22.10.19_복잡하고 & 어려운 “전자금융 관련 법령 해석” 어떻게 해야 하나?

 

-------------------------------------------------------------------------------------------

오늘의 주제

🤔 (Q1) 법적 요건, 기술적 요건 등 가장 쉽고 & 빠르게 업무에 참고할 수 있는 문서는?

🤔 (Q2) 감독규정 해설서로도 풀리지 않는 건, 어떻게 해야 하나요?

🤔 (Q3) Q2에서 설명한 방식으로 검토를 했는데, 1) 해석이 모호하거나/어렵거나, 2) 법 위반 여부를 판단하기 어려울때는 어떻게 해야 하나요?

🤔 (Q4) 마지막으로, Q3의 방법으로도 판단이 서지 않을때는 어떻게 해야 하나요?

------------------------------------------------------------------------------------------

 

*컨텐츠 작성 배경은?

보안담당자는 개발 등 다수의 협업부서에게 개발, 인프라 등 다양한 부분의 법적 요건 & 기술적 요건 등에 대한 보안성 검토 문의를 받게 됨, 고수들은 잘 알겠지만 보린이들에게 조금이나 도움이 되고자 이 글을 작성함

 

 

 

🤔 (Q1) 법적 요건, 기술적 요건 등 가장 쉽고 & 빠르게 업무에 참고할 수 있는 문서는?

 

✅ (Step1) 가장 먼저 전자금융거래법의 바이블이라고 할 수 있는 (아래 첨부된) 전자금융감독규정 해설서에서 본인이 찾고자 하는 키워드로 검색 (예 : “망분리” 검색)

2017.05_전자금융감독규정_해설서.pdf

3.78MB

 

• 감독규정 해설서는,
  1. 금융 감독기관에서 수년간 문의/답변을 한 내용을 결집
  2. 금융 관련 법/가이드 (전자금융거래법, 시행령, 시행세칙, 감독규정 등)를 한방에 정리한 문서로, 제 경험상 일반적인/비교적 간단한 궁금증은 해소됨

 

 

🤔 (Q2) 감독규정 해설서로도 풀리지 않는 건, 어떻게 해야 하나요?

 

✅ (Step2) 감독규정 해설서로 풀리지 않는 것은, 통상적으로 1)해당 Agenda가 도출된 배경이 특이한 상황이거나 2)해당 Agenda의 검토 결과에 따라 비즈니스 임펙트 or 확실한 가이드를 주어야 하는 상황 등으로 본인이 직접 전금법과 관련된 법령을 검토해야 함

(그럼 전금법 관련 법령이 어디서/어떻게 찾아서, 활용할 수 있는지 알아보겠음)

1. 아래 법령 정보를 참고하여, 검토해야 될 Agenda와 관련된 법 조항을 찾고 → 매핑한다.
   • 전자금융과 관련된 법령(이하 관련 규정)은 아래와 같이 4가지로 구성되어져 있음
     1. 전자금융거래법(클릭)
     2. 전자금융거래법 시행령(클릭)
     3. 전자금융감독규정(클릭)
     4. 전자금융감독규정 시행세칙(클릭)
2. 아래 예시와 같이 (관련 법/시행령/감독규정의 연관 관계를 매핑한 자료를 토대로) 최종 결과를 도출한다.
   • 아래 예시는 제가 쓰는 방식으로 본인의 스타일에 맞게 검토 형식을 만들어도 됨
   • 상황에 따라 법령의 양벌규정 등을 추가하면(해당 법령 미준수 시 받게 되는 과태료/과징금 명시) 회사/의사결정자/유관부서들에게 조금 더 확실한 근거와 논리를 펼칠수 있음

 

