IT / 금융규제
포커스: 금융사 SaaS 망분리 규제 완화
금융사 SaaS 망분리 완화: 샌드박스 없이 도입하기 전 체크리스트
2026년 1월 19일, 금융위원회·금융감독원이 전자금융감독규정시행세칙 개정안을 사전예고했습니다.
핵심은 단 하나입니다. 이제 금융사는 까다로운 혁신금융서비스(규제 샌드박스) 심사 없이도
내부 업무망에서 클라우드 SaaS를 상시 활용할 수 있게 됩니다.
단, “조건 없는 자유”가 아닙니다. 별표 7 정보보호통제 10개 항목을 충족하지 못하면
감독당국의 집중 점검 대상이 됩니다.
이 글은 실무 IT 담당자·CISO·핀테크 스타트업이 지금 당장 해야 할 일을 정리한 체크리스트입니다.
반기 1회 CISO 보고 의무
금융보안원 SaaS 평가 필수
망분리 규제란? — 10년간 금융권을 묶어온 족쇄
망분리(Network Separation) 규제는 전자금융거래법 제21조 및 전자금융감독규정 제15조에 근거한 보안 원칙으로,
금융회사의 내부 업무용 네트워크와 외부 인터넷망을 물리적·논리적으로 완전히 분리하도록 강제해왔습니다.
도입 당시인 2010년대 초반에는 해킹·악성코드 차단에 매우 효과적인 수단이었습니다.
그러나 디지털 전환이 가속화되면서 이 규제는 오히려 금융 혁신의 장벽이 되기 시작했습니다.
화상회의 솔루션(Zoom, Teams), 협업 도구(Notion, Slack), 인사·성과관리 SaaS(Workday, SAP SuccessFactors) 등
현대 업무 환경의 핵심 도구들이 모두 외부 클라우드 서버와 데이터를 주고받는 구조였기 때문입니다.
망분리 규제 아래에서는 이 모든 서비스가 원칙적으로 금지였고,
예외를 받으려면 혁신금융서비스(규제 샌드박스) 심사를 별도로 거쳐야 했습니다.
이는 “샌드박스가 사실상 우회로”였음을 의미하며, 이번 개정은 그 우회로를 정식 도로로 격상시킨 것입니다.
금융위원회는 2024년 8월 「금융분야 망분리 규제 개선 로드맵」을 발표하면서
SaaS→생성형 AI→연구개발망 순서로 단계적 규제 완화를 예고했습니다.
이번 시행세칙 개정은 그 로드맵의 첫 번째 실행입니다.
이번 개정의 핵심 — 무엇이, 얼마나 달라졌나
전자금융감독규정시행세칙 개정안(2026년 1월 20일 사전예고, 예고 기간 1월 20일~2월 9일)의 핵심은
「클라우드컴퓨팅 발전 및 이용자보호에 관한 법률 시행령」 제3조 제2호에 따른
SaaS(응용프로그램 등 소프트웨어를 사용하는 서비스)를
망분리 규제의 명시적 예외 사유로 규정한 것입니다.
이에 따라 금융회사는 혁신금융서비스 심사를 거치지 않고도, 일정 보안 요건을 충족하는 SaaS를
내부 업무망에서 상시 활용할 수 있는 법적 근거를 갖추게 됩니다.
아래 표는 개정 전후의 차이를 한눈에 비교한 것입니다.
| 구분 | 개정 전 | 개정 후 |
|---|---|---|
| SaaS 내부망 사용 | 원칙적 금지 (샌드박스 심사 필요) | 요건 충족 시 상시 허용 |
| 허용 절차 | 혁신금융서비스 개별 신청·심사 | 자체 위험평가 + 별표 7 통제 적용 |
| 개인신용정보 처리 SaaS | 샌드박스 심사 후 제한적 허용 | 여전히 망분리 예외 불허 |
| 보안 감독 방식 | 규제 샌드박스 부가조건 준수 | 별표 7 자율 적용 + 반기 CISO 보고 |
| 보안해설서 | 없음 | 시행 시점에 금융당국이 배포 예정 |
감독 방식이 사전 심사에서 사후 점검으로 바뀐 것뿐이며,
오히려 금융회사의 자율 보안 책임이 훨씬 더 무거워졌습니다.
별표 7 통제 항목을 제대로 이행하지 않으면 감독당국의 현장 점검에서 즉시 적발될 수 있습니다.
