베트남 금융과 IT혁신 4편

4편 베트남 금융법과 클라우드 사용

2021년 베트남 중앙은행 (SBV)는 금융기업이 클라우드를 사용하는데 제제를 하지 않겠다고 발표를 하였습니다. 단, 중앙은행이 규정하는 바를 이행하고 정기적인 보고와 감사를 받아야 한다는 전제입니다. 

No Restriction to use Cloud Service, provided that they comply with applicable legal and regulatory requirements.

베트남에서 클라우드를 사용하기 가장 민감하고 까다로운 기관은 금융사, 의료, 미디어 회사입니다. 이 기관들은 베트남 국가의 경제, 국민의 건강, 문화 & 언론과 직접적인 관련이 있기에 다른 나라들과 유사하게 베트남 정부가 나서서 디지털 주권(Digital Sovereignty)을 강력하게 주장하고 있습니다. 

또한 베트남은 사회주의 국가이고 베트남 내에 해외 클라우드 (퍼블릭 클라우드)가 아직 입접하고 있지 않는 특수한 상황과 강력한 국내법이 존재하는 환경입니다. 

이번 베트남 금융과 IT혁신 4편에서는  베트남의 3가지 영역 (금융, 의료, 미디어)에 가장 큰 영향력을 미치고 있는 베트남 중앙은행법, 사이버보안법에 대해 간단히 살펴보겠습니다. 

| 베트남 중앙은행법

베트남 중앙은행법은 2020년 9월에 발표된 은행 운영을 위한 정보 시스템과 보안 시행령 (Circular 09/2020/TT-NHNN)을 발표하였으며 이는 주요 베트남 은행, 신용정보 회사, 대출업, 보험, 외국계 은행에 적용되고 있습니다.  

SBV Circular 09/2020의 주요 핵심 내용 (출처: 김도연)

---------------------------------------------------------------------------------------------------------------------

33조 제 3자 (금융기관) 이 IT서비스를 사용하기 위한 조건

금융사가 3급 이상의 정보시스템 및 고객의 개인정보를 처리하기 위해서는 각 금융기관은 IT 리스크 및 운영의 위험성을 평가해야 한다. 

34조 제 3자 (금융기관)이 클라우드 사용을 위한 조건

금융기관이 사용하는 클라우드 제공자는 국제 정보 보안의 승인을 받아야 한다. 

---------------------------------------------------------------------------------------------------------------------

퍼블릭 클라우드가 지원하는 국제 정보 보안 인증은 Global compliance는 아래와 같습니다. 

퍼블릭 클라우드를 지원하는 국제 보안 인증

또한 각국의 나라와 유럽 연합에서 준수하는 클라우드, 데이터 보관/관리 규정도 준수해야 합니다.  

Law, Regulations & Privacy - Cloud Act (US), CISPE (EU), GDPR (EU), PDPA (Singapore)

중앙은행이 규정하는 클라우드 이용에 대한 조건은 아래 35조에 명시되어 있습니다.

---------------------------------------------------------------------------------------------------------------------

35조. 클라우드 서비스 이용계약 조건

a) 제3자 금융기관은 계약 유효 기간 동안 독립적인 감사 기관이 매년 실시하는 정보 기술 규정 준수 감사에 대한 보고서를 제출해야 한다.

b) 제3자 금융기관은 클라우드 서비스 품질을 제어하기 위한 도구와 클라우드 서비스 품질을 모니터링하고 제어하기 위한 절차를 제공해야 한다.

c) 제3자는 금융기관은 해당 기관에 서비스를 제공하는 베트남 영토 밖의 데이터 센터를 설립할 위치(도시 또는 국가)를 명확하게 지정해야 한다.

d)데이터 보호에 대한 책임과 제3자로부터 기관으로의 서비스 배포 채널을 통한 데이터에 대한 무단 액세스 방지를 정의해야 한다.

제3자는 법률 규정에 따라 베트남 규제 당국의 요청에 따라 수행되는 조사를 지원하고 협력해야 한다.

e)기관의 데이터는 제3자가 제공한 동일한 기술 기반으로 사용되는 다른 고객의 데이터와 분리되어야 한다. 

---------------------------------------------------------------------------------------------------------------------

| 베트남 사이버 보안법

베트남 사이버 보안법 시행령 수정 법률이 2022년 8월 15일 공표가 되었고, 2022년 10월 1일부터 베트남에서 공식 시행이 되었습니다.

사이버 보안법은 베트남 공안부 (Ministry of Public Security)에서 주관하고 향후 베트남에 진출한 외국계 기업을 대상으로 대대적인 단속을 시작할 것으로 예상됩니다. 

