자금융업자는해킹, 악성코드, 서비스거부 (DDoS) 공격등전자적침해에대한대응능력확보를위해연 1회이상침해사고대응및복구훈련계획을수립하여시행하고그결과를침해사고대응기관 ( 금융보안원 ) 의장에게제출 ( 제5항 ) < 전자적침해행위 ( 예시 ) > 위기유형상세설명접근권한이없거나접근권한을초과하여전산시스템및전산망에접근하여테이터를해킹조작 파괴 은닉또는유출컴퓨터바이러스 논리폭탄등악성프로그램을투입하여전산시스템및전산망의운영악성코드방해또는데이터파괴일시에대량의선호를보내거나부정한명령의처리등을통해전산시스템및전산망서비스거부운영방해또는정보처리오류발생 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 Financial Supervisory Service - 111

112 전자금융감독규정해설 < 침해사고대응및복구훈련계획항목 > 유형세부항목 ( 예시 ) 훈련목적, 훈련참여자, 훈련기간, 훈련대상 훈련조직구성 ( 담당자임무부여포함 ) 훈련계획 유관기관및관련업체와의비상연락체제구축훈련시나리오, 훈련절차및방법등 상황별대응절차 방안 ( 수립된비상대책준용 ) 수립한훈련계획에대한이행여부훈련결과내부평가및개선사항도출등개선이행계획수립등 - 침해사고대응기관 ( 금융보안원 ) 은침해사고대응및복구훈련계획및결과를점검하고점검결과와필요한경우개선 보완사항을포함하여제출기관에게전달 - 금융회사또는전자금융업자는훈련실효성확보를위하여통지받은개선 보완사항을차기년도훈련계획에반영 실행 - 전자적침해에대한대응능력확보를목적으로하는침해사고대응및복구훈련은위기대응행동매뉴얼또는비상대책을통한업무중단방지와신속한복구를목적으로하는비상대응훈련 ( 규정제24조 ) 과훈련목적등제반사항이상이함 < 훈련간비교 > 훈련구분 침해사고대응 복구훈련 비상대응훈련 관련규정 규정제37조의4 규정제24조 훈련목적 침해사고에대한대응능력확보 장애, 재해, 파업, 전자적침해등발생가능한모든위험으로인한업무중단방지와신속한복구 훈련범위 전자적침해 자연재해, 인적재해, 기술적재해, 전자적침해 훈련주기 연 1회이상 연 1회 ( 재해복구전환훈련은연1회이상 ) 훈련실시 금융회사등의침해사고대응 복구훈련금융회사등의위기대응행동매뉴얼또는비상대책에계획에따라실시따라실시 ( 재해복구훈련포함가능 ) 훈련결과 침해사고대응기관의장에게제출 금융위원회에보고 - 전자적침해에대한비상대응훈련을수행한경우이를침해사고대응 복구훈련으로갈음할수있으며, 침해사고대응및복구훈련결과로별도제출하여야함 금융감독원

113 < 참고 > 침해사고대응및복구훈련결과제출관련 Q&A Q 1 모든금융회사가침해사고대응및복구훈련결과 ( 계획 ) 를제출하여야하나요? A 1 감독규정제37조의4제5항제1호부터제4호까지에해당하는금융회사의경우훈련결과를제출하지않습니다. 금융회사는예외조항 ( 전자금융업무수행여부등 ) 을확인하여예외조항에해당되지않는경우에는반드시훈련결과를제출할수있도록하여야합니다. Q 2 침해사고대응및복구훈련결과 ( 계획포함 ) 는어떤방법으로제출하는건가요? 제출시기도궁금합니다. A 2 금융회사또는전자금융업자는훈련실시및내부책임자에게보고후침해사고대응기관 ( 금융보안원 ) 이제공하는방법 ( 금융보안원정보공유체계, 이메일등 ) 으로침해사고대응및복구훈련결과 ( 계획포함 ) 를제출하시면됩니다. 제 4 장 제출시기는훈련결과에대한내부보고후 1 개월이내권고 Q 3 A 3 Q 4 A 4 금융회사또는전자금융업자가침해사고대응 복구훈련결과보고서를침해사고대응기관에제출함으로써금융위원회앞전자적침해에대한비상대응훈련결과보고서보고의무를이행한것으로볼수있는지궁금합니다. 불가능합니다. 비상대응훈련결과는금융위원회에보고하고, 침해사고대응및복구훈련결과는침해사고대응기관 ( 금융보안원 ) 으로제출하여야합니다. 전자금융거래시스템을위탁하여임대운영하거나해외에있는시스템을사용하여전자금융거래시스템을직접보유하지않은경우에도전자금융업무가있다면침해사고대응및복구훈련계획을수립시행하고결과를제출하여야하나요? 어떤경우에도전자금융업무를취급하는금융회사또는전자금융업자는침해사고대응및복구훈련계획을수립시행하고결과를제출하여야합니다. 전자금융거래의 안전성 확보 및 이용자 보호 Financial Supervisory Service - 113

114 전자금융감독규정해설 Q 5 침해사고대응기관 ( 금융보안원 ) 이금융회사또는전자금융업자가제출한침해사고대응 복구훈련결과보고서를취합하여전자적침해에대한비상대응훈련결과로금융위원회에보고할수는없나요? A 5 침해사고대응기관 ( 금융보안원 ) 이금융회사또는전자금융업자가제출한침해사고대응및복구훈련결과를취합하여전자적침해에대한비상대응훈련결과로금융위원회에보고하는것은불가합니다. 또한, 금융회사또는전자금융업자가외부기관을통해합동훈련등을수행한경우에도금융회사또는전자금융업자가직접제출하여야합니다. Q 6 침해사고대응기관 ( 금융보안원 ) 으로부터침해사고대응훈련실시와관련하여지원을받고자하는경우, 어떻게하여야하나요? A 6 훈련실시직전연도말까지침해사고대응기관 ( 금융보안원 ) 으로훈련참여신청을하시면됩니다. 금융보안원사원이아닌경우에는사전에금융보안원사원자격취득이필요합니다 금융감독원

115 8. 정보보호최고책임자 (CISO) 의업무 < 감독규정 > 제37조의5( 정보보호최고책임자의업무 ) 정보보호최고책임자는정보보안점검의날을지정하고, 임직원이금융감독원장이정하는정보보안점검항목을준수했는지여부를매월점검하고, 그점검결과및보완계획을최고경영자에게보고하여야한다. < 시행세칙 > 제7조의3( 정보보호최고책임자의업무 ) 규정제37조의5에따라감독원장이정하는정보보안점검항목은별표 3-2와같다. 정보보호최고책임자는임직원정보보안인식강화및보안사고예방을위하여금융감독원장이정한정보보안점검항목에따라매월전사적정보보안점검의날을지정하여점검을실시 해설 정보보호최고책임자는정보보안인식강화및사고예방을위하여매월보안점검의날을지정하고, 금융감독원장이정한보안점검항목에대한임직원의준수여부를점검하고, 그점검결과및보완계획을최고경영자에게보고하여조직의정보보안수준강화 - 최고경영자에게매월보고가필요하나반드시결재를요하지는않으며, 규정제8조제1항제4호의점검결과 ( 임직원의정보보안법규준수여부점검결과 ) 와함께보고하여도무방함 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 Financial Supervisory Service - 115

116 전자금융감독규정해설 금융감독원장이정한정보보안점검항목 < 시행세칙별표 3-2> 전산실단말기전산자료정보처리시스템해킹등방지대책악성코드공개용웹서버내부사용자비밀번호이용자비밀번호관리이용자유의사항전자금융사고보고 점검항목 상시출입자외출입자에대한책임자승인및출입자관리기록부기록 보관여부무인감시카메라또는출입자동기록시스템등의정상작동여부 업무담당자이외의단말기무단조작금지조치여부정보처리시스템접속단말기의정당한사용자인가를확인할수있는기록유지여부중요단말기의외부반출금지여부중요단말기의인터넷접속금지여부중요단말기의그룹웨어접속금지여부단말기에서보조기억매체및휴대용전산장비접근통제여부 개인별사용자계정과비밀번호부여여부사용자계정과비밀번호등록 변경 폐기의체계적관리여부이용자정보조회 출력통제여부테스트시이용자정보사용금지및불가피한경우이용자정보를변환하여사용하고테스트종료즉시삭제여부단말기에이용자정보등주요정보보관을금지하고불가피한경우책임자의승인을받고있는지여부단말기공유금지여부전산자료및전산장비의반출 반입통제여부사용자인사조치시지체없이해당사용자계정삭제, 계정사용중지, 공동사용계정변경등정보처리시스템접근을통제하고있는지여부내부통신망의비인가전산장비 무선통신접속통제여부 해킹등을방지하기위한정보보호시스템의정상작동여부정보보호시스템에최소한의서비스번호와기능만을적용하고있는지여부정보보호시스템에업무목적이외기능및프로그램제거여부정보보호시스템의원격관리금지여부시스템프로그램등긴급하고중요한보정사항에대한즉시보정작업실시여부무선통신망이용업무에대한승인및사전지정여부 악성코드검색및치료프로그램의최신상태유지여부중요단말기의악성코드감염여부를매일점검하고있는지여부 사용자계정에아이디 비밀번호이외추가인증수단적용여부 DMZ구간내이용자정보등주요정보를저장, 관리하지않는지여부 접근자비밀번호설정 운영여부비밀번호보관시암호화여부 정보처리시스템및전산자료에보관하고있는이용자비밀번호암호화보관여부 비밀번호유출위험및관리에관한사항의공지여부제공하고있는이용자보호제도에관한사항의공지여부해킹 피싱등전자적침해방지에관한사항의공지여부 전자적침해행위에대한보고및조치여부 금융감독원

117 월보안점검방법 ( 예시 ) < 전산실 > 상시출입자이외의경우전산실출입에따른출입자관리기록부기록및책임자승인여부확인 ( 출입자에대한출입일시, 출입사유, 출입자소속등이기록여부확인 ) 출입자의출입내역사후확인이가능하도록내부규정에따라녹화상태, 이전기록확인등이가능하도록기록되고있는지확인 < 단말기 > 업무담당자의단말기에대한제3자의접근가능여부확인 ( 화면보호기등 ) 정보처리시스템접속단말기는내부기준에따라배정되고있는지확인 중요단말기의반출여부확인 ( 하드웨어탈부착여부확인포함 ) 중요단말기에서인터넷접속여부및정책확인 중요단말기의그룹웨어접속여부및정책확인 인가되지않은보조기업매체, 휴대용전산장비의연결및사용가능여부실사, 관련보안프로그램정책확인 < 전산자료 > 시스템별계정및비밀번호가내부기준에맞게관리되고있는지확인 입사, 전보, 퇴사등인사변동발생시내부기준에따라관리되고있는지확인 내부기준에따라이용자정보의조회및출력이통제되는지확인 전산업무개발또는프로그램변경시사용하는데이터의작성또는변환절차등에대한내부기준마련여부확인 이용자정보를변환하거나임의의데이터를생성하여사용하고있는지확인 단말기에이용자정보등주요정보가보관되고있는지확인 ( 책임자승인여부포함 ) 단말기별사용자지정여부확인 ( 공유금지확인 ) 전산자료및전산장비의반출 반입시통제및승인절차수행여부확인 반출입관리대장 ( 또는시스템 ) 을통해전산자료및전산장비의반출 반입일시, 담당자, 목적, 관리자확인등의내용이적정한지여부확인 입사, 전보, 퇴사등사용자관리가필요한인사변동에대하여사용자계정과비밀번호의등록 변경 폐기가즉시반영되는지여부확인 < 정보처리시스템 > 실제내부통신망에비인가전산장비 무선통신접속시도및관련보안프로그램의정책확인 < 해킹등방지대책 > 정보보호시스템리스트및정상동작유지보수관리기록및실제확인 방화벽정책확인등을통한정보보호시스템에최소한의서비스번호와기능만을적용하고있는지여부확인 정보보호시스템 (S/W방화벽등 ) 에업무목적이외기능및프로그램제거여부 방화벽정책확인등을통한정보보호시스템의원격관리금지여부확인 긴급하고중요한보정사항에대한리스트확인및적용여부확인 (OS 업데이트등 ) 무선통신망사용현황파악및설치 운영중인모든무선통신망에대한정보보호최고책임자승인여부확인 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 Financial Supervisory Service - 117

118 전자금융감독규정해설 < 악성코드 > 악성코드검색및치료프로그램의최신상태를관리자화면또는이용자단말기에서확인 중요단말기의악성코드감염여부점검여부를관리자화면또는이용자단말기에서확인 < 공개용웹서버 > 공개용웹서버에사용자가접근할경우아이디 비밀번호외 OTP, 공인인증서등추가인증수단적용여부확인 DMZ구간내이용자정보등주요정보를저장여부확인 ( 단, 거래로그관리의경우암호화저장, 관리확인및적기폐기여부확인 ) < 내부사용자비밀번호 > 접근자비밀번호에대한설정여부확인및내부패스워드관련규칙을적용했는지확인 내부사용자비밀번호는안전한암호화알고리즘 ( 예 : 128비트이상 ) 을통해일방향암호화적용여부확인 < 이용자비밀번호관리 > 정보처리시스템및전산자료에보관하고있는이용자비밀번호는안전한암호화알고리즘 ( 예 : 128비트이상 ) 을통해일방향암호화적용여부확인 < 이용자유의사항 > 비밀번호유출위험및관리에관한사항을홈페이지게시또는이메일발송등확인 제공하고있는이용자보호제도에관한사항을홈페이지게시또는이메일발송등확인 해킹 피싱등전자적침해방지에관한사항을홈페이지게시또는이메일발송등확인 < 전자금융사고보고 > 침해사고발생시법률이나내부규정등에따라관계기관 ( 금융감독원등 ) 에신고가필요한경우신속하게보고했는지여부확인 보고서작성시처리일시, 처리방법등주요진행경과를보고했는지확인 금융감독원

119 9. 금융위가정하는보관자료및거래기록등 < 감독규정 > 제38조 ( 금융위원회가정하는보관자료및거래기록등 ) 시행령제12조제1항제2호다목에서 금융위원회가정하여고시하는거래기록 이라함은제4조제1호의기록을말한다. 이용자가전자금융거래에오류가있음을인지하여금융회사또는전자금융업자에게정정을요구하거나금융회사또는전자금융업자스스로가오류를인지하여조치하는오류정정요구사실및처리결과에관한사항의기록및보존 해설 금융위원회가정하여고시하는거래기록은법제8조에따른오류정정요구사실및처리결과에관한사항으로서이용자가전자금융거래에오류가있음을인지하여금융회사또는전자금융업자에게정정을요구하거나금융회사또는전자금융업자스스로가오류를인지하여조치하는오류정정요구사실및처리결과에관한사항을 1년간보존 관계법령 < 시행령 > 제12조 ( 전자금융거래기록의보존기간 보존방법및파기절차 방법등 ) 1 법제22조제1항및제3항에따른전자금융거래기록의종류별보존기간은다음각호와같다. 1. ( 생략 ) 2. 다음각목의전자금융거래기록은 1년간보존하여야한다. 가. 건당거래금액이 1만원이하인전자금융거래에관한기록나. 전자지급수단의이용과관련된거래승인에관한기록다. 그밖에금융위원회가정하여고시하는전자금융거래기록 관계규정 < 감독규정 > 제4조 ( 확인에필요한구체적인거래내용 ) 시행령제7조제4항제6호에서 금융위원회가정하여고시하는사항 이란다음각호를말한다. 1. 법제8조에따른오류정정요구사실및처리결과에관한사항 2. 전자금융거래신청, 조건변경에관한내용 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 Financial Supervisory Service - 119

