외부의 오픈소스를 DMZ 구간으로 이동시켜 취약점 검사 후 내부망 반입 여부를 결정 및 관리하는 ‘오픈소스 반입 관리 시스템’ 서비스를 제공할 예정에 있는 고객사에게 이와 관련한 법률 자문을 제공하였습니다. 이와 관련하여 구체적으로, 고객사에게 오픈소스 반입 관리 시스템이 전자금융감독규정에 따른 망분리 규제에 위반되는지 여부 및 규제 적용을 받지 않을 수 있는 방법이 있는지 여부 등에 대해서 자문을 제공했습니다.
DMZ에 있는 중계서버를 통한 오픈소스 전송 관련하여 금융위원회가 제공하는 비조치의견서의 내용 등을 종합적으로 검토하면, 내부망의 ‘취약점 관리 서버’가 DMZ에 있는 ‘중계서버’를 통하여 클라우드 또는 인터넷망에 위치한 ‘취약점 점검 서버’와 통신하는 것은 정확하고 신속한 취약점 점검을 위해 업무상 불가피하게 허용되는 경우로서 망분리 예외 적용이 가능할 것으로 생각되며 이에 대한 법률 의견을 제공했습니다. 다만, 취약점 점검 서버와의 통신 목적이 아닌, 단순 소스코드 전송 목적으로 DMZ에 위치한 서버를 통해 내부망의 형상관리서버로 전송하는 것은 망분리 규정 위반에 해당될 가능성이 높으며, 따라서 오픈소스의 취약점 점검 목적으로 내부망이 DMZ를 통하여 외부 클라우드와 통신하는 것은 허용되지만, DMZ를 통한 단순 소스코드 전송 목적의 통신은 허용되지 않는 것으로 판단된다는 점에 대한 법률 자문을 드렸습니다. 아울러, 단순히 정보 접근 및 취득의 편의를 위해서는 망분리의 예외가 적용되지 않는다는 것이 금융위원회의 입장인데, 이에 대한 구체적인 법리 및 의견을 정리하여 고객사에게 제공하였습니다.
한편, 전자금융감독규정 등을 종합적으로 검토할 때 고유식별정보(주민등록번호, 여권번호 등 개인식별정보 중 특별히 식별성이 높은 정보) 및 개인신용정보의 처리가 발생하지 않는 연구개발 목적의 정보처리시스템 단말기를 통해 외부 통신망과 접속하는 것은 망분리 규제의 예외로 허용되며 이에 그러한 연구개발 목적의 단말기와 외부 클라우드가 통신하면서 소스코드를 전송 받을 수 있지만, 이 경우에도 해당 단말기와 연구개발 목적 이외의 내부망 간에는 동일한 망분리 규제가 적용되기 때문에 주의해야 한다는 점에 대하여 자문을 제공하였습니다. 또한, 2020년 4월 카카오뱅크의 ‘금융기술연구소’가 혁신금융서비스로 지정 받아 망분리 규제 특례를 부여받은 사례가 있다는 점과 이에 대한 구체적인 내용을 고객사에게 제공하였고, 이를 통해서 망분리 관련 규제를 우회하는 방안으로서 금융 규제샌드박스를 통한 혁신금융서비스 지정을 고려할 수 있다는 점에 대해서 설명드렸습니다.
DMZ에 있는 중계서버를 통한 오픈소스 전송 관련하여 금융위원회가 제공하는 비조치의견서의 내용 등을 종합적으로 검토하면, 내부망의 ‘취약점 관리 서버’가 DMZ에 있는 ‘중계서버’를 통하여 클라우드 또는 인터넷망에 위치한 ‘취약점 점검 서버’와 통신하는 것은 정확하고 신속한 취약점 점검을 위해 업무상 불가피하게 허용되는 경우로서 망분리 예외 적용이 가능할 것으로 생각되며 이에 대한 법률 의견을 제공했습니다. 다만, 취약점 점검 서버와의 통신 목적이 아닌, 단순 소스코드 전송 목적으로 DMZ에 위치한 서버를 통해 내부망의 형상관리서버로 전송하는 것은 망분리 규정 위반에 해당될 가능성이 높으며, 따라서 오픈소스의 취약점 점검 목적으로 내부망이 DMZ를 통하여 외부 클라우드와 통신하는 것은 허용되지만, DMZ를 통한 단순 소스코드 전송 목적의 통신은 허용되지 않는 것으로 판단된다는 점에 대한 법률 자문을 드렸습니다. 아울러, 단순히 정보 접근 및 취득의 편의를 위해서는 망분리의 예외가 적용되지 않는다는 것이 금융위원회의 입장인데, 이에 대한 구체적인 법리 및 의견을 정리하여 고객사에게 제공하였습니다.
한편, 전자금융감독규정 등을 종합적으로 검토할 때 고유식별정보(주민등록번호, 여권번호 등 개인식별정보 중 특별히 식별성이 높은 정보) 및 개인신용정보의 처리가 발생하지 않는 연구개발 목적의 정보처리시스템 단말기를 통해 외부 통신망과 접속하는 것은 망분리 규제의 예외로 허용되며 이에 그러한 연구개발 목적의 단말기와 외부 클라우드가 통신하면서 소스코드를 전송 받을 수 있지만, 이 경우에도 해당 단말기와 연구개발 목적 이외의 내부망 간에는 동일한 망분리 규제가 적용되기 때문에 주의해야 한다는 점에 대하여 자문을 제공하였습니다. 또한, 2020년 4월 카카오뱅크의 ‘금융기술연구소’가 혁신금융서비스로 지정 받아 망분리 규제 특례를 부여받은 사례가 있다는 점과 이에 대한 구체적인 내용을 고객사에게 제공하였고, 이를 통해서 망분리 관련 규제를 우회하는 방안으로서 금융 규제샌드박스를 통한 혁신금융서비스 지정을 고려할 수 있다는 점에 대해서 설명드렸습니다.