SaaS 도입 가능 범위와 절대 금지선
이번 개정이 모든 SaaS에 통행증을 발급하는 것은 아닙니다.
적용 범위를 정확히 이해하는 것이 실무에서 가장 중요합니다.
특히 이용자의 고유식별정보 또는 개인신용정보를 처리하는 SaaS는
이번 망분리 예외 적용 대상에서 명시적으로 제외됩니다.
✅ 망분리 예외 허용 SaaS 유형 (요건 충족 시)
문서 작성·공유(Google Workspace, Microsoft 365), 화상회의(Zoom, Teams),
가상 업무공간(Notion, Confluence), 인사·성과관리(SAP SuccessFactors, Workday),
IT 자산관리·보안관리 SaaS, 내부 협업 자동화 도구 등이 해당됩니다.
공통 조건은 이용자의 고유식별정보(주민등록번호 등)나 개인신용정보를 직접 처리하지 않는다는 것입니다.
❌ 절대 허용 불가 SaaS 유형
고객 KYC 정보, 신용점수 데이터, 계좌·카드 번호 등 개인신용정보를 처리하는 CRM,
금융 상품 추천 AI 서비스, 대출 심사 SaaS 등은 종전과 동일하게 엄격한 망분리 규제가 적용됩니다.
이 경계선을 잘못 판단하면 감독당국의 제재 대상이 됩니다.
예를 들어, HR SaaS에 직원의 급여 계좌 정보가 포함되거나,
협업 도구에 고객 민원 내용이 저장되는 경우가 그렇습니다.
서비스 도입 전 반드시 법무팀·보안팀이 공동으로
“해당 SaaS가 처리하는 데이터 유형”을 사전 심사해야 합니다.
별표 7 정보보호통제 10가지 — 실무 체크리스트
망분리 예외를 적용받는 모든 금융회사는 전자금융감독규정 시행세칙 별표 7에 명시된
‘망분리 대체 정보보호통제’ 10개 항목을 전부 이행해야 합니다.
하나라도 누락되면 “규정 위반”으로 감독 대상이 될 수 있습니다.
아래는 각 항목을 실무 관점에서 풀어쓴 체크리스트입니다.
도입 예정인 SaaS가 침해사고대응기관(금융보안원 등)의 평가에서 ‘충족’ 판정을 받은 서비스인지 반드시 사전 확인해야 합니다.
평가 결과의 유효성(최신 상태 유지)도 지속적으로 관리해야 합니다.
SaaS에 접속하는 모든 단말기—업무용 PC뿐만 아니라 모바일 기기 포함—에 대해 악성코드 방지, 화면잠금, 암호화 등의 보호대책을 수립하고 적용해야 합니다.
SaaS 접속 허용 단말기와 사용자를 명시적으로 등록·관리하고, 업무에 꼭 필요한 최소 권한만 부여해야 합니다.
퇴직자·이직자의 계정이 남아있으면 즉각 제재 대상이 됩니다.
SaaS 내에서 민감 데이터가 입력되거나 외부로 전송되는 행위를 실시간 또는 주기적으로 모니터링해야 합니다.
DLP(Data Loss Prevention) 솔루션 도입이 사실상 필수입니다.
SaaS 내 공유 설정을 정기적으로 점검하고, 불필요한 외부 공유 링크 생성을 차단하는 정책을 적용해야 합니다.
특히 협업 도구의 ‘공개 링크 공유’ 기능은 가장 취약한 지점입니다.
승인된 SaaS 외의 외부 URL 접근을 차단하는 화이트리스트 기반 인터넷 접근 정책이 필요합니다.
직원이 내부망에서 임의로 다른 클라우드 서비스를 사용하지 못하도록 막아야 합니다.
내부망에서 SaaS 서버로 오가는 모든 네트워크 트래픽은 TLS 1.2 이상으로 암호화되어야 합니다.
VPN 또는 ZTNA(제로트러스트 네트워크 접근) 구성도 고려 사항입니다.
누가, 언제, 어떤 SaaS에 접속해 무엇을 했는지에 대한 로그를 수집·보존해야 합니다.
로그 보존 기간과 형식은 감독당국의 점검 기준에 맞추어 설정해야 합니다.
SaaS 플랫폼에 연동 가능한 서드파티 앱이나 플러그인은 별도 승인 없이는 사용 금지해야 합니다.
