전자금융감독규정시행세칙

전문개정 2006. 12. 28.

개정 2008. 3. 26.
제1장 총 칙
제1조(목적)

이 세칙은 「전자금융거래법」(이하 “법”이라 한다) 및 동법 시행령(이하 “시행령”이라 한다)과 「전자금융감독규정」(이하 “규정”이라 한다)에서 금융감독원장(이하 “감독원장”이라 한다)에게 위임한 사항과 그 시행에 필요한 사항을 규정함을 목적으로 한다.
제2조(정의)

①이 세칙에서 사용하는 용어의 정의는 다음과 같다.

1. “정보보호시스템”이라 함은 정보처리시스템내의 정보를 유출, 변조, 파괴 등으로부터 보호하기 위한 장비 및 프로그램을 말한다.

2. “해킹”이라 함은 접근을 허가받지 않은 정보처리시스템에 불법적으로 침투하거나 허가되지 않은 권한을 불법적으로 갖는 행위 또는 정보처리시스템에 해를 끼치는 새로운 기능을 만들어 내는 행위를 말한다.

3. “컴퓨터바이러스”라 함은 컴퓨터에서 사용자의 허락 없이 스스로를 복사하거나 변형한 뒤 정보유출, 시스템 파괴 등의 작업을 수행하여 사용자에게 피해를 주는 프로그램을 말한다.

4. “공개용 웹서버”라 함은 인터넷 사용자들이 웹페이지를 자유롭게 보고 웹서비스(월드 와이드 웹을 이용한 서비스를 말한다)를 이용할 수 있게 해주는 프로그램이 실행되는 장치를 말한다.

5. "정보통신망"이라 함은 유·무선, 광선 등 정보통신 수단에 의하여 부호, 문자, 음향, 영상 등을 처리, 저장 및 송·수신할 수 있는 정보통신 조직형태를 말한다.

②이 세칙에서 별도로 정하지 아니한 용어는 법ㆍ시행령·규정에서 정하는 바에 의한다.
제2장 전자금융업무 및 정보기술부문의 안전성 확보
제1절 인력부문
제3조(인력 및 조직 관리)

금융기관 또는 전자금융업자는 인력 및 조직의 운용에 관하여 다음 각 호의 사항을 준수하여야 한다.

1. 정보처리시스템 및 전자금융업무의 개발과 운영에 문제가 없도록 적정한 인력을 확보할 것

2. 정보처리시스템 및 전자금융업무의 관련 조직은 정책의 일관성을 유지하고 상호견제가 이루어지도록 할 것

3. 전산 인력의 상호간에는 직무분리 등을 통한 상호견제 기능을 갖출 것

4. 독립적인 위치에서 내부통제제도가 제대로 준수되고 있는지를 주기적으로 점검할 수 있도록 적절한 전문 인력과 조직을 갖출 것

5. 외부주문을 하는 경우 자체적으로 통제가 가능하도록 회사내부에 조직과 인력을 갖출 것

6. 전산인력의 자질향상 및 예비요원 양성을 위한 교육 및 연수프로그램을 운영할 것
제4조(외부주문 관리)

금융기관 또는 전자금융업자는 전산 업무의 전부 또는 일부를 외부주문하는 경우 규정 제31조 각 호의 사항을 준수하여야 한다.
제2절 시설부문
제5조(건물에 관한 사항)

금융기관 또는 전자금융업자는 전산실이 위치한 건물에 관하여 다음 각 호의 사항을 준수하여야 한다.

1. 건물 출입구는 경비원에 의하여 통제하고 출입통제 보안대책을 수립·운용할 것

2. 비상 시 대피를 위한 비상계단 및 정전대비 유도등을 설치할 것

3. 번개, 과전류 등 고전압으로 인한 전산장비 및 통신장비 등의 피해 예방을 위하여 피뢰설비를 갖출 것

4. 서버, 스토리지 등 전산장비 및 통신장비 등의 중량을 감안한 적재하중 안전대책을 수립·운용할 것

5. 화재발생 시 조기진압을 위한 소화기 및 자동소화설비 등을 갖추고, 화재전파방지를 위한 배연설비설치 등 화재예방 안전대책을 수립·운용할 것

6. 화재발생 위험이 높은 지역, 상습 침수지역 및 진동피해 발생지역 등 외부환경에 의하여 전산장비 등이 영향을 받을 수 있는 지역은 제외할 것
제6조(전원, 공조 등 설비에 관한 사항)

금융기관 또는 전자금융업자는 전산실이 위치한 건물의 전원, 공조 등 설비에 관하여 다음 각 호의 사항을 준수하여야 한다.

1. 전원실, 공조실 등 주요 설비시설에 자물쇠 등 출입통제장치를 설치할 것

2. 전원, 공조, 방재 및 방범 설비에 대한 적절한 감시제어시스템을 갖출 것

3. 전산실의 전력공급 중단에 대비하여 자가발전설비를 갖출 것

4. 전력공급 장애 시 전력선 대체가 가능하도록 복수회선을 설치하고 전력공급의 연속성 유지를 위한 무정전전원장치(UPS)를 갖출 것

5. 과전류, 누전에 의한 장애 방지를 위하여 과전류차단기, 누전경보기 등을 설치하고 일정한 전압 및 주파수 유지를 위한 정전압정주파수장치(CVCF)를 갖출 것

6. 전산실에 공급되는 전원 및 공조 설비는 부하가 큰 설비부분과 분리하여 설치하고 공조설비 상태 점검을 위한 압력계, 온도계 등을 갖출 것

7. 전산실에 24시간 동안 적정한 온도 및 습도를 유지하기 위해서 자동제어 항온항습기를 갖출 것
제7조(전산실에 관한 사항)

금융기관 또는 전자금융업자는 전산실에 관하여 다음 각 호의 사항을 준수하여야 한다.