<법령 기준의 보안성 검토 예시>

*여기는 스크롤을 빨리 내리세요, 예시가 길어서  ㅜㅜ

보안성 검토 주제	검토 결과	관련 전자금융거래법	관련 전자금융거래법 시행령	관련 전자금융감독규정
개발 Spec/공수 산정과 관련 인프라 스펙 확정/구축을 위해 우리 회사가 “전자금융거래기록을 보존해야 되는 대상과 기간”은?	전자금융거래 기록을 보존해야 되는 대상과 기간은 아래와 같이 2가지 케이스(5년 + 1년)임 아래 기준에 따라, 1) 개발팀은 개발 Spec/공수 산정 잡고 2) 인프라팀은 시스템 스펙 산정/구축 필요 1) 5년 보존 대상 -전자금융거래의 종류 및 금액, 전자금융거래의 상대방에 관한 정보 -전자금융거래의 거래일시, 전자적 장치의 종류 및 전자적 장치를 식별할 수 있는 정보 -전자금융거래가 계좌를 통하여 이루어지는 경우 거래계좌의 명칭 또는 번호 -금융회사 또는 전자금융업자가 전자금융거래의 대가로 받은 수수료 - 해당 전자금융거래와 관련한 전자적 장치의 접속기록 -전자금융거래의 신청 및 조건의 변경에 관한 사항 -건당 거래금액이 1만원을 초과하는 전자금융거래에 관한 기록 2) 1년 보존 대상 -건당 거래금액이 1만원 이하인 전자금융거래에 관한 기록 -전자지급수단의 이용과 관련된 거래승인에 관한 기록 -금융위원회가 정하여 고시하는 거래기록 →오류정정 요구사실 및 처리결과에 관한 사항 →전자금융거래 신청, 조건변경에 관한 내용	제22조(전자금융거래기록의 생성ㆍ보존 및 파기) ①금융회사등은 전자금융거래의 내용을 추적ㆍ검색하거나 그 내용에 오류가 발생할 경우에 이를 확인하거나 정정할 수 있는 기록(이하 이 조에서 “전자금융거래기록”이라 한다)을 생성하여 5년의 범위 안에서 대통령령이 정하는 기간동안 보존하여야 한다. <개정 2013. 5. 22., 2014. 10. 15.> ② 금융회사등은 제1항에 따라 보존하여야 하는 기간이 경과하고 금융거래 등 상거래관계가 종료된 경우에는 5년 이내에 전자금융거래기록(「신용정보의 이용 및 보호에 관한 법률」에 따른 신용정보는 제외한다. 이하 이 항에서 같다)을 파기하여야 한다. 다만, 다음 각 호의 경우에는 그러하지 아니하다. <신설 2014. 10. 15.> 1. 다른 법률에 따른 의무를 이행하기 위하여 불가피한 경우 2. 그 밖에 전자금융거래기록을 보관할 필요성이 있는 경우로서 금융위원회가 정하는 경우 ③제1항 및 제2항에 따라 금융회사등이 보존하여야 하는 전자금융거래기록의 종류, 보존방법, 파기절차ㆍ방법 및 상거래관계가 종료된 날의 기준 등은 대통령령으로 정한다. <개정 2013. 5. 22., 2014. 10. 15.>	제12조(전자금융거래기록의 보존기간ㆍ보존방법 및 파기 절차ㆍ방법 등) ①법 제22조제1항 및 제3항에 따른 전자금융거래기록의 종류별 보존기간은 다음 각 호와 같다. <개정 2008. 2. 29., 2015. 4. 14.> 1. 다음 각 목의 전자금융거래기록은 5년간 보존하여야 한다. 가. 제7조제4항제1호 내지 제5호에 관한 사항 나. 해당 전자금융거래와 관련한 전자적 장치의 접속기록 다. 전자금융거래의 신청 및 조건의 변경에 관한 사항 라. 건당 거래금액이 1만원을 초과하는 전자금융거래에 관한 기록 2. 다음 각 목의 전자금융거래기록은 1년간 보존하여야 한다. 가. 건당 거래금액이 1만원 이하인 전자금융거래에 관한 기록 나. 전자지급수단의 이용과 관련된 거래승인에 관한 기록 다. 그 밖에 금융위원회가 정하여 고시하는 전자금융거래기록 ②금융회사 또는 전자금융업자와 동일한 전자금융거래기록을 생성ㆍ보존하는 전자금융보조업자가 제1항제1호 각 목의 전자금융거래기록을 보존하여야 하는 기간은 같은 호에도 불구하고 3년으로 한다. <개정 2013. 11. 22., 2015. 4. 14.> ③금융회사등은 제1항 및 제2항의 전자금융거래기록을 서면, 마이크로필름, 디스크 또는 자기테이프, 그 밖의 전산정보처리조직을 이용한 방법으로 보존해야 한다. <개정 2013. 