120 전자금융감독규정해설 10. 전자지급수단의이용한도 < 감독규정 > 제39조 ( 전자지급수단의이용한도 ) 시행령제13조제2항부터제4항에따라금융위원회가정하는전자지급수단의구체적인이용한도는 < 별표3> 과같다. 전자지급수단의세부적이용한도 < 감독규정별표 3> 가. 전자화폐및선불전자지급수단발행권면최고한도 ( 단위 : 만원 ) 구 분 발행권면한도 무기명식 1) 기명식 2) 전자화폐 선불전자지급수단 ) 실지명의확인이없거나예금계좌와연결되지않고발행된전자화폐내지선불전자지급수단 2) 실지명의가확인되거나예금계좌와연결되어발행된전자화폐내지선불전자지급수단 나. 전자자금이체한도 ( 지급이체의경우 ) ( 단위 : 억원 ) 구 분 1회이체한도 1일이체한도 현금카드 1) 인출한도 이체한도 텔레뱅킹 2) 개인 법인 1 5 인터넷뱅킹 3) 개인 1 5 법인 모바일뱅킹 4) 1 5 메일뱅킹 5) ) 금융회사의자동화기기 (CD/ATM) 에서현금을인출하기위해사용하는접근매체 2) 유선전화를통하여예금조회, 자금이체등의업무를수행하는전자금융방식 3) 유무선인터넷을통해예금조회, 자금이체등의업무를수행하는전자금융방식 4) 이동통신용기기에 IC 칩을넣거나뱅킹용프로그램을다운로드하여예금조회, 자금이체등의업무를수행하는전자금융방식 5) 예금계좌와연결된전자우편주소 ( 기타전화번호 ) 를통해자금이체등의업무를수행하는전자금융방식 * 전자자금이체시제 34 조및제 37 조의규정에서정한사항을준수하여야한다 금융감독원

121 다. 직불전자지급수단이용한도 ( 단위 : 만원 ) 구 분 1회이용한도 1일이용한도 직불전자지급수단 실명증표확인외의본인확인수단을이용하여발급된직불전자지급수단 약관교부방법및관련보고 < 감독규정 > 제40조 ( 약관교부방법등 ) 1 전자금융업무를수행하는금융회사및전자금융업자는전자금융거래와관련한약관 ( 이하 약관 이라한다 ) 을별도로마련하여야한다. 2 금융회사또는전자금융업자는이용자와전자금융거래의계약을체결함에있어이용자의요청이있는경우전자문서의전송 ( 전자우편을이용한전송을포함한다 ), 모사전송, 우편또는직접교부의방식으로전자금융거래약관의사본을이용자에게교부하여야한다. 3 금융회사또는전자금융업자는이용자와전자금융거래의계약을체결함에있어이용자가약관의내용에대한설명을요청하는경우다음각호의어느하나의방법으로이용자에게약관의중요내용을설명하여야한다. 1. 약관의중요내용을이용자에게직접설명 2. 약관의중요내용에대한설명을전자적장치를통하여이용자가알기쉽게표시하고이용자로부터해당내용을충분히인지하였다는의사표시를전자적장치를통하여수령 4 금융회사또는전자금융업자는약관을변경하는때에는그시행일 1월전에변경되는약관을해당전자금융거래를수행하는전자적장치 ( 해당전자적장치에게시하기어려울경우에는이용자가접근하기용이한전자적장치로서당해금융회사등이지정하는대체장치를포함한다. 이하이조에서같다 ) 에게시하고이용자에게통지하여야한다. 다만, 이용자가이의를제기할경우금융회사또는전자금융업자는이용자에게적절한방법으로약관변경내용을통지하였음을확인해주어야한다. 5 금융회사또는전자금융업자가법령의개정으로인하여긴급하게약관을변경한때에는변경된약관을전자적장치에최소 1월이상게시하고이용자에게통지하여야한다. 제41조 ( 약관제정또는변경에따른보고등 ) 1 법제25조제1항단서에서 금융위원회가정하는경우 란다음각호와같다. 1. 이용자의권익을확대하거나의무를축소하기위한약관의변경 2. 금융감독원장에게보고된약관의내용과동일하거나유사한약관의제정또는변경 3. 그밖에이용자의권익이나의무에불리한영향이없는경우로서금융감독원장이정하는약관의제정또는변경 2 금융회사또는전자금융업자가전자금융거래약관을제정또는변경하고자하는경우에는해당약관및약관내용을이해하는데필요한관련서류를시행예정일 45일전까지금융감독원장에게제출하여야한다. 이경우약관및관련서류는전자문서로제출할수있다. 제 4 장 전자금융거래의 안전성 확보 및 이용자 보호 Financial Supervisory Service - 121

122 전자금융감독규정해설 3 금융감독원장은제2항의규정에따라제출받은약관을심사하고건전한금융거래질서의유지를위하여약관내용의변경이필요하다고인정하는경우해당금융회사또는전자금융업자에대하여약관의변경을권고할수있다. 4 제3항의규정에따라변경권고를받은금융회사또는전자금융업자는권고의수락여부를금융감독원장에게보고하여야한다. 전자금융거래와관련한약관교부방법및약관제정또는변경에따른보고사항들을상세히규정하여이용자를보호함 해설 전자금융업무를수행하는금융회사또는전자금융업자는전자금융거래와관련한별도의약관을마련하여이용자의요청이있을경우전자문서의전송, 모사전송 (FAX), 우편또는직접교부방식으로전자금융거래약관의사본을이용자에게교부하여야함 이용자가약관의내용에대한설명을요청할경우중요내용을직접설명하거나또는전자적장치를통하여이용자가알기쉽게표시하고이용자로부터해당내용을충분히인지하였다는의사표시를전자적장치를통하여수령 * 하여야함 * 금융회사및전자금융업자는이용자에게 pop-up 창을띄우거나이메일통지를통한전자서명동의방식, 기타인터넷창에서동의의사표시를직접받을수있음 금융회사와전자금융업자는약관변경시그시행일 1월전에금융위가정한방법에따라게시하고이용자에게통보를의무화 - 다만, 변경내용의게시나통지사실에관해이용자가이의를제기할경우금융회사또는전자금융업자는변경내용게시 통지사실에관해입증하여야함 ( 입증하지못할경우약관변경효력이없음 ) 금융회사와전자금융업자는약관제정 변경시약관시행예정일 45일전까지관련서류를감독원장에게제출하여야함 - 감독원장은제출받은약관을심사하고약관변경이필요하다고판단한경우해당금융회사또는전자금융업자에약관변경을권고할수있으며, 해당기관은변경권고수락여부를보고해야함 금융감독원

123 전자금융감독규정 해설 5장 전자금융업의 허가와 등록 및 업무

124 전자금융감독규정해설 전자금융업의허가와등록및업무 1. 개요 이용자보호및전자금융거래의안정성확보를위해전자금융업영위시허가와등록을의무화하고있으며, 영위할업종에따라허가와등록대상을구별하고있음 전자금융업영위기관이금융회사인경우전자금융업종에따라일부허가또는등록을면제받을수있으며, 선불전자지급수단의발행및관리업의경우미상환잔액의규모및사용되는범위등이일정규모이하일경우등록을면제하고있음 미허가및미등록영업시벌금등의처벌을통해허가및등록을강제 미허가또는미등록영업시 3년이하의징역또는 2천만원이하의벌금에처할수있음 ( 법제49조제4항제5호 ) 2. 허가대상업무및면제요건 가. 법령상근거 전자화폐의발행및관리업무를행하고자하는자는금융위원회의허가를받아야함 ( 법제28조 ) 나. 법및시행령해설내용 법에서는전자화폐의발행및관리업무를수행하고자하는경우금융위원회의허가를받도록하는한편, 은행법상금융회사등특정금융회사에대해허가를면제하고있음 금융감독원

125 전자화폐발행및관리업허가면제금융회사 은행법에따른금융회사 ( 은행 ) 우체국예금 보험에관한법률에따른체신관서 새마을금고법에따른새마을금고및새마을금고연합회 상호저축은행및중앙회, 신용협동조합및중앙회, 농업협동조합중앙회의신용사업부문, 수산업협동조합중앙회의신용사업부문 여신전문금융업법에따른여신전문금융회사중신용카드사업자 한국산업은행, 한국정책금융공사, 중소기업은행, 한국수출입은행, 산림조합및중앙회의신용사업부문, 농업협동조합, 수산업협동조합 제 5 장 전자금융업의 허가와 등록 및 업무 Financial Supervisory Service - 125

126 전자금융감독규정해설 제 1 절 허가및등록의대상과절차 1. 총발행잔액의산정방법등 < 감독규정 > 제42 조 ( 총발행잔액의산정방법등 ) 1 시행령제15조제5 항에따른선불전자지급수단발행시총발행잔액은등록신청일이속하는사업연도의직전사업연도 1분기 ( 직전사업연도 1분기말이후에사업을개시한경우에는사업개시한날이속하는분기를말한다 ) 부터등록신청일직전분기까지각분기말미상환발행잔액의단순평균으로한다. 다만, 사업기간이 3월미만인경우에는등록신청일직전월말미상환발행잔액으로한다. 2 법제28조제3항제1호다목에따라금융위원회에등록하지아니하고선불전자지급수단을발행하는자는매분기말기준으로선불전자지급수단의미상환잔액을평가하여이를시행령제15조제 6항에따른지급보증, 상환보증보험또는공제에반영하여야한다. 제42조의2( 거래금액기준 ) 1 법제30조제3항제1호에서 금융위원회가정하는기준 이라함은당해전자금융업에대한분기별결제대행금액 ( 이용자가지급한재화및용역의매출총액 ), 결제대금예치금액또는전자고지결제금액이 30억원이하에해당하는경우를말한다. 2 법제30조제4 항에서 금융위원회가정하는기한 이라함은신고한때로부터 6월이내를말한다. 3 등록자본금초과시신고와관련한절차및방법등세부사항은금융감독원장이정하는바에따른다. < 시행세칙 > 제8조의3( 거래금액기준초과시신고등 ) 1 법제30조제3항제1호에해당하는전자금융업자는분기별거래총액 ( 결제대행금액, 결제대금예치금액또는전자고지결제금액 ) 이규정제42조의2제1항에따른거래금액기준을초과한경우해당분기종료후 45일이내에별지제5호서식에따라감독원장에게초과내역및자본금증액계획을신고하여야한다. 2 제1항에따른신고를마친자는법제30조제4항에따른자본금요건을갖춘후, 신고한때부터 6개월이내에자본금납입증명서류등관련서류를감독원장에게제출하여야한다. 관계법령 < 법 > 제30조 ( 자본금 ) 1~2 ( 생략 ) 3제28조제2항제4호 제5호및제29조의규정에따라등록할수있는자는 상법 제170조에서정한회사또는 민법 제32조에서정한법인으로서업무의종류별로자본금 출자총액또는기본재산이다음각호의구분에따른금액이상이어야한다. 1. 분기별전자금융거래총액이 30억원이하의범위에서금융위원회가정하는기준이하로운영하고자하는자 ( 제29조에따라등록을하고자하는자는제외한다 ): 3억원이상으로대통령령으로정하는금액 2. 제1호외의자 : 5억원이상으로대통령령으로정하는금액 4 제3항제1호에해당하는자가제28조에따라등록을한후 2분기이상계속하여제3항제1호의금융위원회가정하는기준을초과하는경우에는그내용을금융위원회에신고하고금융위원회가정하는기한내에제3항제2호에서정하는자본금요건을갖추어야한다 금융감독원

127 개정된전자금융거래법은핀테크활성화를위해소규모전자금융업자에대해서는등록자본금을완화 해설 소규모전자금융업자로등록한후 2분기이상연속하여기준초과시에는 6개월내에자본금을증액하여야함 ( 법개정 ) 2. 허가등절차의구분 < 감독규정 > 제43조 ( 허가등절차의구분 ) 다음각호의허가또는인가 ( 이하 허가등 이라한다 ) 의절차는허가등사항에대한사전심사및확실한실행을위하여허가등의이전에예비적으로행하는의사표시 ( 이하 예비허가등 이라한다 ) 와허가등으로구분한다. 1. 법제28조제1항의규정에의한전자화폐의발행및관리업무의허가 2. 법제45조에의한합병등의인가 3. 예비허가등 < 감독규정 > 제44조 ( 예비허가등 ) 1 예비허가등을신청하고자하는자는금융감독원장이정하는바에따라 < 별지제3호서식 > 에따른관련신청서및첨부서류를금융위원회에제출하여야한다. 2 금융위원회는예비허가등의심사를위하여필요하다고인정하는때에는예비허가등의신청에대하여이해관계인의의견을요청할수있고, 금융시장에중대한영향을미칠우려가있다고판단되는경우공청회를개최할수있다. 3 금융위원회는제2항의규정에의하여접수된의견중신청인에게불리한의견에대하여는신청인에게소명하도록기한을정하여통보할수있다. 4 금융감독원장은예비허가등의신청내용에대한진위여부를확인하고이해관계인, 일반인및관계기관등으로부터제시된의견을감안하여신청내용이관련법령과이장제2절에서규정하는허가등세부기준에부합되는지여부를심사하여야한다. 5 금융감독원장은사업계획의타당성을평가하기위하여평가위원회를구성 운영할수있으며신청내용의확인, 발기인및경영진과의면담등을위하여실지조사를실시할수있다. 6 금융위원회는예비허가등의신청에대하여관련법령과이장제2절에서규정하는허가의세부기준을감안하여예비허가등의여부를결정한다. 7 금융위원회는예비허가등시에조건을붙일수있으며예비허가등을거부하는경우이를서면으로신청인에게통보하여야한다. 8 금융위원회는합병, 영업양도등구조조정및이용자보호등을위하여신속한처리가필요하거나예비허가등의신청시허가등의요건을갖추었다고판단되는때에는예비허가등의절차를생략할수있다. 제 5 장 전자금융업의 허가와 등록 및 업무 Financial Supervisory Service - 127

