금융 규제 · IT 보안
금융 망분리 SaaS 개편:
지금 모르면 우리 회사만 뒤처진다
2026년 1월 20일, 금융위원회가 전자금융감독규정 시행세칙 개정안을 사전예고했습니다. 이 한 줄의 공문이 금융권 디지털 전환의 12년 묵은 빗장을 여는 시작점입니다.
12년 만의 구조 전환
샌드박스 없이 SaaS 허용
망분리란 무엇인가 — 12년 전 사고가 만든 규제
금융 망분리 SaaS 개편을 제대로 이해하려면 먼저 이 규제가 왜 탄생했는지부터 살펴볼 필요가 있습니다. 2013년 3월 20일, 역사에 남을 대규모 전산망 마비 사태가 발생했습니다. 당시 KBS·MBC·YTN 방송사와 주요 금융기관의 서버 3만여 대가 동시에 멈춰 섰고, 금융 서비스가 수 시간 동안 중단되는 대혼란이 빚어졌습니다. 이 사태를 계기로 금융당국은 그해 하반기 내부 업무망과 외부 인터넷망을 물리적으로 분리하는 의무를 전자금융거래법 및 전자금융감독규정에 명문화했습니다.
물리적 망분리는 말 그대로 두 개의 네트워크를 선(線) 수준에서 끊어 놓는 방식입니다. 내부 업무용 PC에서 인터넷을 열면 외부 서버와 통신이 완전히 차단되고, 반대로 인터넷 PC에서는 내부 데이터에 접근이 불가능해집니다. 해킹 경로 자체를 물리적으로 없애버리는 가장 극단적인 보안 수단이라고 할 수 있습니다. 실제로 이 규제 이후 금융권 대형 해킹 사고는 눈에 띄게 줄었습니다.
하지만 세상은 빠르게 바뀌었습니다. 2020년대로 접어들면서 Slack, Microsoft 365, Google Workspace, Notion, Zoom 같은 클라우드 기반 SaaS 협업 도구들이 전 세계 기업의 기본 인프라가 됐습니다. 문제는 이 모든 SaaS가 외부 클라우드 서버와 내부 단말기 간 실시간 데이터 교환을 전제로 한다는 점입니다. 즉, 물리적 망분리와 근본적으로 충돌합니다. 해외 금융사들이 생성형 AI와 SaaS로 업무 생산성을 혁신하는 동안, 한국 금융사들은 “이것도 안 됩니다, 저것도 안 됩니다”라는 규제의 벽 앞에 갇혀 있었습니다. ‘갈라파고스 규제’라는 비판이 나온 것도 바로 이 맥락에서입니다.
💡 핵심 요약
망분리 = 외부 인터넷 ↔ 내부 업무망을 물리적으로 분리. 2013년 전산망 마비사태 이후 의무화. 보안에는 효과적이었으나 SaaS·AI 도입을 12년간 막아온 구조적 한계가 존재했습니다.
2026년 개편의 핵심 — SaaS가 드디어 예외가 되다
2026년 1월 20일, 금융위원회는 「전자금융감독규정 시행세칙」 개정안을 사전예고하면서 획기적인 방향 전환을 공식화했습니다. 이번 개정안의 핵심은 단 하나입니다. 내부 업무망에서 SaaS를 사용하는 경우를 망분리 규제의 명시적 예외 사유로 법제화한다는 것입니다.
기존에는 금융사가 Slack이나 Microsoft Teams 같은 SaaS를 내부망에서 쓰고 싶으면 반드시 ‘혁신금융서비스(규제 샌드박스)’ 심사를 통과해야 했습니다. 이 절차는 수개월이 소요되고, 지정 기간도 한시적이어서 만료되면 다시 신청해야 하는 번거로움이 있었습니다. 글로벌 경쟁사는 6개월 전에 SaaS를 도입해 생산성을 높이는 동안, 국내 금융사는 심사 서류를 준비하며 시간을 보냈던 셈입니다.