11. 22., 2015. 4. 14., 2020. 11. 17.> ④금융회사등은 제3항에 따라 전자금융거래기록을 디스크, 자기테이프, 그 밖의 전산정보처리조직을 이용하여 보존하는 경우에는 「전자문서 및 전자거래 기본법」 제5조제1항 각 호의 요건을 모두 갖추어야 한다. <개정 2012. 8. 31., 2013. 11. 22., 2015. 4. 14.> ⑤ 금융회사등이 법 제22조제2항에 따라 전자금융거래기록을 파기할 때 그 절차와 방법에 관하여는 「개인정보 보호법 시행령」 제16조를 준용한다. <신설 2015. 4. 14.> ⑥ 법 제22조제3항에 따른 상거래관계가 종료된 날의 기준은 금융회사등과 거래상대방 간의 상거래관계가 관계 법령, 약관 또는 합의 등에 따라 계약기간의 만료, 해지권ㆍ해제권ㆍ취소권의 행사, 소멸시효의 완성, 변제 등으로 인한 채권의 소멸, 그 밖의 사유로 종료된 날을 그 기준으로 한다. <신설 2015. 4. 14.>	제38조(금융위원회가 정하는 보관자료 및 거래기록 등)   시행령 제12조제1항제2호다목 에서 "금융위원회가 정하여 고시하는 거래기록"이라 함은 제4조제1호 의 기록을 말한다.
-	-	-	제7조(거래내용의 확인 등) ①금융회사 또는 전자금융업자는 법 제7조제1항에 따라 이용자가 전자적 장치를 통하여 거래내용을 확인할 수 있도록 하는 경우에 전자적 장치의 운영장애, 그 밖의 사유로 거래내용을 확인하게 할 수 없는 때에는 인터넷 등을 이용하여 즉시 그 사유를 알리고, 그 사유가 종료된 때부터 이용자가 거래내용을 확인할 수 있도록 하여야 한다. <개정 2013. 11. 22.> ②금융회사 또는 전자금융업자는 법 제7조제2항에 따라 이용자로부터 거래내용을 서면(전자문서를 제외한다. 이하 같다)으로 제공할 것을 요청받은 경우 전자적 장치의 운영장애, 그 밖의 사유로 거래내용을 제공할 수 없는 때에는 그 이용자에게 즉시 이를 알려야 한다. 이 경우 법 제7조제2항의 거래내용에 관한 서면의 교부기간을 산정함에 있어서 전자적 장치의 운영장애, 그 밖의 사유로 거래내용을 제공할 수 없는 기간은 산입하지 아니한다. <개정 2013. 11. 22.> ③법 제7조제3항에 따른 거래내용의 대상기간은 제12조제1항 각 호에 따른 전자금융거래기록의 보존기간으로 한다. <개정 2015. 4. 14.> ④법 제7조제3항에 따른 거래내용의 종류(조회거래를 제외한다. 이하 이 조에서 같다) 및 범위는 다음 각 호와 같다. <개정 2008. 2. 29., 2013. 11. 22.> 1. 전자금융거래의 종류(보험계약의 경우에는 보험계약의 종류를 말한다) 및 금액, 전자금융거래의 상대방에 관한 정보 2. 전자금융거래의 거래일시, 전자적 장치의 종류 및 전자적 장치를 식별할 수 있는 정보 3. 전자금융거래가 계좌를 통하여 이루어지는 경우 거래계좌의 명칭 또는 번호(보험계약의 경우에는 보험증권번호를 말한다) 4. 금융회사 또는 전자금융업자가 전자금융거래의 대가로 받은 수수료 5. 법 제15조제1항에 따른 지급인의 출금 동의에 관한 사항 6. 그 밖에 이용자의 전자금융거래내용 확인에 필요한 사항으로서 금융위원회가 정하여 고시하는 사항 ⑤금융회사 또는 전자금융업자는 법 제7조제2항에 따른 거래내용의 서면 제공과 관련하여 그 요청의 방법ㆍ절차, 접수창구의 주소(전자우편주소를 포함한다) 및 전화번호 등을 전자금융거래와 관련한 약관(이하 “약관”이라 한다)에 규정하여야 한다. <개정 2013. 11. 22.>	제4조(확인에 필요한 구체적인 거래내용) 시행령 제7조제4항제6호에서 "금융위원회가 정하여 고시하는 사항"이란 다음 각 호를 말한다. 1. 법 제8조에 따른 오류정정 요구사실 및 처리결과에 관한 사항 2. 전자금융거래 신청, 조건변경에 관한 내용