1. 전산실에 대하여 화재, 수해 등의 재해 및 외부로부터의 위해(危害) 방지대책을 수립·운용할 것

2. 전산실 상시 출입문은 한 곳으로 정하며 상시 출입은 업무와 직접 관련이 있는 자에 한하여 허용하고, 그 밖의 출입자에 대하여는 관리책임자의 승인을 받아 출입하도록 하며 출입자 관리기록부를 기록·보관할 것

3. 상시 출입이 허용된 자 이외의 출입자의 출입사항에 대하여는 전산실의 규모, 설치장소 등을 감안하여 무인감시카메라 또는 출입자동기록시스템 설치 등 적절한 조치를 취하여 사후 확인이 가능하도록 할 것

4. 전산실 출입문은 2중 안전장치로 보호하며 외벽이 유리인 경우 유리창문을 통하여 접근할 수 없도록 조치할 것

5. 천정, 바닥, 벽의 침수로 인한 정보처리시스템의 장애가 발생하지 않도록 외벽과 전산장비와의 거리를 충분히 유지하고 이중바닥설치 등 방안을 강구할 것

6. 적정수준의 온·습도를 유지하기 위하여 온·습도 자료 자동기록장치 및 경보장치 설치 등 적절한 조치를 취할 것

7. 케이블이 안전하게 유지되도록 전용통로관 설치 등 적절한 보호조치를 강구할 것

8. 정전에 대비하여 조명설비 및 휴대용손전등을 비치할 것

9. 집적정보통신시설(IDC, Internet Data Center) 등과 같이 다수의 기관이 공동으로 이용하는 장소에 정보처리시스템을 설치하는 경우에는 미승인자가 접근하지 못하도록 적절한 접근통제 대책을 마련 할 것

10. 다음 각 목의 중요 시설 및 지역을 보호구역으로 설정 관리할 것

가. 전산실(전산센터 포함) 및 재해복구센터

나. 전산자료 보관실

다. 정보보호시스템 설치장소

라. 그 밖에 보안관리가 필요하다고 인정되는 정보처리시스템 설치장소

11. 국내에 본점을 둔 금융기관의 전산실 및 재해복구센터는 국내에 설치할 것
제3절 정보기술부문
제8조(단말기 보호대책)

금융기관 또는 전자금융업자는 단말기 보호를 위하여 다음 각 호의 사항을 준수하여야 한다.

1. 업무담당자 이외의 자가 단말기(개인용 컴퓨터 포함)를 무단으로 조작하지 못하도록 단말기별 취급자 지정, 비밀번호 및 화면보호기능 부여 등 적절한 보호대책을 수립·운용할 것

2. 정보통신망에 접속하는 단말기 사용자의 인가 여부를 확인하는 사용자 로그인 비밀번호를 설정할 것

3. 비밀번호는 숫자와 문자 등을 혼합하여 6자리 이상으로 부여하고 분기 1회 이상 정기적으로 변경토록 할 것

4. 다음 각 목의 중요 단말기에 대하여는 제1호에서 정한 사항 이외의 적절한 보호대책을 수립·운용할 것

가. 주요정보 또는 이용자정보가 수록되어 있거나 또는 열람할 수 있는 단말기

나. 금융기관의 내부통신망과 연결되어 있는 단말기
제9조(전산자료 보호대책)

①금융기관 또는 전자금융업자는 전산자료의 유출, 파괴 등을 방지하기 위하여 다음 각 호를 포함한 전산자료 보호대책을 수립·운용하여야 한다.

1. 사용자계정과 비밀번호를 개인별로 부여하고 등록·변경·폐기 등에 관하여 체계적으로 관리할 것

2. 외부사용자에게 사용자계정을 부여하는 경우 적절한 통제장치를 갖출 것

3. 전산자료의 보유현황을 관리하고 관리책임자를 지정·운영할 것

4. 담당업무에 따른 전산자료의 입력·출력·열람 등 접근권한을 통제할 것

5. 전산자료 및 전산장비의 반출·입을 통제할 것

6. 비상 시에 대비하여 보조기억매체 등 전산자료에 대한 안전지출 및 긴급파기 계획을 수립·운용할 것

7. 정기적으로 보조기억매체의 보유 현황 및 관리실태를 점검하고 관리책임자의 확인을 받을 것

8. 중요도에 따라 전산자료를 정기 백업 및 안전지역(원격지를 말한다)에 소산하고 백업내역을 기록·관리할 것

9. 주요 백업 전산자료에 대한 정기적인 검증을 실시할 것

10. 이용자정보의 조회·출력 통제 및 테스트 시 주요 이용자정보를 변환하여 사용할 것

11. 정보처리시스템 가동기록은 1년 이상 보존할 것

12. 정보처리시스템에 접근 시 일정횟수 이상 접속 오류가 발생하는 경우 정보처리시스템의 사용을 제한할 것

13. 개인용컴퓨터(PC)에 중요 전산자료를 보관하지 아니하고, 개인용컴퓨터를 공유하지 아니할 것(다만 불가피하게 개인용컴퓨터에 보관할 필요가 있는 경우에는 보관사유·보관기간 및 관리 비밀번호 등을 정하여 책임자 승인을 받을 것)

②제1항제1호의 사용자계정의 공동 사용이 불가피한 경우에는 개인별 사용내역을 기록·관리하여야 한다.

③금융기관 또는 전자금융업자는 단말기를 통한 이용자정보 조회 시 사용자, 사용일시, 변경 또는 조회내용, 접속방법 등이 정보처리시스템에 자동 기록되도록 하고, 그 기록을 1년 이상 보존하여야 한다.

④제1항제11호의 정보처리시스템 가동기록의 경우 다음 각 호의 사항이 자동 기록되도록 하되 접속의 성공여부와 상관없이 기록·유지하며 정기적으로 관리책임자에게 보고하여야 한다.

1. 주전산기 또는 서버에 접속한 일시, 접속자 및 접근을 확인할 수 있는 접근기록

2. 전산자료를 사용한 일시, 사용자 및 자료의 내용 등을 확인할 수 있는 접근기록

3. 정보처리시스템 접근을 위한 사용자 로그인, 액세스 로그 등 자료처리 내용을 확인할 수 있는 접근기록

⑤금융기관 또는 전자금융업자는 단말기와 전산자료의 접근권한이 부여되는 마스터관리자에 대하여 적절한 통제장치를 마련·운용하여야 한다.
제10조(정보처리시스템 보호대책)

금융기관 또는 전자금융업자는 정보처리시스템의 안전한 운영을 위하여 다음 각 호를 포함한 보호대책을 수립·운용하여야 한다.