예를 들어 Slack의 외부 봇 연동, Notion의 외부 API 연결 등이 여기에 해당합니다.
위 1~9개 항목을 일회성으로 이행하는 것으로 끝나지 않습니다.
정기 점검, 담당자 지정, 내부 감사 프로세스 등 지속적으로 유지하는 거버넌스 체계를 구축해야 합니다.
CISO가 반드시 알아야 할 보고·점검 의무
이번 개정에서 특히 주목해야 할 부분은 CISO(정보보호최고책임자)의 책임과 의무가 크게 강화되었다는 점입니다.
금융사는 별표 7 정보보호통제 이행 여부를 반기에 1회 자체 평가하고,
그 결과를 CISO가 위원장인 정보보호위원회에 보고해야 합니다.
2025년 2월 시행된 전자금융감독규정 개정(시행 2025.2.5)에서는 이미
CISO가 “전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미친다고 판단하는 사항”을
이사회에 직접 보고하도록 의무화했습니다.
SaaS 망분리 예외 이행 결과가 중대 사항에 해당하면 이사회 보고까지 올라갈 수 있습니다.
과거에는 “규제를 어떻게 피할까”를 고민했다면,
이제는 “자율 보안 통제를 얼마나 실질적으로 이행했는가”를 증명해야 합니다.
감독당국은 앞으로 물리적 망분리 유지 여부보다
별표 7 통제의 실질적 이행 여부, CISO 보고 체계의 작동 실효성을 중심으로 점검할 가능성이 높습니다.
CISO는 이제 단순한 IT 보안 담당자가 아닌 경영 리스크 관리자로 역할이 격상되었습니다.
또한, 2026년 2월까지 전자금융사고 책임이행보험의 보상 한도가 상향 적용되었습니다.
일부 금융회사는 최저 1억 원에서 2억 원으로 인상된 보험 한도를 갱신해야 합니다.
SaaS 도입으로 공격 표면이 넓어지는 만큼 보험 조건도 함께 재검토해야 합니다.
핀테크·IT 담당자 시각 — 주관적 통찰과 주의사항
개인적으로 이번 개정에서 가장 중요한 시사점은 “규제 완화가 아니라 책임의 이전”이라는 점입니다.
금융당국은 사전 심사(샌드박스)라는 안전망을 걷어내는 대신,
금융회사 스스로 위험을 평가하고 통제하도록 설계를 바꿨습니다.
이는 사고 발생 시 “당국이 허가해준 것”이라는 방어논리가 더 이상 통하지 않는다는 뜻입니다.
핀테크 스타트업 입장에서 가장 위험한 함정은 “일단 쓰고 나중에 정비하자”는 접근입니다.
대기업 금융사에는 별표 7을 이행할 보안 조직이 이미 있지만,
인력이 부족한 핀테크에서 10개 항목을 동시에 갖추는 것은 상당한 투자가 필요합니다.
특히 DLP 솔루션, 로그 수집 인프라, 접근 제어 정책은 하루아침에 구축할 수 없습니다.
다음 단계인 생성형 AI 망분리 완화도 금융당국이 “최대한 신속하게” 추진하겠다고 밝혔습니다.
SaaS 통제 체계를 제대로 갖춰두면 생성형 AI 도입 시 추가 부담이 훨씬 줄어듭니다.
지금 별표 7 인프라를 제대로 구축하는 것이 향후 AI 도입의 기반이 된다는 시각으로 접근하시길 권합니다.
서두르기보다는 해설서 발표를 기다린 후 구체적 지침을 확인하고 SaaS 도입 계획을 수립하는 것이
리스크를 최소화하는 가장 현명한 전략입니다.
Q&A — 현장에서 가장 많이 묻는 질문 5가지
Q1. 기존 샌드박스로 이미 SaaS를 쓰고 있는 금융사는 어떻게 해야 하나요?
기존 혁신금융서비스(규제 샌드박스)로 SaaS를 이용 중인 금융사는 개정안 시행 후
별표 7 정보보호통제 요건을 충족하면 샌드박스 지정 여부와 관계없이 지속 활용이 가능합니다.
다만 별표 7 항목에 맞게 내부 규정·절차를 재정비하고, 반기 자체평가 체계를 새로 구축해야 합니다.
기존 샌드박스 부가조건과 별표 7 항목을 비교·점검하는 Gap 분석부터 시작하는 것을 권장합니다.
Q2. 개인신용정보를 “처리”한다는 기준이 정확히 무엇인가요?