128 전자금융감독규정해설 4. 허가등 < 감독규정 > 제45조 ( 허가등 ) 1 신청인은예비허가등의내용및조건을이행한후금융감독원장이정하는바에따라 < 별지제4호서식 > 에따른관련신청서및첨부서류를금융위원회에제출하여야한다. 2 금융위원회는허가등의신청에대하여관련법령과이장제2절에서규정하는허가의세부기준에따라심사하여허가여부를결정한다. 3 허가등에는조건을붙일수있으며허가를거부하는경우에는이를서면으로신청인에게통보하여야한다. 4 금융위원회는예비허가등의내용및조건의이행여부를확인하기위하여실지조사를실시할수있으며, 신청인은이에적극협조하여야한다. 5 신청인은예비허가등또는허가등시에부과된조건이있는경우그이행상황을이행기일경과후지체없이금융위원회에보고하여야한다. 제46 조 ( 보완서류등의제출 ) 금융위원회는예비허가등또는허가등의심사시보완서류등의추가자료가필요한경우신청인에게기한을정하여그자료의제출을요구할수있다. 제47조 ( 허가등사실의공고 ) 금융위원회는허가등의신청을승인한경우에는지체없이그내용을관보에공고하고인터넷등을이용하여일반인들에게알려야한다. 허가또는인가 ( 이하 허가등 이라함 ) 의절차는허가등사항에대한사전심사및확실한실행을위하여허가등의이전에예비적으로행하는의사표시 ( 이하 예비허가등 이라함 ) 와허가등으로절차를구분하고있음 신청인은예비허가등의내용및조건을이행한후허가등신청서및첨부서류를금융위에제출하여심사를받음 해설 예비허가및예비인가제도 - 허가및인가에있어신청인의예측가능성을제고하고행정의효율성을확보하기위해사전인 허가제도를도입하여신청인의편익을도모하고자함 예비허가및예비인가대상 ( 전자화폐발행및관리업에한함 ) - 전자화폐발행및관리업무의허가 - 전자화폐발행및관리업자의다른금융회사또는및전자금융업자와의합병인가 - 전자화폐발행및관리업의해산또는전자금융업무의폐지인가 금융감독원

129 - 전자화폐발행및관리업전부또는일부의양도와양수인가 금융위는허가의세부기준에따라심사하여허가여부를결정 - 허가등에는조건을붙일수있으며, 허가를거부할경우에는반드시서면으로신청인에게통보하여야함 - 금융위는예비허가등의내용및조건의이행여부를확인하기위해실지조사를실시할수있음 금융위는예비허가등또는허가등의심사시보완서류등의추가자료가필요한경우신청인에게기한을정하여그자료의제출을요구할수있고, - 허가등의신청을승인할경우에는지체없이그내용을관보에공고하여일반인에게알려야함 5. 등록 < 감독규정 > 제48조 ( 등록 ) 1 법제28조및제29 조에따라등록을신청하고자하는자는금융감독원장이정하는바에따라 < 별지제5호서식 > 에따른등록신청서를금융감독원에제출하여야하며금융감독원장은등록신청일로부터 20일이내에서면으로등록여부를통지한다. 다만, 제3항의실지조사에걸린기간은통지기간에산입하지아니한다. 2 금융감독원장은신청인의등록신청에대하여이장제2절의심사기준에따라등록여부를결정한다. 3 금융감독원장은등록의내용및조건의이행여부를확인하기위한실지조사를실시할수있다. 4 금융감독원장은등록신청을수리한경우에는지체없이그내용을관보에공고하고인터넷등을이용하여일반인들에게알려야한다. 등록신청인은등록신청서를금융감독원에제출하여야하며감독원장은등록신청일로부터 20일이내에서면으로등록여부를통지함 해설 감독원장은신청인의등록신청에대하여자본금, 재무건전성및인적 물적요건등의심사기준에따라등록여부를결정 제 5 장 전자금융업의 허가와 등록 및 업무 감독원장은등록의내용및조건의이행여부를확인하기위한실지조사를실시할수있고, 등록을완료한경우에는지체없이그내용을관보에공고및인터넷등을이용하여일반인들에게알려야함 Financial Supervisory Service - 129

130 전자금융감독규정해설 6. 기재가생략되는출자자의범위 < 감독규정 > 제49조 ( 기재가생략되는출자자의범위 ) 시행령제20조제1항제3호에서 금융위원회가정하여고시하는소액출자자 라함은허가또는등록대상전자금융업자가되고자하는법인의의결권있는발행주식총수의 100분의 1 이하의주식을소유하는자를말한다. < 참고 > 전자금융업등록관련절차 1. 등록협의 : 방문또는유선으로등록업무상담 2. 등록신청 : 금융감독원에신청서제출 3. 등록심사 : 등록신청 ( 접수 ) 일기준 20일이내여부통보 서류심사 : 제출서류심사 실지조사 : 등록신청업체현지조사 신원조회 : 신청인및대주주등에대한결격사유조회 보완요청 : 등록신청일기준 10일이내등록관련서류보완요청 4. 등록완료 등록완료통보 : 등록신청업체공문발송 ( 우편 ) 관보공고요청 : 행자부에관보공고요청 홈페이지공고 : 홈페이지에등록사실공고 금융감독원

131 제 2 절 허가및등록의세부요건 1. 인력및물적시설세부요건 < 감독규정 > 제50조 ( 인력및물적시설세부요건 ) 1 법제28조및제29조에따라허가를받거나등록을하고자하는자는인력과물적시설에대한다음각호의요건을모두갖추어야한다. 1. 신청당시전산업무종사경력이 2년이상인임직원을 5명이상확보하고있거나허가 등록시점에확보가능할것 2. 전자금융업을원활히영위하는데필요한전산기기를보유할것 3. 전산장애발생시전산자료손실에대비한백업 (backup) 장치를구비할것 4. 전자금융업의원활한영위를위한각종프로그램을보유할것 5. 전산자료보호등을위한적절한정보처리시스템관리방안을확보하고정보보호시스템등감시운영체제를구축할것 6. 전산실등의구조및내장, 설비등의안전성을확보하고적절한보안대책을수립할것 2 국외에서주로영업하는국외사이버몰 ( 국외사이버몰 이란컴퓨터등과정보통신설비를이용하여재화등을거래할수있도록설정된가상의영업장으로서운용자의사무소가국외에있는경우를말한다. 이하같다 ) 에서의상거래에수반한전자지급결제대행업을영위할목적으로전자금융업을등록하고자하는자는제50조제1항의규정에도불구하고다음각호의요건을모두충족한경우등록할수있다. 1. 국외에소재한계열사 ( 금융회사의정보처리및전산설비위탁에관한규정 제2조제3항의 계열사 를말한다. 이하같다 ) 와이용계약을체결하였고, 계열사의인력및물적시설이제50조제 1항각호의세부요건을충족할것 2. 제1호의규정에도불구하고전자금융업을등록하고자하는자는신청당시법령준수업무와이용자민원처리업무를담당할 3명이상의임직원 ( 전산업무종사경력이 2년이상인임직원 1명을포함하여야한다 ) 은직접확보하고있거나등록시점에확보가능할것 3. 신청당시계열사의인력또는물적시설을통해 5개국이상의국가에서전자지급결제대행업무가수행되고있을것 3 제2항에따라등록을하려는자가계열사의인력또는물적시설의이용계약을체결하는경우에는 금융회사의정보처리및전산설비위탁에관한규정 을적용한다. 다만, 동규정의제7조는적용하지아니한다. 전자금융업의원활한수행을위해필요한최소한의인적 / 물적시설요건을규정함 제 5 장 전자금융업의 허가와 등록 및 업무 Financial Supervisory Service - 131

132 전자금융감독규정해설 전자금융업물적설비현황점검리스트 ( 참고 ) 1. 전자금융업을원활히영위하는데필요한전산기기보유 항목제출서류 1 전자금융업을원활히영위하는데필요한주전산기기, 어플리케이션서버, DB서버, 웹서버, 저장장치및출력장치등보유 2 대외금융회사, 가맹점또는지점등과자료의송 수신등을위한통신제어장치, 통신서버, 통신회선등전자금융업무를지원하기위한내 외부통신망구축 전산기기목록 통신기기목록 2. 전산장애발생시전산자료손실에대비한백업장치구비 1 백업장치를구비하고중요도에따라프로그램, 데이터, 로그등전산자료를정기백업및안전지역에소산 2 자연재해, 인적재해, 기술적재해, 전자적침해등으로인한전산시스템마비방지, 자료손실방지및신속한복구를위한비상대책수립 3 중앙처리장치, 데이터저장장치등주요전산장비및통신망에대하여이중화또는예비장치를확보 백업계획서비상계획서주요전산장비 통신회선등의이중화구성도 3. 전자금융업의원활한영위를위한각종프로그램보유 1 주요업무별 기능별각종프로그램을보유 2 프로그램등록 변경 폐기시통제방안마련 프로그램보유현황 프로그램등록 변경 폐기절차 4. 전산자료보호등을위한정보처리시스템관리방안확보 1 사용자계정과비밀번호를개인별로부여하고등록 변경 폐기등에관하여체계적으로관리 ( 외부사용자에게사용자계정을부여하는경우적절한통제장치마련 ) 2 담당업무에따른전산자료의입력 출력 열람등접근권한통제 3 전산자료및전산장비의반출 입통제 4 이용자정보의조회 출력에대한통제를하고테스트시이용자정보사용을금지 ( 불가피한경우이용자정보를변환하여사용하고테스트종료즉시삭제 ) 5 단말기를통한이용자정보조회시사용자, 사용일시, 변경또는조회내용, 접속방법등이정보처리시스템에자동기록되도록하고, 그기록을 1년이상보존 6 공개용웹서버를내부통신망과분리하여내부통신망과외부통신망사이의독립된통신망 (DMZ) 에설치하고네트워크및웹접근제어수단으로보호 7 공개용서버에접근할수있는사용자계정은업무관련자만접속할수있도록제한하고아이디 비밀번호이외에추가인증수단을적용 계정 비밀번호부여절차및관리현황전산자료접근권한부여절차및관리현황전산자료반출 입관리대장전산개발규정자동기록된내용의샘플자료 DMZ을포함한네트워크구성도웹서버계정부여현황, 추가인증수단현황 금융감독원

133 항목제출서류 8 개인정보의유출, 위 변조방지를위한보안조치 9 공개용웹서버가해킹공격에노출되지않도록취약점에대하여적절한대응조치강구 개인정보보유현황, 정보유출방지대책취약점에대한점검및대응현황 5. 정보보호시스템등감시운영체제구축 1 전산자료보호등을위한적절한정보처리시스템관리방안을확보하고정보보호시스템등감시운영체제를구축 2 내부통신망과연결된내부업무용시스템및정보처리시스템은인터넷등외부통신망과분리 차단및접속금지 3 악성코드감염방지대책마련 정보보호시스템 ( 침입차단시스템, 침입탐지시스템, VPN 등 ) 구축현황망분리현황악성코드감염방지프로그램현황및복구절차서 6. 전산실안전성확보및적절한보안대책수립 1 UPS, 항온항습기, 자가발전설비, 자동소화설비, 접지시설등안정적인전산실운영에필요한기본설비확보 2 화재 수해등의재해및외부로부터의위해방지대책수립 운용 3 전산실, 전산자료보관실, 정보보호시스템설치장소등보안관리가필요한정보처리시스템설치장소를보호구역설정 4 전산실출입문은한곳으로정하며상시출입은업무와직접관련이있는자에한하여허용하고, 그밖의출입자에대하여는관리책임자의승인을받아출입하도록하며출입자관리기록부기록 보관 5 전산실의규모, 설치장소등을감안하여무인감시카메라또는출입자동기록시스템을설치하여사후확인이가능하도록조치 6 전산실출입문은 2중안전장치로보호하며외벽이유리인경우유리창문을통하여접근할수없도록조치 전산실설비목록비상대책보호구역지정현황전산실출입자관리기록부출입자감시장치운영현황전산실배치도 제 5 장 전자금융업의 허가와 등록 및 업무 Financial Supervisory Service - 133

134 전자금융감독규정해설 2. 국외사이버몰을위한전자지급결제대행업 < 감독규정 > 제50조의2( 국외사이버몰을위한전자지급결제대행업 ) 1 제50조제2항에따라등록하고자하는경우시행령제20조제2항제8호에따라다음각호의서류를제출하여야한다. 1. 금융회사의정보처리및전산설비위탁에관한규정 제7조제1항각호의서류 2. 등록신청자및계열사의수탁업무수행과정에서의법 시행령및이규정등준수에대한확약서 3. 신청시점에전자지급결제대행업무를수행하고자하는국외사이버몰에대한다음각목의사항 ( 해당국가의법령등에서이와유사한것으로인정되는사항을포함한다 ) 을기재한서류가. 전자상거래등에서의소비자보호에관한법률 제10조제1항각호의서류나. 신청일직전연도에사이버몰에서체결된전자상거래중국내에소재한소비자와사업자간거래의비중 2 제50조제2항에따라등록을한자는국외에서주로영업하는국외사이버몰을통한상거래에대해서만전자지급결제대행업을영위하여야한다. 3 금융감독원장은국외에서주로영업하는국외사이버몰의판단기준등필요한사항을정할수있다. < 시행세칙 > 제8조의2( 국외에서주로영업하는국외사이버몰의판단기준 ) 규정제50조의2제3항에따라감독원장은국외에서주로영업하는국외사이버몰을판단하는데있어다음각호의사항등을고려한다. 1. 사이버몰운용자의사무소, 인적 물적시설의소재지 2. 사이버몰에서이루어지는상거래대상국가의수 3. 사이버몰에대한국외감독당국, 규제기관의감독 규제여부 4. 사이버몰에서체결된전자상거래중국내에소재한소비자와사업자간거래의비중 5. 규정제50조의2제2항에따른제한을회피하기위한사이버몰여부 3. 재무건전성세부기준및계산방법 < 감독규정 > 제51조 ( 재무건전성세부기준및계산방법등 ) 1 시행령제18조제1항및제2항에따라금융위원회가정하는재무건전성기준은다음각호와같다. 1. 시행령제18조제1항의규정에따른기관중 금융산업의구조개선에관한법률 제2조제1호의금융회사에해당하는기관은그기관의설립 운영등에관한법령상경영개선권고, 경영개선요구또는경영개선명령등의요건이되는재무기준에해당하지아니할것 2. 제1호이외의경우에는다음각목의요건을충족할것가. 시행령제18조제1항의규정에따른금융회사중 금융산업의구조개선에관한법률 제2조제1호의금융회사에해당하지않는기관은자기자본대비부채총액의비율이 100분의 200 이내일것. 다만, 금융회사업무의성격및재무구조등을감안할때부채비율기준을적용하지아니하고, 금융산업의구조개선에관한법률 제2조제1호각목중어느하나의금융회사 ( 이하 기준금융회사 라한다 ) 의재무건전성기준을적용하는것이적절하다고금융위원회가승인하는경우에는, 기준금융회사의 금융감독원