1. 주요 정보처리시스템에 대한 구동, 조작방법, 명령어 사용법, 운용순서, 장애조치 및 연락처 등 시스템 운영매뉴얼을 작성할 것

2. 데이터베이스관리시스템(DBMS), 운영체제, 웹프로그램 등 주요 프로그램에 대하여 정기적으로 유지보수를 실시하고, 작업일, 작업내용, 작업결과 등을 기록한 유지보수관리대장을 작성·보관할 것

3. 정보처리시스템의 장애발생 시 장애일시, 장애내용 및 조치사항 등을 기록한 장애상황기록부를 상세하게 작성·보관할 것

4. 서버 및 통신기기의 정상작동여부 확인을 위하여 시스템 자원 상태의 감시, 경고 및 제어가 가능한 모니터링시스템을 갖출 것

5. 시스템 통합, 전환 및 재개발 시 장애 등으로 인하여 정보처리시스템의 운영에 지장이 초래되지 않도록 적절한 통제 절차를 마련하여 준수할 것

6. 정보처리시스템의 관리책임자를 지정·운영할 것

7. 정보처리시스템의 운영체계, 시스템 유틸리티 등의 주요 보정(patch)사항에 대하여 즉시 보정 작업을 실시할 것
제11조(해킹 방지대책)

①금융기관 또는 전자금융업자는 내부 정보통신망을 인터넷 등 외부통신망과 접속하는 경우에는 해킹 침해의 방지를 위하여 다음 각 호의 대책을 수립·운용하여야 한다.

1. 침입차단시스템 설치

2. 침입탐지시스템 설치(단, 전자금융업무 영위여부 및 규모 등을 고려하여 그 필요성이 인정되지 아니하는 경우에는 그러하지 아니하다.)

3. 그 밖에 필요한 보호장비 또는 암호프로그램 등 정보보호시스템 설치

4. 해킹 침해에 대비한 시스템프로그램 등의 중요 보정(patch)사항에 대하여 즉시 보정작업 실시

5. 내부시스템에서 제1호 내지 제2호의 시스템을 우회한 인터넷 등 외부통신망 접속 금지

②제1항제1호의 침입차단시스템을 설치하는 경우 다음 각 호의 사항을 준수하여야 한다.

1. EAL3+등급(단, 개인정보 또는 금융회사의 주요정보가 수록되지 않은 전산장비를 보호하는 경우에는 EAL2 등급) 이상의 평가·인증(보안장비 인증을 담당하는 국가기관이 부여한 K4 등급은 EAL3+ 등급으로, K2 등급은 EAL2 등급으로 본다. 이하 이 조에서 같다) 또는 감독원장이 인정하는 기관의 평가·인증을 받았거나 이에 준하는 것으로 감독원장이 인정하는 장비의 사용

2. 최소한의 서비스번호(port)와 기능만을 적용하고 업무목적 이외의 기능 및 프로그램의 제거

3. 승인권자의 승인에 의하여 보안정책을 수립하여 적용하고 보안정책의 등록, 변경 및 삭제에 대한 이력을 기록·보관

4. 원격관리의 금지(다만, 원격관리가 불가피한 경우에는 인증, 암호화 등 정보보호 대책을 마련하고, 사용시간, 접속자, 비밀번호 변경, 수행업무내용 기록 등에 대한 원격관리 절차를 수립·운용할 것)

5. 정보통신망의 안전한 운용을 위하여 주기적으로 침입차단시스템의 상태를 점검할 것

6. 침입차단시스템에 인위적, 자연적으로 발생될 수 있는 시스템 장애, 가동중지 등 긴급사태에 대비하여 다음 각 목의 백업 및 복구 절차 등을 수립·시행할 것

가. 긴급사태에 대비한 조직, 임무 및 업무처리 절차

나. 백업시설 구성, 백업 방법 및 절차, 정상상태로의 복구 절차

다. 긴급사태에 대비한 정기적인 훈련과 교육 실시 등

③제1항제2호의 침입탐지시스템을 설치하는 경우 다음 각 호의 사항을 준수하여야 한다.

1. EAL2 등급 이상의 평가·인증 또는 감독원장이 인정하는 기관의 평가·인증을 받았거나 이에 준하는 것으로 감독원장이 인정하는 장비의 사용

2. 침입기록의 자동기록, 자동경보 및 분석정보 제공 등 기능 보유

④제1항제3호의 보호장비 또는 암호프로그램 등 정보보호시스템을 설치하는 경우에는 다음 각 호의 사항을 준수하여야 한다.

1. 보안장비 인증을 담당하는 국가기관의 평가ㆍ인증 또는 감독원장이 인정하는 기관의 평가·인증을 받았거나 이에 준하는 것으로 감독원장이 인정하는 장비의 사용

2. 지점 내부망 등에서 인터넷 등 외부통신망과 직접 연결하는 경우에는 제2항제1호의 장비를 사용

⑤제2항 내지 제4항의 보호장비 설치 시 외부망 접속구간 또는 DMZ 구간에서는 EAL2 등급 이상 또는 이에 준하는 평가·인증을 받은 장비를 설치하고, 내부자료 접속구간 또는 내부구간에서는 EAL3+ 등급 이상 또는 이에 준하는 평가·인증을 받은 장비를 설치한다.

⑥제1항 각 호의 정보보호시스템에 대하여 관리책임자를 지정·운영하여야 한다.

⑦금융기관 또는 전자금융업자는 해킹 및 사이버테러로 인한 피해 발생 시 즉시 대처할 수 있도록 적절한 대책을 마련하여야 한다.

