금융회사에서 종사하고 계신 분들이라면 정보기술부문 계획서 작성의 중요성을 잘 알고 계실 것입니다. 특히 2025년 2월 5일 시행된 전자금융감독규정 개정으로 새로운 양식과 절차가 도입되면서, 정확한 이해와 준비가 그 어느 때보다 중요해졌습니다. 이번 포스트에서는 금융회사 담당자들이 꼭 알아야 할 정보기술부문 계획서 작성의 모든 것을 체계적으로 살펴보겠습니다.
1. 2025년 전자금융감독규정 개정 배경과 핵심 변화
2025년 2월 5일부터 시행된 전자금융감독규정 개정은 금융보안 규제의 패러다임을 완전히 바꾸었습니다. 기존의 규칙(Rule) 중심에서 원칙(Principle) 중심으로 전환되면서, 금융회사의 자율적 판단 영역이 크게 확대되었습니다.
금융위원회 발표 자료에 따르면, 293개에 달했던 세세한 행위규칙이 166개로 대폭 축소되었습니다. 이는 금융회사가 새로운 리스크에 더욱 유연하게 대응할 수 있도록 하려는 규제 당국의 의지를 보여줍니다.
이번 개정에서 정보기술부문 계획서 관련 규정도 크게 변화했습니다. 전자금융감독규정 제36조의2가 신설되면서 정보기술부문 계획서 제출 절차가 명확히 규정되었고, 시행세칙에는 별지 제8호 서식으로 새로운 양식이 도입되었습니다.
변화된 내용
| 구분 | 개정 전 | 개정 후 |
|---|---|---|
| 규제 방식 | 규칙(Rule) 중심 | 원칙(Principle) 중심 |
| 행위규칙 수 | 293개 | 166개 |
| 계획서 근거 규정 | 미비 | 제36조의2 신설 |
| 양식 | 별도 규정 없음 | 별지 제8호 서식 신설 |
2. 정보기술부문 계획서 제출 의무와 대상
전자금융거래법 시행령 제11조의3에 따라 정보기술부문 계획서를 제출해야 하는 기관은 명확히 정해져 있습니다.
제출 대상기관 분류
| 기관 유형 | 기준 | 비고 |
|---|---|---|
| 대형 금융회사 | 총자산 2조원 이상 + 상시 종업원 수 300명 이상 | 주요 은행, 보험회사 등 |
| 중앙회 | 수협, 산림조합, 신협, 상호저축은행, 새마을금고 중앙회 | 규모와 무관하게 적용 |
| 전자금융업자 | 일정 규모 이상 | 시행령에서 구체적 기준 규정 |
중요 주의사항: 상시 종업원 수는 소득세법에 따른 원천징수의무자가 근로소득세를 원천징수한 자를 기준으로 산정합니다.
제출 일정 및 절차
| 항목 | 세부 내용 |
|---|---|
| 제출 시기 | 매 사업연도 초일부터 3개월 이내 |
| 제출 방법 | 금융감독원장이 정하는 바에 따른 절차 |
| 필수 첨부서류 | 정보보호위원회 심의·의결서 사본 |
| 사용 양식 | 전자금융감독규정 시행세칙 별지 제8호 서식 |
3. 정보기술부문 계획서 구성과 작성 가이드(전자금융감독규정 시행세칙 별지 제8호 서식)
2025년 개정으로 새롭게 도입된 별지 제8호 서식은 기존보다 훨씬 체계적이고 구체적인 내용을 요구합니다. 각 섹션별 작성 요령을 상세히 살펴보겠습니다.
3-1. 기본정보 작성 요령
제출일 작성법
- 매 사업연도 초일부터 3개월 이내 제출 필요
- 정확한 제출 날짜 기재 (예: 2025년 3월 15일)
대상 기간 설정
- 해당 사업연도 전체 기간 명시
- 사업연도 결산월에 따라 기간 조정
- 예: 12월 결산법인의 경우 2025년 1월 1일 ~ 2025년 12월 31일
정보보호위원회 심의·의결일
- 반드시 사전에 정보보호위원회 심의·의결을 거쳐야 함
- 해당 일자를 정확히 기재
3-2. 추진목표 및 전략 작성 방법
추진목표 설정 시 고려사항
- 구체적이고 측정 가능한 목표 설정
- 회사의 전략적 방향성과 일치
- 디지털 전환, 보안 강화, 시스템 안정성 확보 등 핵심 영역 포함
- 전년도 미완료 과제와의 연계성 고려
추진전략 수립 방법
- 목표 달성을 위한 구체적 방법론 제시
- 단계별 실행 계획 수립
- 예상되는 리스크와 대응 방안 마련
- 정량적 성과 측정 지표 포함
3-3. 전년도 실적 작성 방법
| 구분 | 프로젝트명 | 수행 기간 | 상세 추진 내용 | 이행여부 |
|---|---|---|---|---|
| 정보기술 | (구체적 프로젝트명) | ‘OO년 O월~O월 | (상세 내용 기술) | 완료/미완료 |
| 정보보안 | (구체적 프로젝트명) | ‘OO년 O월~O월 | (상세 내용 기술) | 완료/미완료 |
미완료 프로젝트 처리
- 양식에서 요구하는 대로 미완료 사유를 상세 추진내용에 함께 작성
- 당해연도 계획과의 연계성 제시
- 향후 추진 계획 포함
3-4. 당해연도 계획 작성 방법
| 구분 | 프로젝트명 | 수행 기간 | 세부실행계획 | 비고 |
|---|---|---|---|---|