135 설립, 운영등에관한법령에따라산출한재무비율이같은법령상의경영개선권고, 경영개선요구또는경영개선명령등의요건이되는기준에해당하지아니할것나. 법제28조제 1항에따른허가대상전자금융업일경우에는자기자본대비부채총액의비율이 100분의 180 이내일것다. 법제28조제2항및제29조에따른등록대상전자금융업일경우에는자기자본 출자총액또는기본재산대비부채총액의비율이 100분의 200 이내일것 2 제1항제2호의부채비율은신청일이속하는사업연도의직전사업연도말대차대조표 ( 최근대차대조표를사용하고자하는경우에는신청일최근분기말대차대조표또는회계법인의확인을받은신청일최근대차대조표 ) 상의자기자본및부채총액을이용하여산출한다. 이경우전자화폐 선불전자지급수단의미상환잔액및전자자금이체 전자지급결제대행 결제대금예치 전자고지결제 정보통신망이용촉진및정보보호등에관한법률 제2조제10 호에따른통신과금서비스등의업무를영위하는자가이용자와의거래관계에서일시보관하는금액 ( 이하 미정산잔액 이라한다 ) 은부채총액에서차감한다. 3 제1항에도불구하고다음각호의요건을갖춘신청인의재무건전성기준은자기자본대비부채총액의비율이 100분의 1500 이내일것으로한다. 1. 정부등이자본금 출자총액또는기본재산의 100분의 10 이상을소유하고있거나출자하고있을것 2. 신청인의사업수행이곤란하게되는경우정부등이해당사업을인수할것을확약하는등그사업의연속성에대하여정부등이보장하고있을것 3. 사업개시후 5년이내제1항의재무건전성기준을충족하는것을내용으로하는실현가능한재무구조개선계획을수립하여관련서류와함께제출할것 감독규정은법및시행령의위임을받아재무건전성기준을구체적으로정하고있음 해설가 ) 재무건전성요건 금융감독원의검사대상기관 - 금융산업의구조개선에관한법률 제2조제1호의금융회사 * 에해당하는기관 ( 적기시정조치적용대상금융회사 ) 은그기관의설립 운영등에관한법령상경영개선권고, 경영개선요구또는경영개선명령등의요건이되는재무기준에해당하지아니하여야하며, * 은행, 중소기업은행, 투자매매업자 투자중개업자, 집합투자업자, 투자자문업자 투자일임업자, 보험회사, 상호저축은행, 신탁업자, 종금사, 금융지주회사, 여신전문금융회사, 주택저당채권유동화회사 제 5 장 전자금융업의 허가와 등록 및 업무 - 금융산업의구조개선에관한법률 제2조제 1호의금융회사에해당하지않는기관 ( 적기시정조치미적용대상금융회사 ) 은자기자본대비부채총액의비율이 200% 이내이어야함 Financial Supervisory Service - 135

136 전자금융감독규정해설 다만, 적기시정조치대상이아닌금융회사에대해, 금융위가승인하는경우동부채비율 (200% 이내 ) 을적용하지않고해당금융회사의설립, 운영등에관한법률에따라산출한재무비율이동법상의적기시정조치기준에해당하지않으면재무건전성요건은충족한것으로간주 검사대상기관이아닌경우 - 허가대상전자금융업 ( 전자화폐의발행및관리업 ) 의경우부채비율이 180% 이내이어야하고, 그외등록대상전자금융업의경우부채비율이 200% 이내이어야함나 ) 부채비율에관한특례 정부관련사업에있어이용자보호및거래안전확보를위한다음요건을모두갖춘경우부채비율이 1,500% 이하이면등록을허용 - 정부등 ( 지자체포함 ) 이자본금 출자총액또는기본재산의 100분의 10 이상을소유하고있거나출자하고있을것 - 신청인의사업수행이곤란하게되는경우정부등이해당사업을인수할것을확약하는등그사업의연속성에대하여정부등이보장하고있을것 - 사업개시후 5년이내해당전자금융업이요구하고있는재무건전성기준을충족하는것을내용으로하는실현가능한재무구조개선계획을수립하여관련서류와함께제출할것다 ) 부채비율의산정방식및산정시점 산정방식 - 부채비율은자기자본 ( 기본재산또는출자총액 ) 대비부채총액으로서, 전자화폐 선불전자지급수단의미상환잔액및전자자금이체 전자지불결제대행 결제대금예치 전자고지결제등의업무를영위하는자가이용자와의거래관계에서일시보관하는금액은부채총액에서차감하여산정 산정시점 - 원칙적으로신청일이속하는사업연도의직전사업연도말대차대조표를기준으로하되, 신청일최근분기말대차대조표 ( 또는재무상태표, 이하동일 ) 도사용할수있으며, 회계법인의확인을받은경우신청일최근월말대차대조표를기준으로할수있음 금융감독원

137 4. 사업계획에관한요건 < 감독규정 > 제52조 ( 사업계획에관한요건 ) 법제28조에따라허가를받고자하는자의사업계획은다음각호의요건을모두갖추어야한다. 1. 영업개시후 3년간추정재무제표및수익전망이전자화폐내지선불전자지급수단발행업계의과거수익상황등에비추어타당성이있고그내용이해당신청회사의영업계획에부합할것 2. 전자화폐발행업을원활히영위하는데필요한이용자확보계획이구체적이고타당하며실현가능성이있을것 3. 영위하고자하는영업의내용이법령에위반되지아니하고투자자보호나건전한금융질서를저해할우려가없을것 허가대상업무인전자화폐의발행및관리업의경우이용자보호필요성에따라업무의연속성, 안정성을확보할수있는보장장치가필요한바, 허가시사업계획에관해신청인의수익전망, 이용자확보계획및투자자보호가능성에대한심사를의무화 해설 사업계획에관한요건 - 영업개시후 3년간추정재무제표및수익전망이전자화폐내지선불전자지급수단발행업계의과거수익상황등에비추어타당성이있고그내용이해당신청회사의영업계획에부합할것 - 전자화폐발행업을원활히영위하는데필요한이용자확보계획이구체적이고타당하며실현가능성이있을것 - 영위하고자하는영업의내용이법령에위반되지아니하고투자자보호나건전한금융질서를저해할우려가없을것 5. 주요출자자에관한요건 < 감독규정 > 제53조 ( 주요출자자에관한요건 ) 주요출자자 ( 시행령제18 조제3항에따른주요출자자를말한다 ) 는 < 별표 4> 에서정한요건을충족하여야한다. 제 5 장 전자금융업의 허가와 등록 및 업무 Financial Supervisory Service - 137

138 전자금융감독규정해설 6. 허가및등록신청결격자 < 감독규정 > 제54조 ( 허가및등록신청결격자 ) 법제32조제4호의규정에서 금융위원회가정하는자 라함은 신용정보의이용및보호에관한법률 제25조제2항제1호의종합신용정보집중기관에다음각호중어느하나의신용정보가등록된자를말한다. 1. 어음 수표거래정지처분또는부도거래정보 2. 대출금등의용도외유용사실 3. 부정한방법으로대출을받는등금융거래질서를문란하게한사실 전자금융업허가 등록을신청하려는자가신용정보법상연체정보 금융질서문란정보등이기록되어있는경우허가 등록신청결격사유로처리하고자함 해설 약정한기일내에채무를변제하지아니한자 라함은종합신용정보집중기관에 신용판단정보 * 등이기록된자를말함 * 1) 대출금등의연체내용 2) 대위변제 대지급발생사실, 3) 어음또는수표의거래정지처분을받은사실, 4) 대출금등을용도외로유용한사실및부정한방법으로대출을받는등신용질서를문란하게한사실등을의미함 신용정보의이용및보호에관한법률시행령 ( 별표 2) 참조 금융감독원

139 종합신용정보집중기관을통하여집중관리 활용되는신용정보의범위 < 별표 2> ( 신용정보의이용및보호에관한법률시행령제 21 조제 3 항관련 ) 1. 개인 구분 가. 식별정보 집중관리 활용대상정보 성명및개인식별번호 나. 신용거래정보 다. 신용도판단정보등 1) 대출 당좌거래등에관한거래정보로서다음가 ) 부터다 ) 까지의정보가 ) 대출현황나 ) 당좌예금 가계당좌예금의개설및해지사실다 ) 담보및채무보증현황 2) 신용카드에관한거래정보로서다음가 ) 부터다 ) 까지의정보가 ) 신용카드의발급 해지사실및결제 미결제금액 ( 결제금액은해당신용정보를보유한신용카드업자가동의하는경우만해당한다 ) 나 ) 2개이상의신용카드를소지한신용정보주체의신용카드이용금액, 이용한도, 신용카드에의한현금융통한도다 ) 신용카드의분실 도난등사고발생, 그발생한사고종결에따른보상, 그밖의사고종결의처리사실 3) 보험상품에관한거래정보로서다음가 ) 및나 ) 의구분에따른정보. 이경우보험계약자가기업, 법인및단체인경우에도피보험자또는보험금청구권자 ( 보험수익자, 피보험자또는손해보험계약의제3자등으로서보험금을청구할권리가있는자를말한다. 이하같다 ) 가개인인경우에는그보험상품을포함한다. 가 ) 보험계약의체결에관한정보 : 보험계약현황, 보험계약의피보험자또는보험금청구권자에관한정보 ( 성명, 개인식별번호, 직업및보험계약자와의관계에관한정보를말한다 ) 및해당보험계약을모집한모집업무수탁자에관한정보나 ) 보험금의청구및지급에관한정보 : 보험금의청구 지급현황, 보험금의지급사유 ( 질병에관한정보, 손해보험계약에따른보험목적에생긴손해사실, 그밖의보험사고에관한정보를포함한다 ), 보험금청구권자 ( 책임보험계약에따라손해를보상받는피해자를포함한다 ) 에관한정보 ( 성명, 개인식별번호, 피보험자와의관계에관한정보를말한다 ) 1) 대출금, 신용카드대금, 시설대여이용료등의연체사실 2) 대위변제 대지급발생사실 3) 어음 수표의거래정지처분을받은사실및그부도사실 4) 증권의투자매매업 투자중개업에관한정보로서다음가 ) 및나 ) 의정보가 ) 증권시장에상장된증권의매매와관련하여투자중개업자에게매수대금또는매도증권을결제일까지납입하지아니한사실나 ) 증권시장에상장된증권의매매를위하여투자자에게제공하는매수대금의융자또는매도증권의대여거래에관한정보로서상환또는납입기일까지그거래에따른채무를이행하지아니한사실 제 5 장 전자금융업의 허가와 등록 및 업무 Financial Supervisory Service - 139

140 전자금융감독규정해설 5) 금융질서문란정보로서다음가 ) 부터라 ) 까지의정보가 ) 대출금등을용도외로유용한사실및부정한방법으로대출을받는등신용질서를문란하게한사실나 ) 거짓이나그밖의부정한방법으로신용카드를발급받거나사용한사실다 ) 보험사기사실라 ) 그밖에가 ) 부터다 ) 까지의사실과비슷한것으로서금융질서를문란하게한사실 6) 공공기관이만들어낸정보로서다음가 ) 부터마 ) 까지의정보가 ) 법원의회생 간이회생 개인회생과관련된결정, 파산선고 면책 복권과관련된결정, 채무불이행자명부의등재 말소결정사실나 ) 국세 지방세 관세또는국가채권과벌금 과태료 과징금 추징금등의체납관련정보다 ) 사회보험료 공공요금또는수수료등관련정보라 ) 주민등록관련정보로서출생 사망 이민 부재에관한정보, 주민등록번호 성명의변경등에관한정보마 ) 다른법령에따라국가, 지방자치단체또는공공기관으로부터받은행정처분에관한정보중에서금융거래등상거래와관련된정보 2. 기업및법인 구분 가. 식별정보 나. 신용거래정보 집중관리 활용대상정보기업및법인의상호및명칭, 사업자등록번호, 법인등록번호및고유번호, 본점 영업소및기관의소재지, 종목, 대표자의성명 개인식별번호 1) 대출 당좌거래등에관한거래정보로서다음가 ) 부터사 ) 까지의정보가 ) 대출 지급보증등신용공여현황나 ) 시설대여현황다 ) 신용보증현황라 ) 보증보험현황마 ) 담보및채무보증현황바 ) 당좌예금 가계당좌예금의개설및해지사실사 ) 가 ) 부터바 ) 까지의정보로서해당기업및법인의기술과관련된기술성 시장성 사업성등을종합적으로평가함으로써만들어진정보 2) 신용카드에관한거래정보로서다음가 ) 및나 ) 의정보가 ) 신용카드의발급 해지사실및결제 미결제금액 ( 결제금액은해당신용정보를보유한신용카드업자가동의하는경우만해당한다 ) 나 ) 신용카드의분실 도난등사고발생, 그발생한사고종결에따른보상, 그밖의사고종결의처리사실 다. 신용도판단정보 1) 기업및법인의신용도판단정보로서다음가 ) 부터바 ) 까지의정보 ( 제2조제1항제3호가 ) 대출금, 신용카드자금, 시설대여이용료등의연체사실각목의어느나 ) 대위변제 대지급발생사실하나에해당하는다 ) 신용보증기금이대위변제한사실자의정보도라 ) 어음 수표의거래정지처분을받은사실및그부도사실 금융감독원

141 마 ) 무보증사채의상환불이행사실바 ) 가 ) 부터마 ) 까지의정보로서해당기업및법인의기술과관련된기술성 시장성 사업성등을종합적으로평가함으로써이루어진대출, 신용보증등에대하여연체, 대위변제등이발생한사실 2) 증권의투자매매업 투자중개업에관한정보로서다음가 ) 및나 ) 의정보가 ) 증권시장에상장된증권의매매와관련하여투자중개업자에게매수대금또는매도증권을결제일까지납입하지아니한사실나 ) 증권시장에상장된증권의매매를위하여투자자에게제공하는매수대금의융자또는매도증권의대여거래에관한정보로서상환또는납입기일까지그거래에따른채무를이행하지아니한사실 포함한다 ) 라. 신용거래능력판단정보등 3) 금융질서문란정보로서다음가 ) 부터라 ) 까지의정보가 ) 대출금등을용도외로유용한사실및부정한방법으로대출을받는등신용질서를문란하게한사실나 ) 거짓이나그밖의부정한방법으로신용카드를발급받거나사용한사실다 ) 보험사기사실라 ) 그밖에가 ) 부터다 ) 까지의사실과비슷한것으로서금융질서를문란하게한사실 4) 공공기관이만들어낸정보로서다음가 ) 부터마 ) 까지의정보가 ) 법원의회생 간이회생 개인회생과관련된결정, 파산선고 면책 복권과관련된결정, 채무불이행자명부의등재 말소결정사실나 ) 국세 지방세 관세또는국가채권과벌금 과태료 과징금 추징금등의체납관련정보다 ) 사회보험료 공공요금또는수수료등관련정보라 ) 주민등록관련정보로서출생 사망 이민 부재에관한정보, 주민등록번호 성명의변경등에관한정보마 ) 다른법령에따라국가, 지방자치단체또는공공기관으로부터받은행정처분에관한정보중에서금융거래등상거래와관련된정보 1) 계열기업체현황등회사의개황 2) 사업의내용 3) 재무제표등재무에관한사항 4) 자본금증자및사채발행현황 5) 기업의영업에관한정보로서다음가 ) 및나 ) 의정보가 ) 정부조달실적또는수출 수입액등의관련정보나 ) 기술신용정보및이와관련된신용정보 6) 기업등록관련정보로서설립, 휴업 폐업, 양도 양수, 분할 합병, 주식또는지분변동등에관한정보 제 5 장 전자금융업의 허가와 등록 및 업무 Financial Supervisory Service - 141

