1.
2013년 6월 금융위원회는 금융회사의 정보처리 및 전산설비 위탁에 관한 규정(안)을 최종 확정하여 발표하였습니다. 한미FTA 때 쟁점이었던 국외 위탁도 이 규정이 포함하고 있습니다.
전산설비의 국외위탁
규정 제4조는 금융회사가 정보처리 관련 설비를 금융위원회 승인을 얻어 국외의 본점∙지점 또는 계열사에 위탁할 수 있도록 함으로써 원안에는 포함되어 있지 않았던 국외 지점에의 위탁을 허용하였으나, 금융이용자 보호 및 감독기능 수행을 위해 필요한 금융거래 원장 등 주요 설비에 대해서는 위탁을 제한할 수 있도록 하였습니다.
한편, 금융위원회가 국외위탁을 제한할 수 있는 전산설비의 범위는 원안과 거의 동일하게 다음과 같이 규정하고 있습니다(규정 제6조 제2항).• 금융이용자의 보호 및 금융감독 목적상 필요한 금융거래 관련 원장
• 금융이용자에 대한 서비스와 직접적으로 관련이 있는 업무를 처리하는 설비(다만, 금융이용자군 및 취급상품의 특성상 국경간 이동서비스가 불가피하다고 인정되는 업무를 처리하는 설비는 제외),
• 국내 외부기관과 연결되어 있어 해외에 두기 부적합한 전산설비,
• 해외에 두는 경우 금융이용자에 대한 서비스 품질, 보안성 및 재해 복구 시간 등 관련 법령에서 정한 요건을 준수하지 못하게 되는 전산설비,
• 상기 각 호의 전산설비를 지원하는 데이터 네트워킹 기반 시설 및 전산보안설비
이 때 금융위원회가 발표한 보도자료와 규정입니다.
2.
이후 2013년 말 외국계 은행이 요구하여 상세한 안내서를 만들었습니다. 아래는 배경입니다.
금융위는 지난해 12월 27일 ‘금융회사의 정보처리 및 전산설비 위탁에 관한 규정’(정보처리위탁규정) 안내서를 만들었다. 이 안내서는 지난해 6월 제정된 정보처리위탁규정 중 해석이 필요한 부분에 대한 적용원칙을 설명하기 위한 것이다. 한·유럽연합(EU) 자유무역협정(FTA), 한·미 FTA는 협정 발표 뒤 2년 이내에 외국계 금융회사가 업무수행에 필요한 정보처리 업무를 유럽이나 미국의 본·지점 및 계열사에 위탁할 수 있도록 규정하고 있다. 한국 정부가 관련 규정을 준비할 수 있도록 2년간 유예기간을 둔 것이다. 이들 협정에 따라 금융위는 한·EU FTA 발효 2년(2013년 7월 1일)이 되기 전인 지난해 6월 정보처리위탁규정을 만들었다.
하지만 외국계 금융회사들은 “정보처리위탁규정이 모호해 투명성과 예측 가능성이 떨어진다”며 구체화를 요구했고, 금융위는 후속조치로 안내서를 만든 것이다. 웬디 커틀러 미국 무역대표부(USTR) 부대표 대행은 지난해 12월 한국이 환태평양경제동반자협정(TPP)에 참여하려면 재위탁 허용 범위를 확대해야 한다고 압박하기도 했다.정보처리위탁규정 안내서를 살펴보면 외국계 금융회사의 규제완화 요구가 일정 부분 반영됐다. 금융위가 지난해 4월 발표한 정보처리위탁규정 예고안은 정보처리 재위탁을 전면 금지하고 있다.
예를 들어 씨티은행은 미국 본사로 금융정보 처리를 위탁한 뒤 그 업무를 인텔, IBM 등 정보기술(IT) 전문회사에 재위탁할 수 없다. 개인정보 유출사고가 위탁업체의 범죄행위 등으로 발생하는 일이 잦다는 점을 고려한 것이다.한국스탠다드차타드(SC)은행의 전산프로그램 개발업무를 맡은 위탁업체 직원이 보안프로그램을 해제하고, 고객 10만4000여명의 정보를 빼돌렸다는 사실이 지난해 말 검찰 수사로 적발되기도 했다.
하지만 두 달 뒤 의결된 정보처리위탁규정은 예고안보다 후퇴했다. ‘금융 이용자 보호, 금융감독 권한 행사 가능성을 저해하지 않는 범위 내에서 금융감독원장이 인정하는 경우에는 재위탁할 수 있다’고 규정하고 있기 때문이다.안내서는 ‘정보처리를 하는 전산장비·소프트웨어에 대한 운영 및 유지관리 업무는 재위탁이 가능하다’고 규정을 구체화하고 있다.
또 재위탁을 받을 수 있는 곳으로 국내 IT 전문회사 및 글로벌 IT 전문회사 등을 명시하고 있다. 전문성과 기술력·보안성 등을 심의한다고 하지만 아무래도 재위탁이 이뤄질 경우 개인정보에 접근할 수 있는 사람이 많아져 보안상 문제가 발생할 가능성이 있다.
외국계 금융회사 요구 반영해 해외위탁 전산설비·정보처리 재위탁 범위 확대중에서
3.
흔히 외국계은행만 국외위탁에 관심이 많을 듯 하지만 위의 규정은 모든 외국계 금융회사에 적용할 수 있습니다. 이 때문인지 금융투자협회가 관련한 세부 규정을 내놓았습니다.
앞으로 국내 증권회사들의 전산시스템을 인도의 전산회사에 위탁하거나 중국의 전산회사에 위탁하는 일이 생길 수 있을까요?