⑧금융기관 또는 전자금융업자는 해킹 및 취약점에 대한 진단 및 분석 후 보완대책을 수립하여야 한다.
제12조(바이러스 감염 방지대책)

①금융기관 또는 전자금융업자는 컴퓨터바이러스(이하 “바이러스”라 한다) 감염을 방지하기 위하여 다음 각 호를 포함한 대책을 수립·운용하여야 한다.

1. 출처, 유통경로 및 제작자가 명확하지 아니한 응용프로그램은 사용을 자제하고 불가피할 경우에는 바이러스 검색프로그램으로 진단 및 치료 후 사용할 것

2. 바이러스 검색, 치료 프로그램을 설치하고 최신 버전을 유지할 것

3. 바이러스 감염에 대비하여 방어, 탐색 및 복구 절차를 마련할 것

②금융기관 또는 전자금융업자는 바이러스 감염이 발견된 경우 바이러스 확산 및 피해를 최소화하기 위하여 적절한 조치를 신속하게 취하여야 한다.
제13조(홈페이지 등 공개용 서버 관리대책)

①금융기관 또는 전자금융업자는 공개용 서버의 안전한 관리를 위하여 다음 각 호를 포함한 적절한 대책을 수립·운용하여야 한다.

1. 공개용 서버를 내부망과 분리하여 내부망과 외부망 사이(DMZ)에 설치하고 침입차단시스템으로 보호할 것

2. 공개용 서버에 접근할 수 있는 사용자계정을 제한하고 불필요한 계정 또는 서비스번호(Port)는 삭제할 것

3. 공개용 서버에서 제공하는 서비스를 제외한 다른 서비스 및 시험·개발 도구 등의 사용을 제한할 것

4. 안전진단프로그램 등을 이용하여 서버의 취약성 또는 무결성을 수시로 점검하고 원 내용과 상이 여부를 주기적으로 점검할 것

②금융기관 또는 전자금융업자는 공개용 웹서버에 게재된 내용에 대하여 다음 각 호의 사항을 준수하여야 한다.

1. 게시자료에 대한 사전 내부통제 실시

2. 무기명 또는 가명 게시 금지

3. 홈페이지 자료 게시 담당자 지정·운용

4. 개인정보의 유출, 위·변조 방지를 위한 보안조치

5. 직원 등이 운영하는 홈페이지에 대한 통제 강화

③금융기관 또는 전자금융업자는 공개용 웹서버가 해킹공격에 노출되지 않도록 다음 각 호의 취약점에 대하여 적절하게 대응 조치하여야 한다.

1. 악의적인 명령어 주입 공격(SQL Injection)

2. 업로드 취약점

3. 취약한 세션 관리(Cookie Injection)

4. 악의적인 명령 실행(XSS)

5. 버퍼 오버플로우

6. 부적절한 파라미터

7. 접근통제 취약점

8. 부적절한 환경설정(서버 설정관련) 취약점 등

④금융기관 또는 전자금융업자는 개인용컴퓨터(PC) 등에서 음란, 도박 등 업무와 무관한 인터넷 사이트 접근에 대한 통제대책을 강구하여야 한다.
제14조(IP주소 관리대책)

금융기관 또는 전자금융업자는 정보제공자 주소(이하 “IP주소”라 한다)의 안전한 사용을 위하여 다음 각 호를 포함하여 적절한 대책을 수립·운용하여야 한다.

1. 내부망에서 사용하는 IP주소의 경우 사설 IP주소 사용 등으로 보안을 강화하며 내부 IP주소체계의 외부유출을 금지할 것

2. 개인별로 내부 IP주소를 부여하여 유지·관리할 것

3. 내부 IP주소 및 외부 IP주소의 인터넷 접속내용을 1년 이상 별도로 기록·보관할 것

4. 정보처리시스템의 운영담당, 개발담당 및 외부직원 등 업무 특성별로 네트워크를 적절하게 분리하여 IP주소를 사용할 것

5. 내부망(LAN)은 다른 기관 내부망과 분리하여 사용할 것
제4절 정보기술부문 내부통제
제15조(정보화 계획 수립 및 운영)

금융기관 또는 전자금융업자는 다음 각 호의 사항을 충족하는 적절한 정보화 계획을 수립·운용하여야 한다.

1. 현실적이고 실현가능한 장·단기 정보화 계획을 수립·운용할 것

2. 정보화 계획은 전산운영위원회 등 독립적인 조직의 검토와 승인을 받아 최고경영자에게 보고할 것

3. 정보화 계획에는 정보처리시스템 및 전자금융거래에 관한 사항을 모두 포함할 것

4. 정보처리시스템 통합, 전환 및 재개발 시 일정 계획은 전체 업무의 규모, 성격 및 복잡성을 감안하여 수립하고 이행 전 단계에서 감독원장에게 보고할 것
제16조(정보처리시스템 구축 및 전자금융거래 관련 사업 추진)

금융기관 또는 전자금융업자는 정보처리시스템 및 전자금융거래와 관련된 사업을 추진하는 경우에 다음 각 호의 사항을 준수하여야 한다.

1. 조직에 미치는 영향이 크거나 자체적으로 정한 금액 이상의 사업 추진 시에는 사전에 충분한 타당성 검토를 실시할 것

2. 정보처리시스템의 신규사업 및 통합, 전환, 재개발 등과 같은 주요 추진사업에 대하여 비용 대비 효과분석을 실시할 것

3. 타당성 검토와 비용 대비 효과분석 결과는 전산운영위원회의 승인을 받을 것
제17조(정보처리시스템 구축 및 전자금융거래 관련 계약)

금융기관 또는 전자금융업자는 정보처리시스템 구축 및 전자금융거래와 관련된 계약 체결 시에 다음 각 호의 사항을 준수하여야 한다.