142 전자금융감독규정해설 7. 신청에따른등록말소및이용자보호조치 < 감독규정 > 제55조 ( 신청에따른등록말소및이용자보호조치 ) 1 법제34조에따라등록의말소를신청하고자하는전자금융업자는 < 별지제6호서식 > 에따른등록말소신청서를금융위원회에제출하여야한다. 2 법제34조에따라등록의말소를신청하고자하는전자금융업자는신청이전에이용자보호조치계획을금융위원회에제출하여야한다. 3 금융위원회는제1항의전자금융업자가제출한계획이이용자보호에충분하지않은경우에그보완을요구할수있다. 전자금융업자의등록말소로인한이용자의피해를방지하기위해전자금융업자는등록말소신청이전에이용자보호조치계획을금융위에제출하여야함 해설 금융위에제출된이용자보호조치계획이이용자보호에충분하지않을경우금융위는보완을요구할수있으며, 동요구사항이충분히이행되지않을경우전자금융업자에대한등록말소는완료될수없음 업자가자기의사에따라전자금융업을폐지하려는등록말소와달리등록취소는일정한요건 * 에해당될경우업자의의사와상관없이감독당국이취하는행정행위를말함 * 법제43조제 1항제1호 ~ 제5호에해당하는경우 금융감독원

143 제 3 절 전자금융업의업무 1. 전자화폐발행업자의겸업가능업무 < 감독규정 > 제56조 ( 전자화폐발행업자의겸업가능업무 ) 시행령제22조제1항제3호에서 금융위원회가정하여고시하는업무 란다음각호의어느하나에해당하는업무를말한다. 1. 전자화폐발행및관리를위한가맹점의모집 2. 전자화폐발행및관리를위한인터넷홈페이지의운영및이를통한통신판매중개 개요 감독규정에서전자화폐발행업자가겸업가능한업무의범위를정함 해설 전자화폐발행업자는원칙적으로겸업이금지됨 겸업이허용되는업무 - 등록대상전자금융업무 ( 등록을전제 ) - 전자금융업과관련된정보처리시스템및소프트웨어의개발 판매 대여 - 금융회사및전자금융업자를위한전자금융업무의일부대행 - 전자화폐발행및관리를위한가맹점의모집 - 전자화폐발행및관리를위한인터넷홈페이지의운영및이를통한통신판매중개 2. 수수료및준수사항등의고지방법 < 감독규정 > 제57조 ( 수수료및준수사항등의고지방법 ) 법제38조제3항각호의사항은다음각호의방법중제1호의방법을포함한둘이상의방법으로가맹점에게알려야한다. 1. 가맹점에의개별통보 2. 전국적으로보급되는일간신문에의공고 3. 해당금융회사또는전자금융업자영업장및인터넷홈페이지에의게시 제 5 장 전자금융업의 허가와 등록 및 업무 Financial Supervisory Service - 143

144

145 전자금융감독규정 해설 6장 전자금융업무의 감독

146 전자금융감독규정해설 전자금융업무의감독 1. 정보기술부문실태평가 < 감독규정 > 제58조 ( 금융회사의정보기술부문실태평가등 ) 1 금융감독원장은금융회사의정보기술부문의건전성여부를감독하여야한다. 2 금융감독원장은업무의성격및규모, 정보기술부문에대한의존도등을감안하여 < 별표 5> 에규정된금융회사 ( 이하이조에서 은행등 이라한다 ) 에대하여검사를통해정보기술부문운영실태를평가하고그결과를경영실태평가등감독및검사업무에반영하여야한다. 3 제2항에의한실태평가는 1등급 ( 우수 ), 2등급 ( 양호 ), 3등급 ( 보통 ), 4등급 ( 취약 ), 5등급 ( 위험 ) 의 5단계등급으로구분한다. 4 금융감독원장은제2항에따른정보기술부문실태평가결과종합등급이 4등급인경우에는해당은행등에게이의개선을위한확약서제출을요구할수있으며, 종합등급이 5등급이거나직전정보기술부문실태평가결과에비해평가등급이 2등급이상하향된경우에는취약점개선대책의수립 이행을내용으로하는양해각서를체결할수있다. 5 제4항의확약서는대표자의승인을받아제출하고, 양해각서는해당은행등의이사회재적이사전원의서명을받아체결한다. 6 금융감독원장은확약서또는양해각서의이행상황을점검하여그이행이미흡하다고판단되는경우에는확약서를다시제출받거나양해각서를다시체결할수있다. 7 확약서또는양해각서의효력발생일자, 이행시한및이행상황점검주기는각확약서또는양해각서에서정한다. 다만, 이행상황점검주기를따로정하지않은경우은행등은매분기익월말까지분기별이행상황을금융감독원장에게보고하여야한다. 8 제2항에따른정보기술부문실태평가결과는경영실태평가세부평가항목중경영관리또는위험관리항목의평가비중에서최소 100분의 20 이상반영되어야하며, 금융감독원장은정보기술부문실태평가결과가 4등급이하인은행등에대해경영실태평가 2등급이상으로평가할수없다. 9 제2항에의한정보기술부문의실태평가를위한세부사항은금융감독원장이정한다. < 시행세칙 > 제9조 ( 정보기술부문실태평가방법등 ) 1 규정제58 조에따른정보기술부문실태평가는검사기준일현재평가대상기관의정보기술부문실태를 IT감사, IT경영, 시스템개발 도입 유지보수, IT서비스제공및지원, IT보안및정보보호의부문별로구분평가하고부문별평가결과를감안하여종합평가한다. 2 제1항의규정에따른부문별세부평가항목은별표 4와같다. 3 규정제58 조제3항의평가등급별정의는별표 5와같다 금융감독원

147 개요 금융회사 IT부문실태평가는 IT분야를종합적이고통일적인방식에의해일정한등급으로평가함으로써, 일반부문경영실태평가 (CAMELS) 를보완하고나아가 IT부문의안전성및건전성을확보토록하는데의의가있음 * 전자금융업자의경우 IT경영실태평가대신 IT부문의안전성을점검함 ( 전자금융업자에대해서는 IT경영실태평가를실시하지않음 ) 해설 기본운용방향 - IT부문실태평가는일반업무검사와분리하여 IT부문을별도로평가하는독립평가체제임 - IT부문실태평가는 부문검사 로운영하며, IT분야의전문성및특수성에상응하는평가기준 ( IT부문실태평가용체크리스트 ) 에의해 IT부문실태평가등급을일반부문종합검사결과와는별개로독립적으로부여하고, 필요시에는영업점의전산운영실태를파악하기위한연결검사를실시함 평가대상금융회사 - IT부문실태평가는일반업무의성격및규모, IT부문에대한의존도등에비추어 IT부문리스크가높은금융회사와네트워크가집중된금융유관기관을대상으로실시 - IT부문리스크가높은중추금융회사 은행 : 국내시중은행, 지방은행, 특수은행 증권 : 국내증권회사 보험 : 국내생명보험사, 국내손해보험사 비은행 : 신용카드사, 상호저축은행, 종금사, PG( 고객정보보유 ) - 네트워크가집중되어있는금융유관기관 증권 : 한국거래소, 한국예탁결제원, 증권금융회사 제 6 장 전자금융업무의 감독 보험 : 보험개발원 비은행 : 상호저축은행연합회, 신협중앙회 Financial Supervisory Service - 147

148 전자금융감독규정해설 금융감독원의검사대상금융회사및전자금융업자중 IT부문경영실태평가대상에서제외된중소형금융회사및전자금융업자의경우에는별도의검사방법에의거하여 IT부문검사를실시함 평가부문및평가항목 - IT부문을전산감사 (Audit), 전산경영 (Management), 시스템개발 도입 유지보수, IT서비스제공 지원, IT 보안및정보보호의 5개부문으로분류하여평가한후, 이를토대로종합평가를실시 - 위의 5개부문에대하여총 25개의평가항목을설정하되전산업무의특성상모두비계량지표를기준으로평가 < 정보기술부문평가항목 > 평가부문평가항목수 ( 대분류 ) IT감사 IT경영시스템개발 도입 유지보수 IT서비스제공및지원 IT 보안및정보보호 계 25 평가등급 - 개별금융회사의 IT부문실태평가는절대평가방식으로이루어지며, 세부항목평가, 부문별평가, 종합등급평가등각단계마다 1등급 ( 우수 ), 2등급 ( 양호 ), 3등급 ( 보통 ), 4등급 ( 취약 ), 5등급 ( 위험 ) 의 5단계로구분하여평가등급을부여 가중치 - 각부문별평가항목및세부평가항목에가중치는부여하지않으나, 검사반장이각부분별등급평가및종합등급평가시에해당금융회사의업무형태, IT리스크등을반영하여등급평가를할수있도록함으로써해당금융회사의특수성을평가에반영할수있도록함 금융감독원

149 평가시기 - 금융회사에대한 IT부문경영실태평가는 IT검사부서의독자적인검사계획에따라실시하되, 원칙적으로금융회사관련소관서비스국의본점종합검사시기에맞추어실시하여 IT부문경영실태평가결과를적기에일반부문경영실태평가에반영할수있도록함 - 다만, 다음과같은경우에는 IT검사를일반분야종합검사실시시기보다앞당기거나늦추어실시하는등탄력적으로운영함 일반분야종합검사가특정시기에집중되어 IT검사인력사정으로동시에검사실시가곤란한경우 일반분야종합검사와 IT검사를동시에실시하는경우피검사기관의제한된 IT 인력으로는일반분야검사요구자료및 IT검사수검자료작성등이중복되어수검부담이과중하다고판단되는경우등 평가결과의활용 - 종합평가가 1등급인금융회사에대해서는향후 IT부문경영실태평가를위한검사를생략하거나, 검사를실시하는경우에도검사기간을단축하고, 검사범위를축소하는등우대조치함 - 종합평가가 2등급인금융회사에대해서는향후 IT부문경영실태평가시검사기간을단축하고취약부문위주의부문검사를실시함 - 종합평가가 3등급인금융회사에대해서는전산부문취약부문에대해자체적으로개선계획을수립 추진토록하며, 이행사항에대하여다음검사시중점점검함 - 종합평가가 4등급인금융회사에대해서는일반부문경영실태평가등급산정시 IT 취약분야를적극반영토록하고, 향후 IT부문실태평가시검사기간을확대하며, 필요시에는약정서를요구하거나양해각서를체결할수있음 - 종합평가가 5등급인금융회사에대해서는해당취약부문또는전체전산업무에대하여즉각개선토록조치하고, 일반부문경영실태평가등급의하향조정등을해당검사국에요청 IT부문의경영실태평가및취약분야에대한검사를타금융회사에최우선하여실시하고, 필요시에는약정서를요구하거나양해각서를체결할수있음 제 6 장 전자금융업무의 감독 Financial Supervisory Service - 149

150 전자금융감독규정해설 < 정보기술부문실태평가부문별평가항목 ( 시행세칙별표 4) > 평가부문 평가항목 1. IT 감사 - IT감사조직및요원 - IT감사실시내용 - IT감사사후관리및기타 2. IT 경영 - IT부서조직및요원 - IT관련내규 ( 규정, 지침, 절차, 편람등 ) - IT계획및방향제시 - 비상계획 - 경영정보시스템 (MIS) - IT 인력및예산의적정성 3. 시스템개발, 도입및유지보수 - 시스템개발, 도입및유지보수관련조직및요원 - 시스템개발, 도입및유지보수관련내규 ( 규정, 지침, 절차등 ) - 시스템개발, 도입, 유지보수현황 - 내부통제용시스템, 시스템통합등 4. IT서비스제공및지원 - IT서비스제공 / 지원관련조직및요원 - IT서비스제공 / 지원관련내규 ( 규정, 지침, 절차등 ) - 시설및장비 - 운영통제 - 통신망 - 최종사용자컴퓨팅 - 전자금융거래등 5. IT 보안및정보보호 - IT 보안절차 - IT 보안리스크평가 - IT 보안및정보보호전략 - IT 보안통제구현 - IT 보안모니터링 금융감독원

151 2. 외부주문등에대한기준 < 감독규정 > 제60조 ( 외부주문등에대한기준 ) 1 금융회사또는전자금융업자는전자금융거래를위한외부주문등의경우에는다음각호의사항을준수하여야한다. 1. 외부주문등에의한정보처리시스템의개발업무에사용되는업무장소및전산설비는내부업무용과분리하여설치 운영 2. 금융회사와이용자간암호화정보해독및원장등중요데이터변경금지 3. 계좌번호, 비밀번호등이용자금융정보무단보관및유출금지 4. 접근매체위 변조, 해킹, 개인정보유출등에대비한보안대책수립 5. 금융회사와전자금융보조업자간의접속은전용회선 ( 전용회선과동등한보안수준을갖춘가상의전용회선을포함한다 ) 을사용 6. 정보처리시스템장애등서비스중단에대비한비상대책수립 7. 외부주문등의입찰 계약 수행 완료등각단계별로금융감독원장이정하는보안관리방안을따를것 8. 업무지속성을위한중요전산자료의백업 (backup) 자료보존및백업설비확보등백업대책수립 9. 정보관리의취약점을최소화하고보안유지를위한내부통제방안을수립 운용하고, 통제는제8조제1항제2호의조직에서수행 10. 전자금융보조업자에대한재무건전성을연1회이상평가하여재무상태악화에따른도산에대비하고전자금융보조업자의주요경영활동에대해상시모니터링을실시 11. 전자금융보조업자가제공하는서비스의품질수준을연1회이상평가할것 12. 전자금융보조업자가사전동의없이다시외부주문등계약을체결하거나계약업체를변경하지못하도록하고, 사전동의시해당계약서에제7호의사항을기재하도록통제 13. 업무수행인력에대하여사전신원조회실시또는대표자의신원보증서징구, 인력변경시인수인계에관한사항등을포함한업무수행인력관리방안수립 14. 외부주문등은자체보안성검토및정기 ( 금융감독원장이정하는중요점검사항에대해서는매일 ) 보안점검실시 2 금융회사또는전자금융업자는제1항제10호및제11 호의평가결과를금융감독원장에게보고하여야한다. 3 금융감독원장은제2항의규정에따른평가결과보고를접수하고, 그평가실시여부를제58조제2항의규정에따른정보기술부문실태평가에반영할수있다. 4 법제40조제6항단서에서 금융위원회가인정하는경우 란전자금융거래정보의보호와관련된전산장비 소프트웨어에대한개발 운영및유지관리업무를재위탁하는경우로서다음각호의사항을준수하는경우를말한다. 1. 재수탁업자가재위탁된업무를처리함에있어금융거래정보의변경이필요한경우에는위탁회사또는원수탁업자의개별적지시에따라야하며, 위탁회사또는원수탁업자는변경된정보가지시내용에부합하는지여부를확인하여야함 2. 위탁업무와관련된이용자의금융거래정보는위탁회사의전산실내에두어야함. 다만, 재수탁업자가이용자의이용자정보를어떠한경우에도알지못하도록위탁회사또는원수탁업자가금융거래정보를처리하여제공한경우에는위탁회사의관리 통제하에재수탁회사등제3의장소로이전가능함 제 6 장 전자금융업무의 감독 Financial Supervisory Service - 151