 

 

 

🤔 (Q3) Q2에서 설명한 방식으로 검토를 했는데, 1) 해석이 모호하거나/어렵거나, 2) 법 위반 여부를 판단하기 어려울때는 어떻게 해야 하나요?

 

✅ (Step3-1) Q2의 방식으로 직접 법령을 분석하던 중, 해당 법 조항의 해석이 1)모호하거나, 어려울 경우 → 금융 감독기관에서 운영하는금융규제민원포털(클릭)의 “법령 해석”에서 해당 법령의 정확한 해석/취지 등을 참고한다.

1. 법령 해석이 모호하거나, 어려울 경우,
   • 금융규제민원포털(클릭) 접속 > “법령해석⦁비조치의견서” > “법령해석”으로 진입해서
   • 아래 예시를 참고해서, 해당 Agenda와 최대한 유사한 해석문을 참고한다.

 

✅ (Step3-2) Q2의 방식으로 직접 법령을 분석 후, 자신이 도출한 결과가 1)확신이 없거나 2)회사의 중대한 사안으로 정확한 위법 여부를 재검증하고 있을 경우, “비조치의견서”를 참고한다.

1. 검토 결과에 자신이 없거나, 중대한 사안으로 재검이 필요할 경우,
   • 금융규제민원포털(클릭) 접속 > “법령해석⦁비조치의견서” > “비조치의견서”로 진입해서
   • 위 아래 (Step3-2)의 방법과 동일하게, 해당 Agenda와 최대한 유사한 의견서를 참고한다.

 

 

🤔 (Q4) 마지막으로, Q3의 방법으로도 판단이 서지 않을때는 어떻게 해야 하나요?

 

✅ (Step4-1) Q3까지 모든 방법을 동원했지만, 본인이 원하는 결과 도출 or 정확한 판단이 서지 않을 경우 → (경험상 추천하지는 않지만, 반드시 필요할 경우) 2가지 방식으로 금융 감독기관에 문의할 수 있음

1. 온라인 문의 방법 : 금융규제민원포털에서,
   • 금융규제민원포털(클릭) 접속 > “법령해석⦁비조치의견서” > “요청하기”에서 직접 문의 신청
   • Tip
     • 민원포털에 문의를 하기 위해서, 계정 신청이 필요하며 회사의 공식 계정 or 개인 계정(익명) 다 가능함
     • 문의 신청은 질의요지, 법령해석의 구체적인 사실관계 등 아주 구체적으로 기술해야 함에 따라, 약간의 수고가 따름 (관련 가이드를 아래에 첨부하니, 참고)

익명신청 시 주의사항(게시용F).hwp

0.71MB

•  문의 신청 후, 최대 60일까지 민원포털에서 답변 연기가 가능하여, 사실상 2달 이상이 넘어야 답변을 받을 수 있음
• 민원포털에서 꺼리거나 or 모호한 문의는 유선상으로 전화가 와서 답변을 주는 케이스가 많으며, 문의글 삭제까지 요청하는 케이스가 많음 ㅜㅡ
• (법령상 명쾌한 해석이 되지 않는 문의는) 사실상, 원하는 답변을 얻기 힘들다고 보면 됨

 

2. 오프라인 문의 방법 : 금융감독원에 직접 문의

• 금융감독원 조직도(클릭)을 참고하여, 본인 회사의 권역별 소관팀에 전화 문의 or 이메일 문의를 할 수 있음
• TIP
  • 시간이 촉박할 경우, 금감원에 직접 문의하는 것이 좋으며, (경험상/문의 부서에 따라 다르겠지만) 답변처가 소관 부서이기 때문에 위 금융포털보다는 더 빠르고 & 정확한 피드백을 줌