1. 적합한 업체의 공정한 선정을 위하여 객관적인 세부평가기준 등 업체 선정 기준 및 절차를 마련하여 운용할 것

2. 공정하고 합리적인 예정가격 산출을 위한 기준을 수립·적용할 것

3. 계약금액, 구축완료일자, 납품방법 및 대금지급방법 등 계약이행에 필요한 내용을 포함한 계약서 작성 기준을 수립·운용할 것

4. 구매 또는 개발한 제품의 소유권, 저작권 및 지적재산권 등의 귀속관계를 명확히 하여 사후 분쟁이 발생하지 않도록 할 것

5. 납품 또는 개발이 완료된 소프트웨어 등에 대하여 공급업체 파산 등 비상사태에 대비하여 대책을 마련·운용할 것

6. 검수는 개발자, 계약자 등 이해당사자를 배제하여 공정하게 실시할 것

7. 계약조항을 이행하지 못하는 사유가 발생하였거나 계약조항을 변경할 경우에는 검사부서의 승인을 받을 것

8. 일정금액 이상의 계약에 대하여는 자체 감사를 실시하거나 검사부서의 승인을 받을 것

9. 외부주문 계약 시 계약서에 용역사업 참여직원의 보안준수 사항과 위반 시 손해배상 책임 등을 명시할 것
제18조(정보처리시스템 감리)

금융기관 또는 전자금융업자는 정보처리시스템의 안전성 및 효율성 확보를 위하여 다음 각 호의 사항을 포함한 정보처리시스템 감리 지침을 작성·운용하여야 한다.

1. 목적 및 대상, 시스템 감리인, 감리시기 및 계획 등 일반기준

2. 기획, 개발 및 운용의 감리 실시 기준

3. 지적사항, 개선사항 등 감리 후 보고 기준
제19조(비상대책 수립·운용)

①「재난 및 안전관리 기본법」상 국가핵심기반으로 지정된 금융회사는 「금융전산부문위기대응매뉴얼」을 작성하고 동 매뉴얼에 따라 연 1회 이상 정기적으로 훈련을 실시하여야 한다.

②국가핵심기반에 포함되지 아니한 금융기관 또는 전자금융업자는 자연 재해, 인적 재해, 기술적 재해, 전자적 침해 등으로 인한 전산시스템 마비 방지와 신속한 복구를 위한 비상대책을 수립하고, 정기적으로 훈련을 실시하여 비상대책의 실효성을 확보하여야 한다.

③금융기관 또는 전자금융업자는 중앙처리장치, 데이터저장장치 등 주요 전산장비에 대하여 이중화 또는 예비장치를 확보하여야 한다.

④다음 각 호의 금융기관은 시스템 오류, 자연재해 등 전산센터 마비에 대비하여 재해복구센터를 구축·운용하여야 하며, 복구목표시간은 3시간(단, 제10호의 금융기관은 24시간) 이내로 하여야 한다.

1.「은행법」에 의해 인가를 받아 설립된 금융기관(단, 「은행법」 제58조에 의해 인가를 받은 외국금융기관의 국내지점은 제외한다)

2. 「한국산업은행법」에 의한 한국산업은행, 「중소기업은행법」에 의한 중소기업은행, 「농업협동조합법」에 의한 농업협동조합중앙회의 신용사업부문, 「수산업협동조합법」에 의한 수산업협동조합중앙회의 신용사업부문

3.「증권거래법」에 의한 증권회사(단, 「증권거래법」 제28조의2에 의해 허가를 받은 외국증권업자의 지점등은 제외한다)

4.「증권거래법」에 의한 증권금융회사 및 증권예탁결제원

5.「한국증권선물거래소법」에 의한 한국증권선물거래소

6.「여신전문금융업법」에 의한 신용카드업자

7.「보험업법」에 의한 보험요율산출기관

8.「상호저축은행법」에 의한 상호저축은행중앙회

9.「신용협동조합법」에 의한 신용협동조합중앙회

10. 「보험업법」에 의한 보험회사

⑤금융기관 또는 전자금융업자는 비상사태에 대비하여 다음 각 호의 사항을 포함한 안전대책을 강화하여야 한다.

1. 파업 시 핵심전산업무 종사자의 근무지 이탈로 전산시스템의 마비를 방지하기 위하여 비노조원 중심의 핵심업무 비상지원인력을 확보·운영할 것

2. 비상사태 발생 시 금융전산망 마비 방지 및 신속한 원상복구 등을 위하여 정보처리시스템 운영에 대한 외부 전문업체 활용 등 다각적인 방안을 수립·운영할 것

3. 비상지원인력이 사용법을 충분히 이해하고 업무운용이 가능한 수준으로 전산시스템 운영지침서, 사용자매뉴얼 등을 쉽고 자세하게 작성하고 최신상태로 유지할 것

4. 비상지원 인력에 대하여 전산 핵심 업무 담당자 부재 시 동 업무 수행이 가능할 수 있는 수준으로 연수를 강화할 것
제20조(정보처리시스템의 성능관리)

금융기관 또는 전자금융업자는 정보처리시스템의 장애예방 및 성능의 최적화를 위하여 정보처리시스템의 사용 현황 및 추이 분석 등을 정기적으로 실시하여야 한다.
제21조(직무의 분리)

금융기관 또는 전자금융업자는 다음 각 호의 업무에 대하여 인력운용상 가능한 범위 내에서 최대한 직무를 분리·운영한다.

1. 프로그래머와 오퍼레이터

2. 응용프로그래머와 시스템프로그래머

3. 시스템보안관리자와 시스템프로그래머

4. 전산자료관리자(librarian)와 그 밖의 업무 담당자

5. 업무운영자와 내부감사자

6. 그 밖에 내부통제와 관련하여 직무의 분리가 요구되는 경우
제22조(전산원장 통제)

①금융기관 또는 전자금융업자는 장애 또는 오류 등에 의한 전산원장의 변경을 위하여 별도의 변경절차를 수립·운용하여야 한다.

②제1항의 절차에는 변경 대상 및 방법, 변경 권한자 지정, 변경 전후내용 자동기록 및 보존, 변경내용의 정당여부에 대한 제3자 확인 등이 포함되어야 한다.

③금융기관 또는 전자금융업자는 대차대조표 등 중요 자료의 계상액과 각종 보조부·거래기록·전산원장파일의 계상액에 대한 상호일치 여부를 전산시스템을 통하여 주기적으로 확인하여야 한다.