| 정보기술 | (신규 프로젝트) | ‘OO년 O월~O월 | (구체적 실행계획) | (특이사항) |
| 정보보안 | (신규 프로젝트) | ‘OO년 O월~O월 | (구체적 실행계획) | (특이사항) |
세부실행계획 작성 요소
- 프로젝트별 구체적 일정 및 마일스톤
- 예상 소요 예산 및 자원 배분
- 기대 효과 및 성과 지표
- 담당 조직 및 책임자
- 외부 업체 활용 계획
3-5. 조직구성 및 인력현황 작성 요령
조직구성도 작성 필수사항 양식에서 요구하는 내용:
- 정보기술부문 조직현황(조직도 포함)
- CIO, CISO 및 겸직여부 등 조직관련 규정 준수 여부 표기
- 회사 자산, 인력 등 근거 표기
인력현황 작성표 (양식 기준)
| 총 임직원수 | 정보기술부문 | 정보보호부문 | ||
|---|---|---|---|---|
| 인력수 | 비율 | 인력수 | 비율 | |
| OOO명 | OO명 정규직 : OO명 계약직 : OO명 외주인력 : OO명 |
O.O% | OO명 정규직 : OO명 계약직 : OO명 외주인력 : OO명 |
O.O% |
3-6. 예산계획 작성 방법
| 구분 | 직전 연도 집행액 | 당해 연도 예산편성액 |
|---|---|---|
| 총 예산 | ||
| 정보기술관련 예산 | ||
| 정보기술관련 인건비 | ||
| 정보처리시스템 구입비 및 임차료 | ||
| 정보처리시스템 유지보수비 | ||
| 정보기술서비스 이용료 | ||
| 정보기술 외주 용역비 | ||
| 정보기술 컨설팅 비용 | ||
| 정보기술 교육, 훈련비 | ||
| 통신회선 이용료 | ||
| 정보보안관련 예산 | ||
| 정보보호관련 인건비 | ||
| 정보보호시스템 구입비 및 임차료 | ||
| 정보보호시스템 유지보수비 | ||
| 정보보호서비스 이용료 | ||
| 정보보호 외주 용역비 | ||
| 정보보호 컨설팅 비용 | ||
| 정보보호 교육, 훈련비 | ||
| 정보보호 관련 통신회선 이용료 |
4. 정보기술부문 계획서 제출을 위한 정보보호위원회 심의·의결 절차
개정된 전자금융감독규정 제8조의2에 따르면, 정보기술부문 계획서는 반드시 정보보호위원회의 심의·의결을 거쳐야 합니다.
정보보호위원회 구성
- 위원장: 정보보호최고책임자(CISO)
- 위원: 정보보호업무 관련 부서장, 전산운영 및 개발 관련 부서장, 준법업무 관련 부서장 등
심의·의결 주요 사항 (규정 제8조의2 제3항)
- 법 제21조제4항에 따른 정보기술부문 계획서에 관한 사항
- 법 제21조의2제4항제1호에 관한 사항
- 법 제21조의3에서 정한 취약점 분석·평가 결과 및 보완조치의 이행계획에 관한 사항
- 전산보안사고 및 전산보안관련 규정 위반자의 처리에 관한 사항
- 제14조의2제1항의 클라우드컴퓨팅서비스의 이용에 관한 사항
이사회 보고 요건 규정 제8조의2 제4항에 따라, 정보보호최고책임자가 전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미친다고 판단하는 심의·의결사항에 대해서는 이사회에 보고해야 합니다.
5. 정보기술부문 계획서 제출 및 관리 절차
5-1. 제출 절차
제출 방법 및 요건
- 전자금융감독규정 제36조의2에 따른 세부 절차 준수
- 별지 제8호 서식 사용 필수
- 정보보호위원회 심의·의결서 사본 첨부 (양식에서 명시)
- 금융감독원 업무보고서 보고 시스템(금융정보교환망)을 통하여 제출
5-2. 제출 후 관리
감독기관 평가 전자금융감독규정 제36조의2 제2항에 따르면, “금융위원장은 금융감독원장으로 하여금 정보기술부문 계획서의 적정성 등을 평가한 후 관련보고서를 제출하게 할 수 있다”고 규정되어 있습니다.
지속적 관리 방안
- 계획 이행 상황 정기 점검
- 분기별 진도 관리 및 이슈 대응
- 차년도 계획 수립 시 당해연도 성과 반영
5-3. 작성 시 주의사항
필수 준수사항
- 전자금융감독규정 제36조의2 제1항: “현실적이고 실현 가능한 장·단기 정보기술부문 계획을 매년 수립·운용하여야 하며”
- 정보보호위원회 사전 심의·의결 필수
- 시행세칙 별지 제8호 서식 준수
2025년 전자금융감독규정 개정으로 도입된 새로운 정보기술부문 계획서 제출 제도는 금융회사의 자율적 보안 체계 구축을 위한 중요한 기반이 됩니다. 규칙 중심에서 원칙 중심으로의 전환이라는 큰 흐름 속에서, 각 금융기관은 자신만의 특성과 환경에 맞는 정보기술 전략을 수립하고 실행해야 합니다.
정보기술부문 계획서는 단순한 규제 대응 문서가 아니라, 회사의 디지털 전환과 보안 강화를 위한 로드맵이자 실행 계획서입니다. 실제 양식과 규정을 바탕으로 체계적인 계획서를 작성하는데 이 포스트가 도움이 되셨으면 합니다. 🙂
참고자료
주요 법령 및 규정
관련 기관 정보