상품처리계 DB시스템 EOS대응 사업

질의요지

□ 금융회사가 EOS(End of Service) 대응을 위해 핵심업무 시스템을 재구축 및 통합테스트를 수행하면서 데이터 이행 및 정합성 검증 용도*로 내부통제**가 적용된 별도의 영역***에서 미변환된 이용자 정보를 사용하는 것이 전자금융감독규정 제13조제1항제8호에 따른 조치대상에 해당하는지 여부

* 업무특성상 다수 회원/고객사와 연관된 예외적인 데이터 구조가 많아 단순 변환된 개발용 정보로 테스트를 수행할시 데이터 일관성 및 정합성 오류가 과도하게 발생하는 상황

** 테스트 전담인력 승인/지정, 출입통제 및 휴대폰 카메라 봉인, 업무장소 및 전산설비 분리, 비인가 전산장비 및 무선망 통제, 망분리된 전용 PC 사용(보안솔루션 적용), 사용자별 계정 및 권한관리, 정기 보안점검, 데이터 암호화 등 실제 운영시스템에 준하는 수준의 통제를 적용

*** 이용자 정보를 사용하는 운영 영역 및 변환된 정보를 사용하는 개발 영역과 업무공간, 네트워크를 각각 분리하고 접근통제를 적용한 별도의 데이터 이행 및 통합 테스트 영역

회답

아래 내용을 참고하시기 바랍니다.

이유

□ 「전자금융감독규정」 제13조제1항제8호는 테스트시 이용자 정보의 사용을 원칙적으로 금지하고 있고,

◦ 다만, 부하 테스트 등 이용자 정보의 사용이 불가피한 경우 이용자 정보를 변환하여 사용하되 테스트 종료 즉시 삭제하도록 규정하고 있습니다.

□ 동 규정의 취지가 전산자료 유출 방지 및 전자금융거래 안전성 확보라는 점을 고려할 때,

◦ 문의하신 사실관계 하에서 귀 사에 동 규정을 문리적으로 적용하는 것은 오히려 불충분한 테스트로 인한 시스템 안전성 저하를 야기할 수 있으므로 규정 취지와 부합하지 않는 것으로 보입니다.

□ 따라서 귀 사가 데이터 정합성 검증에 필요한 최소한의 범위에서 이용자 정보를 사용한 후 즉시 삭제하는 한편,

◦ 외부주문에 대한 보안관리방안* 및 실제 운영시스템과 동일한 수준의 보안 대책**을 적용하는 등 테스트 영역에서의 정보유출을 방지하기 위한 적절한 내부통제기준을 적용한 경우 「전자금융감독규정」 제13조제1항제8호 위반으로 조치하지 않습니다.

* 전자금융감독규정 제60조제1항제7호 및 동 시행세칙 제9조의2제1항

** 비인가 전산장비·무선통신 접속 통제, 해킹 방지대책, 악성코드 감염 방지 대책, 사용자 권한 및 비밀번호 설정·운영, 이용자 비밀번호 암호화 등