④금융기관 또는 전자금융업자는 제3항에 따른 확인 결과 불일치가 발견된 때에는 그 원인 및 조치 내용을 전산자료의 형태로 5년간 보존하여야 한다.

⑤금융기관 또는 전자금융업자는 이용자 중요원장에 직접 접근하여 중요원장을 조회, 수정, 삭제 및 삽입하는 경우에는 작업자 및 작업내용 등을 기록하여 5년간 보존하여야 한다.
제23조(거래 통제)

금융기관 또는 전자금융업자는 사고위험도가 높은 거래에 대하여는 책임자 승인거래로 처리토록 하는 등 전산시스템에 의한 이중 확인이 가능하도록 하여야 한다.
제24조(프로그램 통제)

금융기관 또는 전자금융업자는 다음 각 호의 사항을 포함한 프로그램 등록·변경·폐기 절차를 수립·운용하여야 한다.

1. 적용대상 프로그램 종류 및 등록·변경·폐기 방법을 마련할 것

2. 프로그램 변경 전후 내용을 기록·관리할 것

3. 프로그램 등록·변경·폐기내용의 정당성에 대해 제3자의 검증을 받을 것

4. 변경 필요 시 해당 프로그램을 개발 또는 테스트 시스템으로 복사 후 수정할 것

5. 프로그램에 대한 접근은 업무담당자에 한정할 것

6. 운영시스템 적용은 충분한 테스트 및 관련 책임자 승인 후 실시할 것

7. 프로그램 반출, 실행프로그램의 생성 및 운영시스템 등록은 전산자료 관리자 등 해당프로그램 담당자 이외의 자가 수행할 것

8. 운영체제, 데이터베이스관리프로그램 등의 시스템 프로그램도 응용프로그램과 동일한 수준으로 관리할 것

9. 프로그램 설명서, 입·출력 레코드 설명서, 프로그램 목록 및 사용자·운영자지침서 등 프로그램 유지보수에 필요한 문서를 작성·관리할 것
제25조(일괄작업에 대한 통제)

금융기관 또는 전자금융업자는 안전하고 체계적인 일괄작업의 수행을 위하여 다음 각 호의 사항을 준수하여야 한다.

1. 일괄작업(Batch)은 작업요청서에 의한 담당책임자의 승인을 받은 후 수행할 것

2. 일괄작업은 최대한 자동화하여 오류를 최소화할 것

3. 일괄작업 수행 과정에서 오류가 발생하였을 경우 반드시 담당책임자의 확인을 받을 것

4. 모든 일괄작업의 작업내용을 기록·관리할 것
제26조(암호프로그램 및 키 관리 통제)

①금융기관 또는 전자금융업자는 암호프로그램에 대하여 담당자 지정, 담당자 이외의 이용 통제 및 원시프로그램(Source Program) 별도 보관 등을 준수하여 유포 및 부당 이용이 발생하지 않도록 하여여 한다.

②금융기관 또는 전자금융업자는 암호 및 인증시스템에 적용되는 키에 대하여 주입, 운용, 갱신, 폐기에 대한 절차 및 방법을 마련하여 안전하게 관리하여야 한다.
제27조(내부사용자 비밀번호 관리)

①금융기관 또는 전자금융업자는 내부사용자의 비밀번호 유출을 방지하지 위하여 다음 각 호의 사항을 정보처리시스템에 반영하여야 한다.

1. 담당업무 외에는 열람 및 출력을 제한할 수 있는 접근자의 비밀번호를 설정하여 운영할 것

2. 내부 업무용 시스템의 비밀번호를 암호화하여 보관할 것

3. 비밀번호 입력 시 미리 정한 일정횟수 이상의 입력오류가 연속하여 발생한 경우 즉시 해당 비밀번호를 이용하는 접속을 차단하고 본인 확인절차를 거쳐 비밀번호를 재부여 또는 초기화 할 것
제28조(이용자 비밀번호 관리)

①금융기관 또는 전자금융업자는 정보처리시스템 및 전산자료에 보관하고 있는 이용자의 비밀번호를 암호화하여 보관하며 동 비밀번호를 조회할 수 없도록 하여야 한다. 다만, 비밀번호의 조회가 불가피하다고 인정되는 경우에는 그 조회사유·내용 등을 기록·관리하여야 한다.

②금융기관 또는 전자금융업자는 이용자 비밀번호의 유출을 방지하기 위하여 다음 각 호의 사항을 정보처리시스템에 반영하여야 한다.

1. 주민등록번호, 동일숫자, 연속숫자 등 제3자가 쉽게 유추할 수 있는 비밀번호의 등록 불가

2. 통신용 비밀번호와 계좌원장 비밀번호 구분 사용

3. 연속하여 미리 정한 일정횟수 이상의 비밀번호 입력 오류가 발생한 경우 즉시 해당 비밀번호를 이용하는 거래를 중지시키고 본인 확인절차를 거친 후 비밀번호 재부여 및 거래 재개 (이체 비밀번호 등 동일한 비밀번호가 다양한 형태의 전자금융거래에 공통으로 이용되는 경우, 입력오류 횟수는 이용되는 모든 전자금융거래에 대하여 통산한다)

4. 금융회사가 이용자로부터 받은 비밀번호는 거래전표, 계좌개설신청서 등에 기재하지 말고 핀패드(PIN Pad) 등 보안장치를 이용하여 입력 받을 것

5. 신규 거래, 비밀번호 변경, 이체 신청 등과 같이 비밀번호를 등록·사용하는 경우 사전에 신청서 등에 기입하지 않고, 핀패드(PIN Pad) 등 보안장치를 이용하거나 이용자가 사후에 전자적 장치를 이용하여 직접 입력하는 방식으로 운영할 것
제5절 전자금융업무
제29조(전자금융거래 시 준수사항)

①금융기관 또는 전자금융업자는 다음의 경우를 제외하고는 전자자금이체 시 일회용 비밀번호(보안카드를 포함한다)를 적용하여야 한다.

