[클라우드컴퓨팅 정보보호]｢전자금융거래법｣상 금융회사 또는 전자금융업자가 클라우드컴퓨팅서비스 제공자와 계약을 맺고 클라우드컴퓨팅서비스를 이용하면서 정보보호와 관련된 업무 역시 위탁한 때, 전자금융감독규정 제60조 제4항의 요건을 갖춘 경우 금융회사의 정보보호와 관련된 업무를 재위탁하는 것이 가능한지 여부(특히, 금융회사 등이 클라우드컴퓨팅을 이용할 때, 위 감독규정 제60조 제4항 제2호의 요건 중 위탁회사의 전산실의 범위에 클

[클라우드컴퓨팅 정보보호]｢전자금융거래법｣상 금융회사 또는 전자금융업자가 클라우드컴퓨팅서비스 제공자와 계약을 맺고 클라우드컴퓨팅서비스를 이용하면서 정보보호와 관련된 업무 역시 위탁한 때, 전자금융감독규정 제60조 제4항의 요건을 갖춘 경우 금융회사의 정보보호와 관련된 업무를 재위탁하는 것이 가능한지 여부(특히, 금융회사 등이 클라우드컴퓨팅을 이용할 때, 위 감독규정 제60조 제4항 제2호의 요건 중 위탁회사의 전산실의 범위에 클라우드 전산센터가 포함되는지 여부)

질의요지

｢전자금융거래법｣상 금융회사 또는 전자금융업자가 클라우드컴퓨팅서비스 제공자와 계

약을 맺고 클라우드컴퓨팅서비스를 이용하면서 정보보호와 관련된 업무 역시 위탁한

때, 전자금융감독규정 제60조 제4항의 요건을 갖춘 경우 금융회사의 정보보호와 관련

된 업무를 재위탁하는 것이 가능한지 여부(특히, 금융회사 등이 클라우드컴퓨팅을 이

용할 때, 위 감독규정 제60조 제4항 제2호의 요건 중 위탁회사의 전산실의 범위에 클라

우드 전산센터가 포함되는지 여부)

회답

｢전자금융거래법」제40조 제6항 단서에 따라 금융회사 등이「전자금융감독규정」 제60

조 제4항 제1호 및 제2호의 기준을 준수하는 경우에는 정보보호와 관련된 업무의 재위

탁이 가능합니다.

한편, 금융회사 등이 제3자가 제공하는 클라우드컴퓨팅서비스를 이용하는 경우에도 「전

자금융거래법」제28조, 「전자금융감독규정」제14조의2, 제50조 제1항 제2호 및 제4호에 따라 허가·등록의 요건으로서 전산설비·기기 등을 갖추었다고 볼 수 있으므로,

- ｢전자금융감독규정」 제60조 제4항 제2호의 요건과 관련한 위탁회사인 금융회사 등의

전산실의 범위에는 제3자인 클라우드컴퓨팅서비스 제공자의 전산센터도 포함된다고

판단됩니다.

이유

｢전자금융거래법」제40조 제6항의 정보보호 관련 업무의 재위탁 제한규정은 전자

금융거래정보의 보호 및 안전한 처리를 목적으로 도입되었습니다.

｢전자금융거래법」에서의 정보보호 관련 업무는 전자금융거래의 안정성 확보 및 이

용자 보호를 위한 업무로서(「전자금융거래법」§21의2④ 등), 방화벽 운용, 시스템 모니터링 등 보안 인프라 운영과 취약점 분석평가, IT내부통제 관리 등의 업무를 포괄하며,

- 정보의 외부유출 방지 등을 위해 금융회사 등의 정보보호최고책임자(CISO)가 통솔

해야 하는 업무이므로 원칙적으로 재위탁을 제한하되, 단서규정을 두어 일정한 조

건을 준수하는 경우에 한하여 제한적으로 재위탁을 허용하였습니다.

아울러,「전자금융감독규정」 제60조 제4항 각 호에서는 전자금융거래정보의 보호 목적 달성을 위해 다음과 같이 재위탁의 기준을 구체화하고 있으므로, 해당 기준을 준수하는 경

우에는 재위탁이 가능합니다(「전자금융감독규정」§60④Ⅰ,Ⅱ).

I) 재수탁업자가 재위탁된 업무를 처리함에 있어 금융거래 정보의 변경이 필요한 경우

에는 위탁회사 또는 원수탁업자의 개별적 지시에 따라야 하고, 위탁회사 또는 원수탁

업자는 변경된 정보가 지시 내용에 부합하는지 여부를 확인할 것

ii) 위탁업무와 관련된 이용자의 금융거래정보는 “위탁회사의 전산실” 내에 둘 것

(다만, 재수탁업자가 이용자의 이용자 정보를 어떠한 경우에도 알지 못하도록 위탁

회사 또는 원수탁업자가 금융거래정보를 처리하여 제공한 경우에는 위탁회사의 관

리·통제 하에 재수탁회사 등 제3의 장소로 이전 가능)

이 경우 「전자금융감독규정」 제60조 제4항 제2호의 위탁회사의 "전산실”이라 함은

전산장비, 통신 및 보안장비, 전산자료 보관 및 출력장비가 설치된 장소를 의미하고(「전

자금융감독규정」§2Ⅰ),

금융회사 등이 제3자가 제공하는 클라우드컴퓨팅서비스를 이용하는 경우에도 「전

자금융거래법」제28조, 「전자금융감독규정」제14조의2, 제50조 제1항 제2호 및 제4호에 따라 허가·등록의 요건으로서 전산설비·기기 등을 갖추었다고 볼 수 있으므로

- 위탁회사인 금융회사 등의 전산실의 범위에는 제3자인 클라우드 컴퓨팅서비스 제

공자의 전산센터도 포함된다고 판단됩니다.

다만, 클라우드 서비스 제공자가 위탁받은 업무를 재위탁하는 경우에는 금융회사 등과

체결된 클라우드컴퓨팅 서비스 이용계약(위･수탁 계약) 및 「전자금융감독규정」 제

14조의2 제1항 제3호에 따라 마련된 금융회사 등의 자체 업무 위･수탁 운영기준을 준

수하여야 합니다(금융보안원, 금융분야 클라우드컴퓨팅서비스 이용가이드 64면 등 참조).

또한, 재위탁에 따른 재수탁자도 전자금융거래법 제2조 제5호에 따른 전자금융보조

업자의 범위에 포함되므로 법 제40조 및 감독규정 제60조에 따른 의무사항을 준수

하여야 합니다.

출처 2020 법령해석회신문사례집, 금융위원회

http://insclaim.co.kr/21/8635659

[심신미약 심신상실 자살보험금 보상사례 ]심신미약이나 심신상실은 우울증 , 조현병 ,불면증 , 공황장애 , 스트레스 , 음주 , 수면제 , 마약 , 본드 등 극도의 흥분상태에 자살한 경우 자살보험금으로 재해사망이나 상해사망보험금 보상사례