152 전자금융감독규정해설 < 시행세칙 > 제9조의2( 외부주문등에대한기준 ) 1 규정제60 조제1 항제7호에따라감독원장이정하는보안관리방안은별표 5-2와같다. 2 규정제60조제1항제14호에따라감독원장이정하는중요점검사항은별표 5-3과같다. 금융회사및전자금융업자는전자금융거래와관련전자금융보조업자와제휴또는외부주문에관한계약을체결하거나변경하는때전자금융거래의안전성및신뢰성과금융회사및전자금융업자의건전성을확보할수있도록금융위가정하는기준준수 ( 법제40조 ) 금융회사또는전자금융업자가 IT업무의전부또는일부를전자금융보조업자와제휴또는외부주문하는경우, 동제휴등으로인한고객정보유출및정보처리시스템장애를방지하기위한관련기준을정함 해설 금융회사의핵심업무가외부업체에종속되지않도록필요최소조건을마련하여관련리스크를최소화할필요 - 금융회사및전자금융업자가아웃소싱도입초기단계부터보다엄격한규정을적용함으로써관련리스크제거를위한모범규준 (best practice) 을사전에고려하여반영하도록유도 정보처리시스템의설치장소에대한통제와관련해서는규정제9조내지제11조를준수하도록함 외부주문업체에의한컴퓨터기록또는통신상자료의유출방지와유출되더라도그내용을확인할수없도록중요자료를암호화하여보관하여야함 ( 제3호, 제4호 ) 외부주문업체는계약서상사용하도록인정된사항이외의금융회사또는전자금융업자의정보를임의로사용하거나공개하지못함 ( 규정제60조 ) 불가피하게이용자정보등이필요한경우규정제13조 ( 전산자료보호대책 ) 준수 ( 예시1 : 테스트시이용자정보를변환하여사용하고테스트종료시즉시삭제, 예시 2 : 이용자정보조회시사용자, 사용일시, 변경 조회내용, 접속방법이정보처리시스템에자동적으로기록되도록하고그기록을 1년이상보존 ) 금융감독원

153 외부주문업체가자료의생성, 전송, 처리, 유지및저장되는동안에물리적또는논리적통제절차를통해비인자의접근, 수정, 파괴정보의공개등을방지하도록물리적 논리적보안대책을수립 ( 제4호 ) 금융회사는제휴또는외부주문업체와의접속은전용회선 ( 물리적전용회선에준하는 VPN방식포함 ) 을이용 ( 제5호 ) 외부주문업무의화재, 홍수, 해킹등재난으로인한서비스중단과외부주문업체의도산으로인한서비스중단으로구분하여형태별비상대책을수립하여야함 ( 제6호 ) 금융회사또는전자금융업자가외부주문을하는경우계약단계별로금감원장이정하는보안관리방안을준수해야함 ( 제7호, 시행세칙제9의2) 금융회사또는전자금융업자는업무연속성확보를위하여고객정보및금융거래정보를포함한주요전산자료의백업자료보존및백업설비확보등백업대책을수립 ( 제8호 ) 정보유출방지를위해외부주문업체의시스템개발및유지보수정책이내부가이드라인및제약조건등에부합하는지점검필요 ( 제9호 ) 전자금융보조업자에대한재무건전성및서비스품질수준을연 1회이상평가 ( 제10호, 제11호 ) 외부주문업체와의계약을통하여외부주문업체가위탁자의사전동의없이제3자에게외부주문대상업무를재위탁하거나재위탁업체를변경하는행위금지 ( 제12호 ) 금융회사또는전자금융업자가외부주문업체의재위탁을허용할경우재수탁자의적격성기준을자체적으로수립하여운용 ( 제12호 ) 외부주문업체는프로그램등록 변경 폐기방법, 변경전 후내용의기록및관리 등록 변경 폐기내용의정당성에대한제3자검증, 변경필요시복사후수정, 접근담당자한정등에대한절차수립 운영하여야함 ( 제13호 ) 외부주문등은자체보안성검토및보안점검실시하며, 금감원장이정하는중요점검사항은매일점검 ( 제14호 ) 제 6 장 전자금융업무의 감독 Financial Supervisory Service - 153

154 전자금융감독규정해설 < 별표 5-2> 보안관리방안 단계입찰계약수행 세부사항ㅇ입찰공고이전에투입이예상되는자료 장비가운데보안관리가필요한사항에대하여금융회사또는전자금융업자의내부관리기준과관련법규를검토하고필요한보안요구사항을마련ㅇ입찰공고시에금융회사또는전자금융업자가자체작성한중요정보, 부정당업자제재조치, 기밀유지의무및위반시불이익등을정확히공지ㅇ제안서평가요소에자료 장비 네트워크보안대책및중요정보관리방안등보안관리계획의평가항목및배점기준마련ㅇ업체가입찰제안서에제시한용역사업전반에대한보안관리계획이타당한지를검토하여사업자선정시에이를반영ㅇ계약서작성초기단계부터정보보안사항포함여부에대한검토실시ㅇ용역사업에투입되는자료 장비등에대해대외보안이필요한경우보안의범위 책임을명확히하기위해사업수행계약서와별도로비밀유지계약서작성ㅇ비밀유지계약서에는비밀정보의범위, 보안준수사항, 위반시손해배상책임, 지적재산권문제, 자료의반환등이포함되도록명시ㅇ용역사업참여인원은금융회사또는전자금융업자의사전동의없이용역업체가임의로교체할수없도록명시ㅇ금융회사또는전자금융업자의요구사항을사업자에게명확히전달키위하여작성하는과업지시서 계약서 ( 입찰공고포함 ) 에인원 장비 자료등에대한보안조치사항과정보유출및부정당업자에대한손해배상내용등을정확히기술ㅇ용역업체가사업에대한하도급계약을체결할경우원래사업계약수준의비밀유지조항을포함토록조치ㅇ규정제7조각호에규정한사항의준수를위하여외부주문업체등의협조가요구되는사항 [ 인력 ] ㅇ용역사업참여인원에대해서는 정보유출 방지조항및개인의자필서명이들어간보안서약서징구ㅇ용역사업수행前참여인원에대해법적또는금융회사또는전자금융업자의규정에따른비밀유지의무준수및위반시처벌내용등에대한보안교육실시 * 유출금지대상정보및정보유출시부정당업자제재조치등에대한교육병행ㅇ금융회사또는전자금융업자는사업수행중업체인력에대한보안점검실시, 유출금지대상정보 외부유출여부확인 [ 자료 ] ㅇ계약서등에명시한중요정보를업체에제공할경우자료관리대장을작성, 인계자 인수자가직접서명한후제공하고사업완료시관련자료회수ㅇ용역사업관련자료및사업과정에서생산된모든산출물은금융회사또는전자금융업자의파일서버에저장하거나금융회사또는전자금융업자가지정한 PC에저장 관리ㅇ용역사업관련자료는인터넷웹하드 P2P 등인터넷자료공유사이트및개인메일함에저장을금지하고금융회사또는전자금융업자와용역업체간전자우편을이용해전송이필요한경우에는자체전자우편을이용하고, 첨부자료중중요정보포함자료는암호화후수발신 금융감독원

155 ㅇ금융회사또는전자금융업자가제공한사무실에서업체가용역사업을수행할경우, 유출금지대상정보가포함된자료는매일퇴근시시건장치가된보관함에보관ㅇ용역사업수행으로생산되는산출물및기록은금융회사또는전자금융업자가인가하지않은비인가자에게제공 대여 열람을금지 [ 사무실 장비 ] ㅇ용역사업수행장소는금융회사또는전자금융업자전산실등중요시설과분리하고 CCTV 시건장치등비인가자의출입통제대책을마련ㅇ용역업무를수행하는공간에대한보안점검을정기적으로실시ㅇ용역직원이노트북등관련장비를외부에서반입하여내부망에접속시악성코드감염여부및반출시마다자료무단반출여부확인ㅇ인가받지않은 USB메모리등의휴대용저장매체사용을금지하며산출물저장을위하여휴대용저장매체가필요한경우금융회사또는전자금융업자의승인하에사용 완료 [ 내 외부망접근시 ] ㅇ금융회사또는전자금융업자는개발시스템과운영시스템을분리하고, 용역업체는업무상필요한서버에만제한적접근허용ㅇ용역사업수행시금융회사또는전자금융업자전산망이용이필요한경우 사업참여인원에대한사용자계정 (ID) 은하나의그룹으로등록하고계정별로정보시스템접근권한을차등부여하되허용되지않은금융회사또는전자금융업자의내부문서접근금지 계정별로부여된접속권한은불필요시즉시해지하거나계정을폐기 참여인원에게부여한계정은별도로기록관리하고수시로해당계정에접속하여저장된자료와작업이력확인 금융회사또는전자금융업자는내부서버및네트워크장비에대한접근기록이상여부를정기점검ㅇ용역업체에서사용하는 PC는인터넷연결을금지하되, 사업수행상연결이필요한경우에는금융회사또는전자금융업자의보안통제하에제한적허용ㅇ용역업체사용전산망에서 P2P, 웹하드등인터넷자료공유사이트로의접속을원천차단ㅇ사업완료후생산되는최종산출물등대외보안이요구되는자료는대외비이상으로작성 관리하고불필요한자료는삭제및폐기ㅇ용역업체에제공한자료, 장비와중간 최종산출물등용역과관련된제반자료는전량회수하고업체에복사본등별도보관금지ㅇ용역사업완료후업체소유 PC 서버의하드디스크 휴대용저장매체등전자기록저장매체는복원이불가능한방법으로완전삭제후반출ㅇ용역사업관련자료회수및삭제조치후업체에게복사본등용역사업관련자료를보유하고있지않다는대표자명의의확약서징구 제 6 장 전자금융업무의 감독 Financial Supervisory Service - 155

156 전자금융감독규정해설 < 별표 5-3> 중요점검사항 점검항목 1 2 이용자정보의조회 출력에대한통제및이용자정보조회시사용자, 사용일시, 변경 조회내역, 접속방법기록 관리테스트시이용자정보사용금지 ( 부하테스트등사용이불가피한경우이용자정보를변환하여사용하고테스트종료즉시삭제 ) 3 운영시스템접속 사용통제 4 내부통신망의비인가전산장비 무선통신접속통제 ( 정보처리시스템을이용한통제장치마련시통제장치에대한일일점검으로대체가능 ) 5 전산자료및전산장비반출 반입통제 6 전산실등출입자관리기록부기록 보관 7 인터넷 ( 무선통신망포함 ) 사용통제 ( 정보처리시스템을이용한통제장치마련시통제장치에대한일일점검으로대체가능 ) 8 운영체제및악성코드치료프로그램을최신으로유지 9 USB 등보조기억매체사용통제 10 단말기에이용자정보등중요정보보관금지 법령해석 ( ) < 질의 > (1) 외부주문등에의한정보처리시스템의개발업무에사용되는업무장소와내부업무장소를분리하는경우, 그분리의정도 1 부서를구분하여표시하거나파티션으로구획하는등외부에서인지가능한정도로만분리 2 칸막이등을이용하여공간을바닥부터천장까지분리 3 별도의공간으로분리 ( 다른층또는다른출입문이용 ) < 회신 > (1) 외부주문시정보시스템개발업무에필요한인적 물적시설은칸막이, 별도공간등외부에서인지가능한수준으로분리하여운영하여야합니다. (2) 개발에사용되는정보시스템과통신망은운영시스템과물리적으로분리하여운영시스템에대한비인가자의접근을원천적으로차단하여야합니다. (3) 또한, 물리적분리이외에관리통제가엄격하게이루어지도록정보시스템접근통제, 인적통제등내부통제장치가마련되어야합니다. < 이유 > (1) 외부주문에의한정보시스템개발업무에사용되는공간은내부업무장소와칸막이, 별도공간으로분리하여운영하도록함으로써중요정보유출, 부주의, 관리소홀로인한사고등을방지하고이에따른책임을명확히하기위함입니다. (2) 외부주문에의한정보시스템개발시개발업무에사용되는정보시스템및통신망은운영시스템과물리적으로분리하여운영되어야하며, 이는보안취약요인을사전에차단하고보안이취약한개발시스템으로 금융감독원

157 부터운영시스템으로의악성코드전이, 접근통로이용등을원천적으로차단하여운영시스템을안전하게보호하기위함입니다. (3) 또한, 업무장소와전산설비를내부업무용과분리하여설치 운영함에있어서물리적분리의실효성을확보하기위하여접근통제, 인적통제, 출입통제등관리통제가엄격하게이루어지도록내부통제장치를마련하여운영하여야합니다. 관련규정 : 제60조 ( 외부주문등에대한기준 ) 1 금융회사또는전자금융업자는전자금융거래를위한외부주문등의경우에는다음각호의사항을준수하여야한다. 1. 외부주문등에의한정보처리시스템의개발업무에사용되는업무장소및전산설비는내부업무용과분리하여설치 운영 법령해석 ( ) < 질의 > 정보기술부문의정보보호와관련업무를위탁받은전자금융보조업자가해당업무를제3자에게재위탁할수있는범위 * ( 사실관계 ) 금융회사가보안업무의일부를전산업체에게위탁하였고, 해당전산업체는수탁보안업무의일부를재위탁하여운영하고있음. 재수탁업자의수행업무는보안토큰및방화벽운영, 네트워크트래픽분석등보안인프라를운영하는업무일뿐이어서금융거래정보및이용자정보를취급하는업무와는관련이없음 < 회신 > 전자금융거래법에서의정보보호관련업무는정보보호최고책임자 (CISO) 가통솔하는업무로서정보기술부문의보호를위한방화벽운용 시스템모니터링등보안인프라운영과취약점분석 평가, IT내부통제관리등의업무를말하며, 법제40 조제6항에서는정보기술부문의정보보호와관련된업무에대한재위탁을원칙적으로금지하고있습니다. 다만전자금융감독규정제60조제 4항각호의요건을충족한다면재위탁이허용될수있습니다. < 이유 > 전자금융거래법제40조제6항의재위탁금지규정은전자금융거래정보의보호및안전한처리를목적으로설치된조항이며, 후단의단서규정은이러한목적을달성하기위한조건을준수할경우제한적으로재위탁을허용하는것입니다. 전자금융감독규정제60조제4항각호의내용은전자금융거래정보의보호목적달성을위해보다철저한내부통제를실시하고, 외부반출이필요한경우에는관련정보를이용하거나다른정보와결합하여금융거래정보를식별할수없도록조치를하여야함을규정한것입니다. 따라서그러한조건이충족된다면재위탁을허용할수있을것입니다. 한편, 재위탁에따른재수탁자도전자금융거래법제2조제5호에따른전자금융보조업자의범위에포함되므로법제40조및감독규정제60조에따른의무사항을준수하여야합니다. 법령해석 ( ) < 질의 > 전자금융거래법제40조제6항의전자금융보조업자의정보보호업무재위탁금지예외인정관련문의 1. 당사는사업을진행하며, 고객사에금융서비스를제공함에 (1) 보안인프라를운영하는업무또는 (2) 부수적 제 6 장 전자금융업무의 감독 Financial Supervisory Service - 157