1. 자동화기기(CD/ATM)를 이용한 자금이체의 경우

2. 제휴 금융기관에서 실명 확인 후 개설된 증권계좌와 연계된 실명 확인된 본인명의 계좌로 이체하는 경우

3. 「증권거래법」에 의한 증권회사에 방문하여 등록한 실명 확인된 본인 명의 계좌로 이체하는 경우

4. 신용카드 대출서비스(현금서비스, 카드론 등)를 실명 확인된 본인명의 계좌로 이체하는 경우

5. 보험회사의 보험금, 대출금 등을 실명 확인된 본인명의의 보험료납입 계좌로 이체하는 경우

6. 그 밖에 감독원장이 필요하다고 승인하는 경우

②금융기관 또는 전자금융업자는 전자금융거래와 관련하여 다음 각 호의 사항을 준수하여야 한다.

1. 전화 등 거래수단 성격상 암호화가 불가능한 경우를 제외한 전자금융거래는 암호화 통신을 할 것(다만, 전용선을 사용하는 경우로서 보안성심의를 받은 경우에는 그러하지 아니하다)

2. 전자금융사고를 예방하기 위하여 비대면 전자금융거래를 허용하지 않는 계좌 개설, 중요거래정보에 대한 문자메시지 및 이메일(e-mail) 통지 등의 서비스를 이용자가 요청하는 경우, 동 서비스를 제공할 수 있도록 시스템을 갖출 것

3. 이용자PC에서의 정보유출을 방지하기 위해 이용자의 접속 시 우선적으로 이용자PC에 개인용 침입차단시스템, 키보드해킹방지 프로그램 등의 보안프로그램을 설치할 것(다만, 고객의 책임으로 본인이 동의하는 경우에는 보안프로그램 해제 가능)

4. 전자금융거래에 사용되는 일회용비밀번호(OTP 포함) 등의 접근매체를 발급받기 위해서는 반드시 본인 실명증표를 확인한 후 교부할 것

5. 전자금융거래수단이 되는 매체와 일회용비밀번호(OTP 포함) 등의 거래인증수단이 되는 매체를 분리하여 사용할 것

6. 비밀번호 개수가 한정된 일회용 비밀번호 사용 시에 비밀번호 입력 오류가 발생하거나 일회용비밀번호를 미입력하고 비정상적으로 거래를 종료하면 다음 거래 시 동일한 지시번호를 요구할 것

③외국계 금융기관은 인터넷뱅킹 업무를 수행하고자 하는 경우 다음 각 호의 사항을 준수하여야 한다.

1. 암호알고리즘, 정보보호 장비는 국제적으로 평가·인증된 제품 사용

2. 일회용비밀번호(OTP)는 프로그램에 의한 방식 허용

3. 기기의 공동이용은 ID, 프로그램, 데이터 등에 대한 등록과 변경에 대하여 국내지점에서 통제할 수 있는 기능이 강화된 경우에 한하여 허용
제30조(이용자 유의사항 공지)

금융기관 또는 전자금융업자는 전자금융거래의 안전한 수행을 위하여 이용자에게 다음 각 호의 사항을 준수하도록 공지하여야 한다.

1. 비밀번호 유출위험 및 관리에 관한 사항

2. 금융회사 및 전자금융업자가 제공하고 있는 이용자 보호제도에 관한 사항

3. 해킹, 피싱 등 전자적 침해 방지에 관한 사항

4. 본인확인 절차를 거쳐 비밀번호 변경이 가능하도록 정보처리시스템을 구축하고 비밀번호 변경 시 같은 번호를 재사용하지 않도록 할 것
제31조(전자금융거래에 있어서 공인인증서 사용 예외)

금융기관 또는 전자금융업자가 수행하는 전자금융거래 중 공인인증서를 사용하지 않고 할 수 있는 전자금융거래는 다음 각 호와 같다.

1. 본인 계좌에 대한 조회 업무

2. 전화, CD/ATM 등과 같이 공인인증서의 설치·운용이 불가능한 수단을 이용한 전자금융거래

3. 등록금, 원서접수비 등 본인확인이 가능하고 입금계좌가 지정되어 있는 경우

4. 전자상거래에서 지급결제로서 30만원 미만의 신용카드 결제 또는 온라인 계좌이체

5. 전자화폐, 선불전자지급수단을 온라인상에서 사용하는 경우

6. 금융기관 등이 범위를 정하여 공인인증서 적용을 제외할 것을 감독원장에게 요청하고 감독원장이 이를 승인하는 경우
제6절 보안성심의
제32조(보안성심의)

①규정 제8조에서 “보안성의 확보가 필수적인 경우로서 감독원장이 정하는 경우”라 함은 다음 각 호와 같다.

1. 전산실을 신규로 설치하는 경우(전산실 이전설치, 주전산기 교체 및 재해복구센터 구축 포함)

2. 내부 정보통신망을 인터넷 등 외부통신망과 연결하는 경우(다만, 금융업무 관련 기관간 협약 등에 의해 전용선으로 접속하는 경우로서 암호화를 하는 경우에는 그러하지 아니하다)

3. 보안장비 및 암호프로그램 등 정보보호시스템(외부통신망 접속을 위하여 사용되는 경우에 한한다)을 도입하는 경우. 다만, 별도로 보안장비 인증을 담당하는 국가기관 또는 감독원장이 인정하는 기관에서 평가·인증·개발·발표하였거나 이에 준하는 것으로 감독원장이 인정한 장비 및 프로그램의 경우에는 그러하지 아니하다

4. 정보처리시스템 업무를 외부주문(핵심업무의 개발 또는 운영 전체를 용역하는 경우에 한하며, 단위업무 용역개발은 제외함) 의뢰하는 경우

5. 외국금융회사의 전산시설에 대한 해외 설치·이전 및 공동이용을 하는 경우

6. 그 밖에 감독원장이 필요하다고 인정하는 경우

②보안성심의 업무절차는 다음과 같다.