이번 개정으로 법적 근거가 명확해집니다. 전자금융감독규정 시행세칙 제2조의3 제1항에 제3호를 새롭게 신설하여 “이용자의 고유식별정보 또는 개인신용정보를 처리하지 않는 SaaS 이용”을 망분리 적용 제외 사유로 명시했습니다. 별도의 샌드박스 신청 없이 상시 허용되는 제도적 기반이 마련된 것입니다. 이 조치의 토대가 된 것은 2024년 8월 발표된 「금융분야 망분리 규제 개선 로드맵」으로, 당시 금융위는 “규제 샌드박스 운영 성과가 충분히 축적되면 단계적으로 제도화하겠다”는 입장을 밝힌 바 있습니다. 약 1년 반의 성과 검증을 거쳐 이제 그 약속이 이행된 것입니다.
| 구분 | 개정 전 | 개정 후 |
|---|---|---|
| SaaS 사용 방법 | 샌드박스 심사 후 한시 허용 | 상시 허용 (요건 충족 시) |
| 도입 소요 시간 | 수개월 이상 | 내부 검토 후 즉시 가능 |
| 적용 대상 | 샌드박스 승인받은 서비스만 | 개인정보 미처리 SaaS 전반 |
| 보안 책임 소재 | 당국 지정 조건 준수 | 금융사 자율 평가 + 결과 책임 |
반드시 지켜야 할 10가지 보안 통제 요건
SaaS 사용이 허용된다고 해서 아무런 조건 없이 사용할 수 있는 것은 아닙니다. 금융위는 개정안에서 전자금융감독규정 시행세칙 <별표 7> ‘망분리 대체 정보보호통제’에 내부업무망 SaaS에 관한 항목을 새롭게 신설했습니다. 이를 어기면 물리적 망분리를 위반한 것과 같은 법적 책임이 발생할 수 있습니다.
10가지 통제 요건을 하나씩 짚어 보겠습니다.
① 금융보안원 평가 ‘충족’
도입하려는 SaaS가 침해사고대응기관(금융보안원)의 평가에서 필수 항목을 충족해야 합니다. 이 서류는 최신 상태로 항상 유지해야 합니다.
② 단말기 보호대책
SaaS에 접속하는 PC·노트북·모바일 기기에 대한 보호 조치를 수립하고 적용해야 합니다. MDM, 단말 보안 솔루션이 사실상 필수입니다.
③ 다중 인증(MFA) 적용
관리자 계정 등 중요 계정은 ID/PW + OTP 조합의 다중 인증을 반드시 적용해야 합니다. 단일 패스워드 방식은 허용되지 않습니다.
④ 중요 정보 유출 모니터링
중요 정보의 입력·처리·외부 유출 여부를 실시간으로 모니터링하고 통제하는 DLP(Data Loss Prevention) 체계가 필요합니다.
⑤ 불필요한 데이터 공유 방지
SaaS 내에서 필요 이상으로 데이터가 공유되거나 처리되지 않도록 접근 권한을 최소화해야 합니다. 파일 공유 링크의 무제한 발급은 금지됩니다.
⑥ 허가된 SaaS 외 인터넷 차단
승인된 SaaS를 제외한 외부 인터넷 접근은 여전히 차단해야 합니다. “SaaS 허용 = 인터넷 전면 개방”이 아닙니다.
⑦ 네트워크 암호화
단말기에서 SaaS 클라우드 서버까지의 네트워크 구간에 TLS 암호화 등 보호대책을 반드시 적용해야 합니다.
⑧ 접속·이용 로그 수집
누가, 언제, 어떤 SaaS에 접속했는지 모든 로그를 수집하고 보관해야 합니다. 사고 발생 시 원인 규명의 핵심 근거가 됩니다.
⑨ 제3자 플러그인·앱 통제
허용된 기능 외의 서드파티 앱, 플러그인, 확장 프로그램의 설치와 사용을 통제해야 합니다. 개인이 임의로 추가하는 애드온은 원칙상 금지됩니다.
⑩ 상시 관리 체계 구축
위 모든 항목을 반기(6개월)마다 자체 평가하고, 그 결과를 정보보호위원회(CISO 위원장)에 보고해야 합니다. 형식적 점검이 아니라 문서화된 실질 평가가 요구됩니다.
⚠️ 주의
10가지 요건 중 하나라도 미흡하면 망분리 예외 혜택을 받을 수 없으며, 위반 시 전자금융거래법상 제재 대상이 될 수 있습니다. 특히 반기별 자체 평가는 단순 체크리스트가 아닌 증빙 문서화가 함께 이루어져야 합니다.