158 전자금융감독규정해설 으로정보보호업무를수행하는바, (1) 단순보안인프라를운영업무와 (2) 부수적으로이루어지는정보보호업무의경우에도, 전자금융거래법제40조제6항본문에해당되어, 정보기술부문의정보보호와관련된업무를위탁받은전자금융보조업자로서제3자에게해당업무를재위탁해서는안되는지여부 2. 재위탁금지사유에해당되는경우에, 전자금융거래법제40조제6항단서및전자금융감독규정제60조제4항의 금융위원회가인정하는경우 로인정되어위탁가능하기위한요건은 전자금융감독규정제60조제4항 의 요건 만을충족하면가능한지여부 < 회신 > 보안토큰및방화벽운영, 네트워크트래픽분석등보안인프라운영업무의경우전자금융거래정보를주업무로취급하지않더라도정보기술부문의정보보호와관련된업무로서원칙적으로재위탁금지대상에포함됩니다. 다만, 전자금융거래법제40조제 6항의단서규정에따라전자금융감독규정제60조제4항각호에대하여준수할경우재위탁이예외적으로허용된다고하겠습니다. < 이유 > 전자금융거래법제40조제6항의재위탁금지조항은전자금융거래정보의보호및안전한처리를목적으로설치된조항이며, 후단의단서규정은이러한목적을달성하기위한조건을준수할경우제한적으로재위탁을허용하는것입니다. 전자금융감독규정제60조제4항각호는전자금융거래정보의보호목적달성을위해보다철저한내부통제를실시하고, 외부반출이필요한경우에는관련정보를이용하거나다른정보와결합하여금융거래정보를식별할수없도록조치를하여야함을규정한것입니다. 방화벽, 네트워크트래픽분석설비등정보보안설비는금융거래정보를주업무로취급하지않지만, 네트워크및서버에금융거래정보가유통될가능성이있으므로보안인프라운영에대한재위탁은전자금융감독규정제60조제4항각호의요건을충족하는경우에만허용됩니다. 비조치의견서 ( ) < 요청대상행위 > 특정기간 ( 예 : 3개월 ) 동안근무하는외주직원에대해서는중요점검사항 * 을매일점검하지않고인력변동등특별한사유발생시또는매월정기적으로점검하는것이가능한지여부 * 전자금융감독규정제60조1제 14호및전자금융감독규정시행세칙별표5-3 < 판단 > 요청대상행위는전자금융감독규정제60조1제14호에위반되는것으로제재대상에해당됩니다. < 판단이유 > 전자금융감독규정제60조1 제14호는외주용역과정의정보유출을차단하기위한것으로중요점검사항에대해서는매일점검하도록규정하고있으며, 이에대한예외를인정하고있지않습니다 금융감독원

159 법령해석 ( ) < 질의 > 당행의외주개발직원은 은행건물에상주하며당행에서제공하는 은행전용 PC를사용하여개발을지원하고있고, 망분리규정에따라모든외주직원포함전산직원의인터넷접속이차단되었으며현장관리인및담당관리자의점검을통해보안이통제되고있음 또한당행은시스템환경을가 ) 실환경, 나 ) 사용자테스트용환경, 다 ) 개발환경으로나누어외주포함모든개발직원이다 ) 개발환경이외의다른환경에는접속하지못하도록개발자의실환경접근관리규정에따라엄격히통제되고있음그리고위의가 ), 나 ), 다 ) 환경은모두물리적으로분리되어있어개발자가가 ) 실환경및나 ) 사용자테스트용환경에접근할수있는방법은없음 (1) 당행의위와같은통제방법이 전자금융감독규정 제60조제1항제1호 ( 외부주문등에의한정보처리시스템의개발업무에사용되는업무장소및전산설비는내부업무용과분리하여설치, 운영 ) 를준수한다고볼수있는지 (2) 개발업무에사용되는전산설비를내부업무용과분리 하라는의미가외주개발직원이당행네트워크에직접접속하지못하도록망을분리하고별도의개발환경을마련해야한다는것인지 (3) 위의 외부주문등에의한정보처리시스템개발 이유지보수를위해상주하는경우를제외하고프로젝트만을의미하는것인지 < 회신 > (1) 주어진조건에서개발업무에필요한인적 물적시설이칸막이, 별도공간등외부에서인지가능한수준으로내부업무용과분리되어있고, 현장관리인및담당관리자의점검을통해접근통제, 인적통제등의내부통제가이루어진다면 전자금융감독규정 제60조제1항제1호를준수하는것으로볼수있습니다. (2) 외주개발직원이내부업무용시스템에접속하지못하도록망을분리하고, 별도의개발환경을마련하여내부업무용시스템에대한비인가자의접근을원천적으로차단하는경우 개발업무에사용되는전산설비를내부업무용과분리 한것으로볼수있습니다. (3) 전자금융감독규정 제60조제1항제1호의 외부주문등에의한정보처리시스템개발 의경우정보처리시스템에대한유지보수를위해상주하는것은제외됩니다. < 이유 > (1) 전자금융감독규정 제60조제1항제1호는외부주문에의한정보시스템개발업무에사용되는공간을내부업무장소와분리하여운영하도록하고, 개발업무에사용되는전산설비는내부업무용시스템과분리하도록함으로써중요정보유출, 부주의, 관리소홀로인한사고등을방지하고이에따른책임을명확히하기위함입니다. (2) 개발업무에사용되는전산설비를내부업무용과분리하라는의미는외주개발직원이내부업무용시스템에직접접속하지못하도록함으로써비인가자의접근을원천적으로차단하려는것입니다. 이는보안취약요인을사전에차단하고보안이취약한개발시스템으로부터내부업무망으로의악성코드전이, 접근통로이용등을차단하기위함입니다. 제 6 장 전자금융업무의 감독 Financial Supervisory Service - 159

160 전자금융감독규정해설 (3) 전자금융감독규정 제60조제1항제1호는정보처리시스템개발업무와관련하여준수하여야사항이며, 유지보수를위한업무에까지적용되는규정은아닙니다. 한편, 재위탁에따른재수탁자도전자금융거래법제2조제5호에따른전자금융보조업자의범위에포함되므로법제40조및감독규정제60조에따른의무사항을준수하여야합니다. 법령해석 ( ) < 질의 > 당사의계열사로하여금시스템개발업무를서로분리된장소및설비하에수행중인데, 기존시스템운영직원이차세대시스템점검및일부개발목적으로운영장소에서운영시스템에접속하는 PC를이용하여개발용정보처리시스템에접속하도록허용해도되는지여부 * ( 사실관계 ) A사는당사의차세대시스템개발을위하여별도의개발실에서외주인력과함께개발을수행중 ( 개발장소및시스템물리적분리 ). 이와별도로당사는개발시스템의철저한점검, 시스템오픈후의운영안정성을확보하기위하여시스템운영인력에게운영업무와병행하여동일장소에서신규로개발되고있는차세대시스템에개발환경으로접근, 테스트 점검및개발업무를수행하도록하고자함 < 회신 > 전자금융감독규정 제60조제1항제1호에서외부주문등에의한정보처리시스템의개발업무에사용되는업무장소및전산설비를내부업무용과분리하여설치 운영하도록하는것은운영시스템에대한비인가접근및변경위험방지, 중요자료접근통제, 해킹등침해사고예방, 정보유출방지등외주업체에의한보안사고예방을위한기본적인물리적보안조치입니다. ㅇ운영시스템에접속하는 PC와시스템개발수행사의네트워크를연결하게되면불법적인외부접근통로로사용될가능성이있고중대한보안위협이되는바, 국제표준 (ISO27001) 및정보보호관리체계 ( 정보통신망법이용촉진및정보보호등에관한법률 ) 인증의통제항목에서도개발, 테스트, 운영설비를분리하도록하고있습니다. 질의하신내용과관련하여이상과같은사유로개발업무점검등의편의성을위해 운영시스템에접속하는 PC를이용하여개발용정보처리시스템에접속하도록허용 하는것은불가함을알려드립니다. ㅇ만약, 시스템운영인력을활용하여시스템운영장소에서개발시스템점검및일부개발업무를수행하고자할경우, 금융회사정보보호최고책임자의승인을받아별도의공간에업무망과분리된전용단말기를설치하고해당단말기는본체 USB포트 통신포트봉인, 무선통신 인터넷차단, CD 외장메모리등저장매체사용장치탈거, DRM 적용, 문서편집기삭제, 업무담당외사용금지, 접속기록유지, 단말기반출시저장장치파쇄등철저한단말기보안관리를실시하여야할것입니다. < 이유 > 전자금융감독규정 제60조제1항제1호에서 외부주문등에의한정보처리시스템의개발업무에사용되는업무장소및전산설비는내부업무용과분리하여설치 운영 하도록하는것은운영시스템에대한비인가접근및변경위험방지등외주업체에의한보안사고예방을위한기초적인물리적보안조치입니다. 시스템개발사가금융회사의계열사라하더라도엄밀하게는외주용역업체이고, 시스템개발단계에서는다양한개발환경으로인해각종보안취약점들이존재할수있습니다. 이에따라금융회사의핵심전산시설 금융감독원

161 운영과전산개발은분리하여처리되어야하며핵심시설에직접접속하는시스템운영업무와개발업무를동일한단말기에서수행할수는없습니다. 비조치의견서 ( ) < 질의 > 인력및하드웨어 / 소프트웨어유지보수업체와의계약기간이완료하여재계약을체결하는경우, ㅇ외주업체로부터용역사업관련자료를보유하고있지않다는대표자명의의확약서 *( 이하 확약서 ) 를징구해야하는지여부 * 전자금융감독규정제60조1항7 호및시행세칙제9조의1항 < 별표 5-2> 보안관리방안 < 판단 > 용역의내용이동일하고단지계약기간을연장하기위해재계약을체결하는경우확약서를징구할필요가없습니다. ㅇ다만, 계약내용이일부변경되어자료폐기가필요하거나계약기간종료이후에재계약이이루어지는경우확약서를징구해야합니다. < 판단이유 > 관련법규에서용역업무의수행 완료단계를구별하고있고완료단계에서사업종결후관련자료의폐기및산출물의관리방법에대해정하고있다는점을고려할때, ㅇ동규정상의 완료 는외주주문에의한용역사업이완전히종결되는것으로해석하는것이타당합니다. 계약기간을연장하기위해재계약을체결하는경우에는확약서를징구할필요가없으나, ㅇ계약내용이일부변경되어자료폐기가필요 * 하거나계약기간종료이후에재계약이이루어지는경우외부주문보안관리방안에따라확약서를징구해야합니다. * ( 예 ) 유지보수대상하드웨어 / 소프트웨어가변경될경우변경전하드웨어등에대한자료를폐기 3. 전자금융보조업자의자료제출 < 감독규정 > 제61조 ( 전자금융보조업자자료제출기준 ) 1 금융감독원장은전자금융보조업자에대해외부주문등과관련한계약서, 계약서부속자료및그밖의전자금융업무와관련한자료등을직접요구할수있다. 2 제1항에따른자료제출요구시전자금융보조업자는특별한이유가없는한자료제출에응하여야한다. 금융감독원장은금융회사또는전자금융업자에대한검사업무수행시제휴또는외부주문과관련하여전자금융보조업자에게자료제출을직접요구할수있음 제 6 장 전자금융업무의 감독 Financial Supervisory Service - 161

162 전자금융감독규정해설 해설 전자금융보조업자에대한자료제출요구시금융회사및전자금융업자의검사업무수행에필요한최소한의범위내에서자료를요구하며, 요구자료는제휴나외부주문관련계약서및계약서부속자료등으로한정 자료제출요구시전자금융보조업자는특별한이유가없는한자료제출에응하여야함 4. 업무보고서 < 감독규정 > 제62 조 ( 업무보고서의제출 ) 1 법제42조에따라금융회사및전자금융업자는금융감독원장이정하는바에따라업무보고서를금융감독원장에게제출하여야한다. 다만, 법제2조제1호에따른전자금융업무를하지아니하는금융회사는그러하지아니하다. 2 제1 항에따른업무보고서제출은정보통신망 ( 정보통신망이용촉진및정보보호등에관한법률 제2조의규정에의한정보통신망을말한다 ) 을이용한전자문서의방법에의할수있다. 3 제1항의업무보고서제출에관한세부적인절차, 양식등에관해서는금융감독원장이별도로정한다. < 시행세칙 > 제10 조 ( 업무보고서의제출 ) 1 금융회사또는전자금융업자는규정제62조에따른업무보고서를분기말현재로작성하여매분기종료후 45일이내에감독원장에게제출하여야한다. 2 업무보고서양식및기재사항은별지제1호서식에따른다. 관계법령 < 법 > 제39조 ( 감독및검사 ) 1금융감독원 ( 금융위원회의설치등에관한법률 제24조제1항의규정에따른 금융감독원 을말한다. 이하같다 ) 은금융위원회의지시를받아금융회사및전자금융업자에대하여이법또는이법에의한명령의준수여부를감독한다. 2금융감독원장은제1항의규정에따른감독을위하여필요한때에는금융회사또는전자금융업자로하여금그업무및재무상태에관한보고를하게할수있다. 금융회사및전자금융업자의전자화폐발행, 선불전자지급수단발행및전자지급결제대행등의이용현황과전자금융업자의재무현황등의상시감시를위하여주기적으로업무보고서를받음 금융감독원

