Saas(서비스형 소프트웨어 Software as a Service ) : 개인이나 기업이 컴퓨팅 소프트웨어를 필요한 만큼 쓸 수 있는 개념
SaaS(Software-as-a-Service) ← 클라우드 기반 소프트웨어 서비스
금융보안원
내부업무망 SaaS 망분리 예외 적용에 따른 보안 해설서
2026. 4. 20
(내부업무망에서 SaaS 이용 허용) 금융회사 등은 「전자금융감독규정 시행세칙」 제2조의3제1항제3호에 따라 내부업무망에서 고유식별정보 또는 개인신용정보(가명정보 포함)를 처리하지 않는 SaaS 이용 가능
망분리 예외에 따른 보안성 확보를 위해 SaaS 특화 망분리 대체 정보보호통제 적용 및 정보보호위원회 승인 필요
전자금융감독규정 시행세칙
제2조의3(망분리 적용 예외)
① 규정 제15조제1항제3호나목*에서 감독원장의 확인을 받은 경우란 다음 각 호와 같다.
3. 이용자의 고유식별정보 또는 개인신용정보를 처리하지 않는 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 시행령」 제3조제2호에 따른 “응용프로그램 등 소프트웨어를 제공하는 서비스” 이용 목적의 경우
③ 제1항 및 제2항의 규정은 금융회사 또는 전자금융업자가 자체 위험성 평가를 실시한 후 별표 7**에서 정한
망분리 대체 정보보호통제를 적용하고 정보보호위원회가 승인한 경우에 한하여 적용한다.
④ 제1항제3호의 경우 금융회사 또는 전자금융업자는 별표 7에서 정한 망분리 대체 정보보호통제의 이행 여부를 반기에 1회 평가하고 정보보호위원회에 보고하여야 한다.
* 제15조(해킹 등 방지대책) ① 금융회사 또는 전자금융업자는 정보처리시스템 및 정보통신망을 해킹 등 전자적 침해행위로부터 방지하기 위하여 다음 각 호의 대책을 수립·운용하여야 한다.
3. 내부통신망과 연결된 내부 업무용시스템은 인터넷(무선통신망 포함) 등 외부통신망과 분리ㆍ차단 및 접속 금지. 다만, 다음 각 목의 경우에는 그러하지 아니하다.
나. 업무상 불가피한 경우로서 금융감독원장의 확인을 받은 경우
** <별표7> 망분리 대체 정보보호통제 <개정 2020. 11. 6., 2022. 12. 29., 2025. 2. 5.>
|
구분
|
통제 사항
|
||||
|
공통
|
◦외부망에서 내부망으로 전송되는 전산자료를 대상으로 악성코드 감염여부 진단·치료
◦지능형 해킹(APT)차단 대책 수립·적용 ◦전산자료 외부전송 시 정보유출 탐지·차단·사후 모니터링 |
||||
|
메일
시스템 |
◦본문과 첨부파일 포함하여 메일을 통한 악성코드 감염 예방 대책 수립·적용
◦메일을 통한 정보유출 탐지·차단·사후 모니터링 대책 수립·적용 |
||||
|
업무용단말기
|
◦사용자의 관리자 권한 제거
◦승인된 프로그램만 설치·실행토록 대책 수립·적용 ◦전산자료 저장 시 암호화 |
||||
|
연구
·개발 |
◦유해 사이트 차단 등 외부 인터넷 접근통제 대책 수립·적용
◦연구·개발망과 내부망간 독립적인* 네트워크 구성 *다만, 연구·개발망과 규정 제15조제1항제3호의 내부 업무용시스템간 연결에 한하여 논리적 방식으로 분리 가능 ◦연구·개발 단말기 및 시스템에 대한 보호대책 수립·적용 및 중요정보(고유식별정보, 개인신용정보 등) 처리여부 모니터링 ◦연구·개발망의 침해사고 예방 및 사고대응 대책 수립·적용 ◦ 중요 소스코드 등에 대한 외부 반출방지 및 망간 전송* 허용 등에 따른 보안관리 대책 수립·적용 * 다만, 연구개발망과 규정 제15조제1항제5호의 전산실간 전송시 개발산출물 등 필수적인 경우에 한함 |
||||
|
원격
접속 |
외부
단말기 |
공통
|
◦백신 프로그램 설치, 실시간 업데이트 및 검사 수행
◦안전한 운영체제 사용 및 최신 보안패치 적용 ◦로그인 비밀번호 및 화면 보호기 설정 ◦화면 및 출력물 등으로 인한 정보유출 방지대책 적용 |
||
|
업무용 단말기를 경유하여 내부망에 접속하는 경우
(간접접속) |
◦외부 단말기와 업무용 단말기의 파일 송·수신 차단
|
||||
|
외부 단말기에서 내부망에 직접
접속하는 경우 (직접접속) |
◦인가되지 않은 S/W 설치 차단
◦보안 설정 임의 변경 차단 ◦USB 등 외부 저장장치 읽기/쓰기 차단 ◦전산자료 (파일, 문서) 암호화 저장 ◦단말기 분실 시 정보 유출 방지 대책적용(하드디스크 암호화, CMOS비밀번호 적용 등) |
||||
|
내부망 접근통제
|
◦업무상 필수적인 IP, Port에 한하여 연결 허용
◦원격접속 기록 및 저장(예: 접속자 ID, 접속일자, 접속 시스템 등) |
||||
|
인증
|
◦이중 인증 적용(예: ID/PW + OTP)
◦일정 횟수(예 : 5회) 이상 인증 실패 시 접속 차단 |
||||
|
통신
회선 |
◦안전한 알고리즘으로 네트워크 구간 암호화
◦내부망 접속시 인터넷 연결 차단 (단, 직접 내부망으로 접속하는 외부 단말기는 인터넷 연결 상시 차단) ◦원격 접속 후 일정 유휴시간 경과 시 네트워크 연결 차단 |
||||
|
기타
|
◦원격접속자에 대한 보안서약서 징구
◦공공장소에서 원격 접속 금지 |
||||
'경제' 카테고리의 다른 글
| 볼트온(Bolt-on)전략 (0) | 2026.04.21 |
|---|---|
| ‘갈팡질팡’ 롯데렌탈은 어디로 (0) | 2026.04.21 |
| 온프레미스(On-Premise) (0) | 2026.04.21 |
| 금융회사 내부 업무망에서 SaaS 활용 허용 (0) | 2026.04.21 |
| 차입처도, 담보권자도 틀렸다…고려아연 ‘부실 공시’ 논란 (0) | 2026.04.20 |