1. 보안성검토 대상 업무를 추진할 경우에는 자체 보안심사위원회 심의를 거친 후 금융감독원에 보안성심의를 요청할 것

2. 계획수립단계에서 보안대책을 판단하기 곤란한 경우에는 미리 금융감독원과 사전협의 후 보안성심의를 요청할 것

③금융위원회 이외의 중앙행정기관의 보안산하기관으로 지정되어 해당 행정기관에서 보안성검토를 받고 있는 경우로서 다음 각 호의 기관은 제1항에도 불구하고 감독원장의 보안성심의를 요하지 아니한다. <개정 2008.3.26>

1.「한국산업은행법」에 따른 한국산업은행

2.「중소기업은행법」에 따른 중소기업은행

3.「한국수출입은행법」에 따른 한국수출입은행

4.「한국증권선물거래소법」에 의한 한국증권선물거래소

5.「증권거래법」에 의한 증권예탁결제원

6.「신용보증기금법」에 의한 신용보증기금

7.「기술신용보증기금법」에 의한 기술신용보증기금

8.「우체국예금·보험에 관한 법률」에 의한 체신관서

9.「새마을금고법」에 의한 새마을금고 및 새마을금고 연합회

④금융기관이 규정 제8조에 따라 보안성심의를 요청하는 경우에는 <별지 제1호 서식>에 따른 신청서를 작성하여 감독원장에게 제출하여야 한다.
제3장 전자금융거래의 이용자 보호
제33조(약관의 제정 또는 변경)

규정 제12조제1항제3호에 따른 감독원장이 정하는 약관의 제정 또는 변경이란 다음 각 호의 어느 하나를 말한다.

1. 법령의 개정 또는 금융위원회의 명령에 의한 약관의 변경 <개정 2008.3.26>

2. 이용자의 권익이나 의무사항을 제외한 사항으로서 단순히 업무편의를 위한 약관의 변경

3. 사업자단체의 표준약관을 원용하는 약관의 제정 또는 변경
제4장 허가 및 등록 신청
제34조(예비허가등의 신청)

규정 제15조에 따른 예비허가등을 신청하고자 하는 자는 <별지 제2호 서식> 내지 <별지 제4호 서식> 에 따라 신청서를 작성하여 금융위원회에 제출하여야 한다. <개정 2008.3.26>
제35조(허가등의 신청)

규정 제16조에 따라 허가를 신청하고자 하는 자는 <별지 제5호 서식> 내지 <별지 제7호 서식>에 따라 신청서를 작성하여 금융위원회에 제출하여야 한다. <개정 2008.3.26>
제36조(등록 신청 등)

①법 제28조 및 제29조에 따라 등록을 신청하고자 하는 자는 <별지 제8호 서식>에 따라 등록신청서를 작성하여 감독원장에게 제출하여야 한다.

②법 제34조에 따라 전자금융업의 등록 말소를 신청하고자 하는 자는 <별지 제9호 서식>에 따라 등록말소 신청서를 작성하여 감독원장에게 제출하여야 한다.
제5장 전자금융업무의 감독
제37조(정보기술부문 실태평가 대상 및 방법 등)

①규정 제29조제2항의 정보기술부문 실태평가 대상이 되는 금융기관은 <별표 1>과 같다.

②규정 제29조에 따른 정보기술부문 실태평가는 검사기준일 현재 평가대상기관의 정보기술부문 실태를 IT감사, IT경영, 시스템 개발ㆍ도입ㆍ유지 보수, IT서비스 제공 및 지원의 부문별로 구분 평가하고 부문별 평가결과를 감안하여 종합평가한다.

③ 제2항의 규정에 따른 부문별 세부 평가 항목은 <별표 2>와 같다.

④ 규정 제29조제3항의 평가등급별 정의는 <별표 3>과 같다.
제38조(업무보고서의 제출)

①금융기관 또는 전자금융업자는 제2항에 따른 업무보고서를 분기말 현재로 작성하여 매분기 종료 후 45일 이내에 감독원장에게 제출하여야 한다.

②규정 제33조제3항에 의한 업무보고서의 서식 및 기재사항은 <별지 제10호 서식>에 의한다.
제39조(경영지도비율 산정기준)

규정 제34조제1항에 따른 경영지도비율의 구체적 산정기준은 <별표 4>와 같다.
제6장 보 칙
제40조(정보기술부문 사고보고)

①금융기관 및 전자금융업자가 규정 제44조에 따라 정보기술부문 및 전자금융 사고보고를 하는 경우에는 <별지 제11호 서식>에 따른다.

②금융기관 및 전자금융업자는 정보기술부문 사고의 예방을 위하여 이 세칙에 규정된 사항을 포함하여 정보기술부문 사고예방대책을 자체적으로 수립·운용하여야 한다.

③감독원장은 금융기관 및 전자금융업자 정보처리시스템의 안정적 운영, 해킹·바이러스에 의한 피해 방지, 정보기술부문의 사고보고 등을 담당할 비상연락 담당자를 기관별로 지정할 수 있다.

④금융기관 및 전자금융업자는 비상연락담당자가 변경되는 경우에는 감독원장에게 즉시 보고를 하여야 한다.
부 칙(2006. 12. 28)
제1조(시행일)

이 세칙은 전자금융감독규정(2006.12.22. 금융감독위원회 의결)의 시행일부터 시행한다.
부 칙(2008. 3. 26)
제1조(시행일)

이 세칙은 전자금융감독규정의 시행일(2008.4.7.)부터 시행한다.

<별표 1>정보기술부문실태평가대상금융기관

<별표 2>정보기술부문실태평가부문별평가항목

<별표 3>평가등급별정의

<별표 4>경영지도비율산정기준

<별지 1>보안성심의신청서

<별지 2>전자금융업영위예비허가신청서

<별지 3>전자금융업합병양수양도)예비인가신청서

<별지 4>전자금융업폐지해산)예비인가신청서

<별지 5>전자금융업영위허가신청서

<별지 6>전자금융업합병양수양도)인가신청서

<별지 7>전자금융업폐지해산)인가신청서

<별지 8>전자금융업등록신청서

<별지 9>전자금융업등록말소신청서

<별지 10>전자금융업자업무보고서양식

<별지 11>정보기술부문및전자금융사고보고서