163 해설 총 19개의업무보고서가있으며, 보고서의성격에따라연간, 반기, 분기로보고주기가결정됨 < 업무보고서목록 > 번호 보고서명 작성주기 1 회사일반현황 년간 2 인원및지점현황 년간 3 대차대조표 ( 총괄 ) 반기 4 손익계산서 반기 5 전자금융업영업실적보고서 반기 6 투자위험성이낮은자산현황 반기 7 전자금융사고책임이행보험가입 ( 준비금적립 ) 현황 반기 8 정보기술및정보보호부문인력현황 반기 9 정보기술및정보보호부문예산현황 반기 10 CISO( 정보보호최고책임자 ) 지정현황 반기 11 전자금융거래를위한외부주문현황 반기 12 전자화폐발행및이용현황 분기 13 선불전자지급수단발행및이용현황 분기 14 직불전자지급수단발행및이용현황 분기 15 전자지급결제대행이용현황 분기 16 결제대금예치이용현황 분기 17 전자고지결제이용현황 분기 18 전자채권등록현황 분기 19 경영지도기준보고서 반기 * (1~6) : 전자금융업자만작성 ( 금융회사작성제외 ) * (7~19) : 해당업영위를위해허가 등록 ( 면제포함 ) 업자작성 ( 금융회사, 전자금융업자 ) 업무보고서의제출기한은매분기종료후 45 일이내임 - 보고서제출방식은금융감독원의 금융정보교환망 (FINES; Financial Information Exchange System) 에접속하여항목별로직접보고자료를입력하는것을원칙으로하되, 불가피한경우서면보고도가능 제 6 장 전자금융업무의 감독 금융감독원장은정기적인업무보고서외에감독상필요한사항에대해자료제출을요구할수있으며, 금융회사및전자금융업자는자료제출요구에응하여야함 Financial Supervisory Service - 163

164 전자금융감독규정해설 금융회사의경우기존개별금융업법 ( 은행법, 자본시장법, 보험업법, 여신전문금융업법, 상호저축은행법등 ) 에따라금감원감독각국으로보고하던전자금융보고서이외전자금융거래법에따른전자금융업무보고서도작성 ( 관련전자금융업무를하는경우에한함 ) 하여보고하여야함 5. 경영지도기준 < 감독규정 > 제63조 ( 전자금융업자경영지도기준 ) 1 법제42조제2항에따른구체적인경영지도기준은다음과같다. 1. 법제30조및시행령제17조에따른허가나등록요건상최소자본금 출자총액또는기본재산기준을항상충족할것 2. 총자산에서총부채를감한자기자본이항상 0을초과할것 3. 미상환잔액대비자기자본비율은 100 분의 20 이상일것 ( 전자화폐및선불전자지급수단발행자에한한다 ) 4. 총자산대비투자위험성이낮은자산의비율은 100분의 10 이상으로유지하거나미정산잔액대비투자위험성이낮은자산의비율을 100분의 100 이상으로유지할것. 단, 법제28조제1항의규정에따라허가를받은전자금융업자및법제28조제2항제3호의규정에따라등록을한전자금융업자는제외한다. 이때투자위험성이낮은자산은 < 별표 6> 와같다. 5. 유동성비율은다음각목과같이유지할것가. 법제28조제1 항의규정에따라허가를받은전자금융업자 : 100분의 60 이상나. 법제28조제2 항제3호의규정에따라등록을한전자금융업자 : 100분의 50 이상다. 그밖의등록대상전자금융업자 : 100분의 40 이상 2 제1항에서정하는비율의구체적산정기준은금융감독원장이정한다. 3 금융감독원장은제1항의경영지도비율이악화될우려가있거나경영상취약부문이있다고판단되는전자금융업자에대하여이의개선을위한계획또는약정서를제출토록하거나해당전자금융업자와경영개선협약을체결할수있다. 다만, 제64조부터제66조까지의규정에의한경영개선권고, 경영개선요구또는경영개선명령을받고있는전자금융업자의경우에는그러하지아니하다. < 시행세칙 > 제11조 ( 경영지도비율산정기준 ) 규정제63조제2항에따른경영지도비율의구체적산정기준은별표 6과같다. 경영지도기준은금융감독당국이사전적으로금융회사및전자금융업자에기본이되는경영지표를제시하여, 건전경영을유지하고사후적으로감독상의보상과제재를통해책임경영을도모하려는취지로도입 금융감독원

165 관계법령 < 법 > 제42조 ( 회계처리구분및건전경영지도 ) 1금융회사및전자금융업자는자금운용과전자금융거래와관련한업무의성과를분석할수있도록제28조제1항및제2항에규정된업무별로다른업무와구분하여회계처리하고, 금융위원회가정하는바에따라전자금융거래와관련한업무및경영실적에관한보고서를작성하여금융위원회에제출하여야한다. 2금융위원회는전자금융거래와관련한업무를수행하는금융회사또는전자금융업자의건전경영을지도하고전자금융사고를예방하기위하여대통령령이정하는바에따라다음각호의사항에관한경영지도기준을정할수있다. 1. 자본의적정성에관한사항 2. 자산의건전성에관한사항 3. 유동성에관한사항 4. 그밖에경영의건전성확보를위하여필요한사항 3금융위원회는제28조제1항의규정에따라허가를받은금융회사또는전자금융업자가제2항의경영지도기준을충족하지못하는등경영의건전성을크게해할우려가있다고인정하는때에는자본금의증액, 이익배당의제한등경영개선을위하여필요한조치를요구할수있다. 4제28조제1항의규정에따라허가를받은금융회사또는전자금융업자의재무상태가제2항의경영지도기준에미달하거나거액의금융사고또는부실채권의발생으로인하여제2항의경영지도기준에미달하게될것이명백하다고판단되는때에필요한조치등에관하여는 금융산업의구조개선에관한법률 제10조, 제11조제1항 제4항 제5항, 제13조의2, 제14조, 제14조의2부터제14조의4까지, 제14조의7, 제15조부터제19조까지, 제27조및제28조를준용한다. < 시행령 > 제24조 ( 경영지도의기준 ) 법제42조제2항에따른경영지도의기준에는다음각호의사항이포함되어야한다. < 개정 > 1. 법제28조또는법제29조에따른허가또는등록의요건인자본금의유지에관한사항 2. 자기자본의보유기준에관한사항 3. 유동성부채에대한유동성자산의보유기준에관한사항 4. 총자산대비투자위험성이낮은자산의비율에관한사항 ( 선불전자지급수단의발행인및전자화폐발행자의경우는제외한다 ) 5. 미상환잔액대비자기자본의비율에관한사항 ( 선불전자지급수단의발행인및전자화폐발행자에한한다 ) 해설 전자금융업자는금융위가정하는자본적정성, 자산건전성등을준수하여야하며, 금융감독원장은경영지도비율이악화될우려가있거나경영상취약부문이있다고판단되는전자금융업자에대하여경영개선계획이나약정서를제출토록할수있음 제 6 장 전자금융업무의 감독 Financial Supervisory Service - 165

166 전자금융감독규정해설 구분내용기준 자본적정성 자산건전성 유동성 최소자본금유지자기자본유지 미상환잔액대비자기자본비율 * 총자산대비투자위험도가낮은자산비율 유동부채대비유동자산비율 < 경영지도기준요약표 > 자기자본 * 미상환잔액대비자기자본비율 = 100 미상환잔액 ** 금융회사는경영지도기준의적용을받지않음 허가 등록시자본금요건항시충족총자산이총부채보다항상클것 20% 이상 ( 전자화폐, 선불전자지급수단발행업에만적용 ) 20% 이상 ( 전자화폐, 선불전자지급수단발행업에만적용 ) 10% 이상 ( 이외전자금융업 ) 60% 이상 ( 전자화폐발행업에만적용 ) 50% 이상 ( 선불전자지급수단발행업에만적용 ) 40% 이상 ( 이외전자금융업 ) 6. 적기시정조치 < 감독규정 > 제64조 ( 경영개선권고 ) 1 금융위원회는법제28조제 1항의규정에따라허가를받은전자금융업자가다음각호의어느하나에해당되는경우에는해당전자금융업자에대하여필요한조치를이행하도록권고하여야한다. 1. 제63조제1항제3호의미상환잔액대비자기자본비율이 100분의 20 미만인경우 2. 거액의금융사고또는부실채권의발생으로제1호의기준에해당될것이명백하다고판단되는경우 2 제1항에서정하는필요한조치라함은다음각호의일부또는전부에해당하는조치를말한다. 1. 인력및조직운영의개선 2. 경비절감 3. 고정자산투자, 신규업무영역에의진출및신규출자의제한 4. 부실자산의처분 5. 자본금의증액또는감액 6. 이익배당의제한 7. 특별대손충당금의설정 3 금융위원회는제1항에의한권고를하는경우해당전자금융업자및관련임원에대하여주의또는경고조치를취할수있다. 제65조 ( 경영개선요구 ) 1 금융위원회는법제28조제 1항의규정에따라허가를받은전자금융업자가다음각호의어느하나에해당되는경우에는해당전자금융업자에대하여필요한조치를이행하도록요구하여야한다. 1. 제63조제1항제3호의미상환잔액대비자기자본비율이 100분의 10 미만인경우 금융감독원

167 2. 거액의금융사고또는부실채권의발생으로제1호의기준에해당될것이명백하다고판단되는경우 3. 제64조제1항의규정에의해경영개선권고를받은전자금융업자가경영개선계획의주요사항을이행하지않아제69조제8항의규정에의해이행촉구를받았음에도이를이행하지아니하는경우 2 제1항에서정하는필요한조치라함은다음각호의일부또는전부에해당하는조치를말한다. 1. 조직의축소 2. 위험자산의보유제한및처분 3. 자회사의정리 4. 임원진교체요구 5. 영업의일부정지 6. 합병, 제3자인수, 영업의전부또는일부양도계획의수립 7. 제64조제2항에서정하는사항 제66조 ( 경영개선명령 ) 1 금융위원회는법제28조제 1항의규정에따라허가를받은전자금융업자가다음각호의어느하나에해당하는경우에는해당전자금융업자에대해필요한조치를이행하도록명령하여야한다. 1. 제63조제1항제3호의미상환잔액대비자기자본비율이 100분의 5 미만인경우 2. 제65조제1항의규정에의해경영개선요구를받은전자금융업자가경영개선계획의주요사항을이행하지않아제69조제8항의규정에의해이행촉구를받았음에도이를이행하지아니하거나이행이곤란하여정상적인경영이어려울것으로인정되는경우 2 제1항에서정하는필요한조치라함은다음각호의일부또는전부에해당하는조치를말한다. 다만, 영업의전부정지, 영업의전부양도, 계약의전부이전또는주식의전부소각의조치는제1항제1호의기준에미달하고건전한전자금융거래질서나이용자의권익을해할우려가현저하다고인정되는경우에한한다. 1. 주식의전부또는일부소각 2. 임원의직무집행정지및관리인의선임 3. 6월이내의영업의정지 4. 계약의전부또는일부의이전 5. 제65조제2항에서정하는사항 제 6 장 허가를받은금융회사및전자금융업자가경영지도기준을충족하지못할경우금융위는경영개선을위해필요한조치를요구할수있음 ( 법제42 조 ) 적기시정조치란금융회사 ( 전자금융업자 ) 의건전성을자본충실도, 경영실태평가결과등경영상태를기준으로몇단계의등급으로나누어, 경영상태가악화된금융회사에대해금융감독당국이단계적으로시정조치를부과해나가는제도를의미함 적시시정조치는부실화징후가있는금융회사에대하여적기에경영개선을유도강제함으로써부실화를예방하고경영취약부문의정상화를도모하는건전성감독수단으로서의성격을지님 전자금융업무의 감독 Financial Supervisory Service - 167

168 전자금융감독규정해설 금융위는허가를받은전자화폐업자가경영지도기준을충족하지못하는등경영건전성이크게훼손될우려가있다고인정하는경우인력및조직운영의개선, 조직의축소, 주식의전부및일부소각등단계적으로필요한조치를취할수있음 해설 경영개선권고는가장낮은단계의적기시정조치로서금융위가권고의주체가됨 - 금융위는경영개선권고대상인금융회사및전자금융업자에대하여조직, 인력운용의개선, 자본금의증액또는감액및신규업무제한등을권고할수있음 경영개선요구는경영개선권고보다한단계높은강도의적기시정조치로서금융위가조치권자가됨 - 금융위는경영개선요구대상인금융회사및전자금융업자에대하여조직의축소, 점포폐쇄및신설제한, 임원진교체요구, 영업의일부정지등의조치를취할수있음 경영개선명령은부실정도가심한경우에내릴수있는가장강력한적기시정조치로서적기시정조치가퇴출수단으로활용될수있는단계이며, 경영개선요구와마찬가지로금융위가조치권자가됨 - 금융위는경영개선명령대상인전자화폐업자에대하여주식소각, 영업의정지및양도, 외부관리인선임및합병등의조치를취할수있음 - 경영개선요구가부과된전자화폐업자가경영개선의주요사항을이행하지않아이행촉구를받았음에도이를이행하지아니하거나이행이곤란하여정상적인영업이어려울것으로인정되는경우발동 금융감독원

169 전자금융감독규정 해설 7장 보 칙

170 전자금융감독규정해설 보칙 1. 정보기술부문및전자금융사고보고 < 감독규정 > 제73조 ( 정보기술부문및전자금융사고보고 ) 1 금융회사및전자금융업자는다음각호와관련된중대한사고가발생한경우에는지체없이금융감독원장에게보고하여야한다. 1. 정보처리시스템또는통신회선등의장애로 10분이상전산업무가중단또는지연된경우 2. 전산자료또는프로그램의조작과관련된금융사고가발생한경우 3. 전자적침해행위로인해정보처리시스템에사고가발생하거나이로인해이용자가금전적피해를입었다고금융회사또는전자금융업자에게통지한경우 4. 법제9조제1항의규정에서정하는사고 2 금융회사및전자금융업자는제1항에따른사고보고를고의로지연하거나숨긴자에대하여소정절차에따라징계등필요한조치를취하여야한다. 3 금융감독원장은제1항에따라보고받은내용을지체없이금융위원장에게보고하여야하며, 제1항제3호에따른사고발생시에는제37조의4제1항각호에따른침해사고대응기관에도알려야한다. 4 제1항의사고보고와관련하여사고보고절차및방법등세부사항은금융감독원장이정하는바에따른다. < 시행세칙 > 제12 조 ( 정보기술부문사고보고 ) 1 금융회사및전자금융업자는규정제73조에따른정보기술부문및전자금융사고가발생한경우별지제2호서식에따라즉시보고하여야한다. 2 제1항에따른사고보고는최초보고, 중간보고및종결보고로구분한다. 1. 최초보고 : 사고를인지또는발견한즉시감독원의전자금융사고대응시스템 (Electronic Financial Accident Response System : EFARS), 서면, 팩시밀리또는전화로보고하되, 전화로보고한경우에는즉시전자금융사고대응시스템, 서면또는팩시밀리로보고한다. 2. 중간보고 : 제1호의즉시보고후제3호의조치완료시까지 2월이상소요될경우에는인지 발견일로부터 2월이내및종결시까지매 6월마다제1호의방법에따라보고한다. 다만, 즉시보고후조치완료시까지 2월미만이소요될경우에는중간보고를생략할수있다. 3. 종결보고 : 피해금액에대한배상조치가완료되거나사고조치등이완료되어정상적인업무를수행하게된때제1호의방법에따라보고한다. 3 감독원장은금융회사및전자금융업자정보기술부문의사고보고등을전담할비상연락담당자를회사별로지정할수있다 금융감독원