안녕하세요. 앤앤에스피입니다.
금융산업은 지금 생성형 AI, 데이터 분석, 협업 자동화 중심으로 빠르게 재편되고 있습니다. 문서 작성, 화상회의, 인사·성과관리 시스템까지 대부분이 SaaS 형태로 제공됩니다.
이제 SaaS는 편의 기능이 아니라 업무 인프라입니다.
그러나 문제는 구조였습니다.
SaaS는 본질적으로 '내부 업무망 ↔ 외부 클라우드 서버 간 데이터 교환'을 전제로 합니다.
이 구조는 전자금융거래법상 망분리 규제와 충돌합니다. 그동안 금융회사는 규제 샌드박스(혁신금융서비스) 지정을 받아야만 제한적으로 SaaS를 사용할 수 있었습니다.
이에 금융당국은 2024년 8월 「금융분야 망분리 규제 개선 로드맵」을 발표했고, 샌드박스 성과가 검증된 영역부터 단계적으로 제도화하겠다고 밝혔습니다. 2026년 1월, 금융위원회와 금융감독원은 내부 업무망에서 SaaS를 활용할 수 있도록 하는 「전자금융감독규정 시행세칙」 개정안을 사전 예고했습니다.
SaaS 허용하지만 아무 SaaS나 되는 것은 아니다
이번 개정안에 따르면 금융회사는 원칙적으로 별도 샌드박스 지정 없이 내부 업무에 SaaS 활용이 가능해졌습니다. 하지만 예외도 분명합니다. 고유식별정보와 개인신용정보 처리는 여전히 예외 대상에서 제외됩니다. 민감 정보 영역은 기존 규제가 유지됩니다.
그리고 더 중요한 부분은 '허용 조건'입니다. 금융회사는 다음을 반드시 갖춰야 합니다.
내부 업무망과 외부 SaaS 사이에 생기는 데이터 이동 통로를 얼마나 통제할 수 있는가가 규제 대응의 본질이 됐습니다.
규제 패러다임의 변화: 형식에서 실질로
이번 변화는 단순한 규제 완화가 아닙니다. 금융회사가 자체적으로 위험성을 평가해 보안 통제를 설계하고 운영하라는 것입니다.
과거에는 망을 물리적으로 나누었는가만 물었습니다.
앞으로는
- 통제가 실질적으로 작동하는가?
- 리스크 평가가 이루어졌는가?
- CISO 거버넌스가 작동하는가?
- 로그와 증빙이 남는가?
즉, 망분리 → 실질적 통제 중심으로의 전환입니다.
감독당국은 향후 별표7(망분리 대체 정보보호통제)를 통해 ✅ 통제의 실질 이행 여부 ✅내부 보안 거버넌스 작동 실효성 ✅ SaaS 리스크 관리 체계를 중심으로 점검할 가능성이 높습니다. 또한 상세 대응요령을 담은 보안 해설서도 별도로 마련될 예정입니다.
개정안의 기술적 해석
개정안의 요구를 기술적으로 해석해 봤습니다.
이 모든 질문은 결국 '통로를 관리할 수 있는가'로 귀결됩니다.
이 지점에서 CDS(Cross Domain Solution)의 의미가 분명해집니다.
CDS는 서로 다른 보안 영역 사이에 통제된 통로를 만드는 기술입니다. 연결을 차단하는 것이 아니라, 연결을 규율 가능한 구조로 바꾸는 것입니다.
이번 시행세칙이 요구하는 통제는 사실상 모두 '통로 통제'입니다.
SaaS 도입의 핵심은 SaaS 자체가 아니라, 그 앞단의 구조 설계에 있습니다.
앤앤에스피의 접근 방식: 정책·기술·운영을 하나로
앤앤에스피 '앤넷CDS'는 내부망과 외부 SaaS 사이의 통로를 '설명 가능한 구조'로 만드는 데 초점을 둔 솔루션입니다.
앤앤에스피의 접근은 세 단계로 정리됩니다.
1️⃣ 정책 – 데이터 등급에 따라 허용 범위를 명확히 구분
2️⃣ 기술 – 이동 경로와 접근 권한을 구조적으로 통제
3️⃣ 운영 – 모니터링, 로그, 감사 증빙까지 자동화
특히, 단순 연결이 아니라, 규정에 맞게 설계된 연결을 구현합니다. 이미 금융권 시범사업을 통해 현장 검증을 마쳤고, 실제 운영 환경에서 정책-기술-운영이 일체화된 구조로 적용되고 있습니다.
이제는 연결을 관리하는 시대입니다.
SaaS 도입의 성패는 기능이 아니라 통제 구조에서 갈립니다. 지금이야말로 보안 기준선을 높이면서 SaaS 활용을 확장할 수 있는 전략적 타이밍입니다.
앤앤에스피는 금융권이 안전한 연결과 운영을 구현할 수 있도록 함께하겠습니다.
👉 nNetCDS 도입과 PoC 상담이 필요하시면 언제든 연락주십시오.
감사합니다.
![[앤앤에스피] 사이버 서밋 코리아 2025에서 만나요!의 썸네일 이미지](https://cdn.maily.so/wrdo1u9t6k0o18klo9v63jg5tv73)
의견을 남겨주세요