적용 제외 영역 — 고객 정보는 여전히 막힌다
이번 개정에서 가장 중요한 경계선 하나를 반드시 기억해야 합니다. “이용자의 고유식별정보 또는 개인신용정보를 처리하는 SaaS”는 이번 예외 허용 대상에서 명확히 제외됩니다. 쉽게 말해, 고객 데이터가 흐르는 시스템은 여전히 물리적 망분리 규제가 그대로 적용됩니다.
이것이 실제로 무엇을 의미하는지 구체적으로 살펴보겠습니다. 코어뱅킹 시스템, 대출 심사 플랫폼, 카드 결제 처리 시스템, 고객 CRM처럼 고객의 주민등록번호·계좌번호·신용정보가 포함된 시스템은 여전히 외부 SaaS와 연결할 수 없습니다. 이들 시스템에서 생성형 AI나 클라우드 서비스를 활용하고 싶다면 기존처럼 혁신금융서비스 샌드박스를 거쳐야 합니다.
개인적인 견해를 덧붙이자면, 이 경계선은 사실 합리적입니다. 고객 신용정보가 외부 클라우드를 오가다 유출되면 그 피해는 금융 시스템 전반에 미칩니다. 반면 내부 협업 도구나 문서 작성 플랫폼처럼 고객 정보와 무관한 SaaS에는 과도한 물리적 망분리를 적용할 이유가 없습니다. 이번 개정은 그 경계를 현명하게 설정했다고 봅니다. 다만, ‘개인신용정보를 처리하지 않음’을 입증하는 데이터 분류 작업 자체가 쉽지 않다는 점이 실무의 난관이 될 것입니다.
🚫 이번 개편 대상에서 제외되는 SaaS 유형 (예시)
고객 신용정보 처리 AI · 대고객 CRM · 코어뱅킹 연동 시스템 · 고유식별정보 포함 데이터 분석 플랫폼 — 이들은 여전히 망분리 규제 완전 적용 대상입니다.
규제 패러다임 전환 — 형식적 분리에서 실질적 보안으로
이번 개편을 단순한 ‘규제 완화’로 보면 안 되는 이유
이번 금융 망분리 SaaS 개편의 본질은 단순한 규제 완화가 아닙니다. 보안의 책임 구조 자체가 바뀌는 패러다임 전환입니다. 기존에는 물리적으로 선을 끊어놓기만 하면 규제를 준수한 것이었습니다. 이른바 ‘형식적 망분리’입니다. 당국이 설계한 물리적 장치에 따르기만 하면 됐으므로, 금융사의 능동적인 보안 판단이 요구되지 않았습니다.
그러나 이번 개정 이후에는 금융사 스스로 어떤 SaaS를 어떤 요건 아래 도입할지 판단하고, 그 결과에 책임을 져야 합니다. 규제중심(Rule-based)에서 자율보안(Principle-based) 체계로 전환되는 것입니다. 감독당국도 앞으로는 물리적 망분리 유지 여부보다 별표 7에 따른 정보보호 통제의 실질적 이행 여부, CISO·정보보호위원회의 작동 실효성, SaaS 이용에 따른 위험 관리 체계 등을 중심으로 점검할 것으로 예상됩니다.
이는 금융사의 보안 역량이 그 어느 때보다 중요해졌음을 의미합니다. 잘못된 판단으로 보안 사고가 발생하면, “당국이 허용한 SaaS를 썼다”는 변명이 통하지 않습니다. 자체 위험 평가의 적정성, 의사결정의 합리성을 소명해야 합니다. 일부에서는 이를 두고 “책임을 금융사에 전가한 것”이라는 비판도 있습니다만, 저는 달리 봅니다. 이것은 금융사가 진정한 의미의 보안 주체가 되는 성숙 과정입니다.
💡 패러다임 전환 요약
기존: 당국이 설계한 물리적 분리 → 준수 여부만 확인
변경: 금융사가 설계한 보안 통제 → 이행 실효성과 결과 책임 동시 부담
금융사 실무 대응 3단계 체크리스트
당장 해야 할 것과 중장기 준비 사항
개정안 사전예고가 시작된 이상, 금융사는 지금 바로 움직여야 합니다. 규제개혁위원회 심사 등을 거쳐 시행되기까지 그리 오랜 시간이 남지 않았습니다. 아래 3단계 대응 흐름을 기준으로 현재 위치를 점검해 보시기 바랍니다.
댓글 남기기