「개인정보 보호법」상 처리는 수집·저장·이용·제공·파기 등 개인정보의 모든 취급 행위를 포함합니다.
SaaS가 단순히 고객 이름만 표시하더라도 그것이 고유식별정보(주민번호 등)나 개인신용정보(신용점수·대출 내역 등)라면
망분리 예외 대상에서 제외됩니다.
“처리 여부”가 불명확한 SaaS는 법무팀·DPO(데이터 보호 책임자)와 사전 협의를 반드시 거쳐야 합니다.
Q3. 금융보안원의 SaaS 평가를 직접 신청할 수 있나요?
원칙적으로 금융회사가 금융보안원에 평가 대상 SaaS를 신청하는 방식으로 진행됩니다.
그러나 SaaS 공급업체(벤더)가 선제적으로 금융보안원 평가를 받아 ‘충족’ 인증을 확보해두는 경우도 있습니다.
도입 예정 SaaS 벤더에게 “금융보안원 평가 결과서 보유 여부”를 먼저 확인하는 것이 효율적입니다.
상세 평가 신청 절차는
금융보안원 공식 홈페이지에서 확인하세요.
Q4. 반기 자체평가 결과를 CISO가 보고하지 않으면 어떻게 되나요?
보고 의무를 이행하지 않으면 전자금융감독규정 위반으로 금융감독원의 검사·제재 대상이 될 수 있습니다.
과태료 부과, 기관 경고, 임직원 제재 등 다양한 수위의 조치가 적용될 수 있으며,
특히 보안 사고가 발생한 이후 보고 미이행이 밝혀질 경우 책임이 크게 가중됩니다.
CISO 개인의 책임 리스크도 상당하므로, 반기 보고 스케줄을 연간 계획에 지금 바로 반영해두어야 합니다.
Q5. 금융사가 아닌 핀테크 스타트업(전자금융업자)도 동일 규제를 적용받나요?
전자금융거래법상 전자금융업자(PG업자, 선불전자금융업자 등)도 전자금융감독규정 적용 대상입니다.
따라서 동일한 별표 7 정보보호통제 요건이 적용됩니다.
규모와 인력이 부족한 스타트업일수록 초기 SaaS 도입 범위를 좁게 잡고,
금융당국이 배포할 보안해설서를 기다린 뒤 단계적으로 확대하는 전략이 현실적입니다.
마치며 — 총평
이번 금융사 SaaS 망분리 규제 완화는 분명 반가운 소식입니다.
10년 넘게 금융권의 디지털 전환을 가로막아온 물리적 장벽이 드디어 낮아지기 시작했습니다.
그러나 이 변화의 본질은 “자유를 주되, 책임도 함께 지라”는 메시지입니다.
별표 7 정보보호통제 10가지는 사실상 기존 샌드박스 보안 요건을 자율화한 것입니다.
즉 보안 수준 자체는 낮아지지 않았고, 오히려 그 책임이 당국에서 금융회사로 이전되었습니다.
서두르다가 보안 사고가 발생하면 “규제 완화 덕분에 편해졌다”가 아니라
“규제 완화 후 첫 번째 사고를 낸 회사”로 기록될 수 있습니다.
실무적으로는 세 가지를 권장합니다. 첫째, 금융당국이 배포할 보안해설서 발표를 먼저 확인한 뒤 SaaS 도입 계획을 구체화하십시오.
둘째, 도입 전 해당 SaaS가 처리하는 데이터 유형을 법무·보안팀이 공동으로 검토하십시오.
셋째, 별표 7 이행 체계를 생성형 AI 도입을 염두에 두고 확장 가능하게 설계하십시오.
지금 제대로 된 기반을 닦아두면, 다음 규제 완화의 과실도 가장 빠르게 누릴 수 있습니다.
※ 본 콘텐츠는 2026년 3월 4일 기준으로 공개된 금융위원회·금융감독원 자료 및 전문가 분석을 토대로 작성된 정보 제공 목적의 글입니다.
실제 SaaS 도입 여부 및 규정 준수 판단은 반드시 금융 규제·보안 전문가의 법률 검토를 거쳐 진행하시기 바랍니다.
규정은 향후 변경될 수 있으므로, 금융위원회(fsc.go.kr) 및 금융감독원(fss.or.kr) 공식 발표를 직접 확인하시기 바랍니다.
댓글 남기기