이는 베트남 정부가 외국계 기업에게 소프트웨어 불법 단속을 주로 실시하는 것과 비슷한 맥락이며 초기 주요 단속 대상이 베트남에 아직 정식 법인이 없는 글로벌 기업 (Google, Netflix, Facebook 등)으로 예상됩니다.  

사이버 보안법 시행령 (Decree No 53) 주요 핵심 (출처: 김도연)

베트남 사이버 보안법 시행령 (Decree No 53) 핵심 내용은 26조와 27조에 주로 명시되어 있습니다. 

---------------------------------------------------------------------------------------------------------------------

제26조. 데이터 보관소, 베트남 지점 또는 대표 사무소

1. 데이터는 베트남에 저장되어야 합니다.

a) 베트남 서비스 사용자의 개인 정보에 관한 데이터

b) 베트남 서비스 이용자가 생성한 데이터: 서비스 계정명, 서비스 이용 시간, 신용카드 정보, 이메일 주소, 등록된 네트워크 주소(IP) 최근 로그인, 로그아웃, 계정 또는 데이터와 연결된 등록된 전화번호

..

3. 데이터 저장, 외국 기업의 베트남 지사 또는 대표 사무소 설립:

a) 다음 분야 중 하나에서 베트남에서 사업을 수행하는 외국 기업: 통신 서비스; 사이버 공간에서 데이터 저장 및 공유; 베트남의 서비스 사용자에게 국내 또는 국제 도메인 DNS 이름을 제공합니다. 전자상거래; 온라인 결제; 지불 중개자; 사이버 공간을 통한 운송 연결 서비스; 소셜 네트워크 및 소셜 미디어; 온라인 비디오 게임; 메시지, 음성통화, 화상통화, 이메일, 온라인 채팅 등 사이버 공간에서 기타 정보를 제공, 관리 또는 운영하는 서비스는 본 조 1항에 명시된 데이터를 저장하고 베트남에 지점 또는 대표 사무소를 설립해야 한다.

 

기업이 제공하는 서비스가 공안부 산하 (The Ministry of Public Security) 사이버 보안 및 첨단 범죄 예방 부서 (Department of Cybersecurity and High-tech Crime Prevention) 에서 사용하는 사이버 보안에 관한 법률을 위반하는 행위에 사용되는 경우 조정, 예방, 조사를 요청하고 통지해야 합니다. 서면으로 처리하되, 사이버보안 전문 조직이 시행한 사이버보안 보호 조치를 준수하지 않거나, 완전히 준수하지 않거나, 예방, 방해, 무력화 또는 효과를 상실하는 행위

b) 불가항력으로 인해 외국 기업이 사이버 보안에 관한 법률의 요구 사항을 준수하지 않는 경우 외국 기업은 영업일 기준 3일 이내에 사이버 보안 및 첨단 범죄 예방 및 통제 부서에 통보하여 확인해야 한다. 불가항력의 진정성. 이 경우 기업은 30일 이내에 해결책을 찾아야 한다.

제27조. 베트남에 지점 또는 대표 사무소를 두는 데이터 보관 기간

1. 26조에서 정하는 자료보관기간은 기업이 자료보관 신청을 받은 때부터 신청이 종료될 때까지이다. 최소 보관 기간은 24개월이다.

2. 본 시행령 제26조의 규정에 의한 베트남 지사 또는 대표사무소의 설치시기는 기업이 베트남에 지사 또는 대표사무소의 설치 요청을 받은 때부터 기업이 아직 설립되지 않을 때까지 기산한다. 베트남에서 운영 중이거나 지정된 서비스를 베트남에서 더 이상 사용할 수 없다.

3. 사이버 보안에 관한 법률 제26조 2항 b호에 명시된 사이버 보안에 관한 법률 위반 사항을 조사하고 처리하기 위한 시스템 로그는 최소 12개월 동안 보관해야 한다.

제29조 효력

이 시행령은 2022년 10월 1일부터 시행한다.

---------------------------------------------------------------------------------------------------------------------

사이버 보안법을 햇징하기 위한 여러 클라우드 솔루션이 나오고 있는데 대부분의 퍼블릭 클라우드 (Amazon, Google Microsoft) 등에서 제안하는 방식은 아래와 같습니다. 

[ Hybrid Cloud란?]

AWS를 비롯한 대부분의 퍼블릭 클라우드 (AWS, Google, Microsoft, Alibaba 등)는 2023년 7월 현재 베트남 내에 Data center를 보유하고 있지 않아서 베트남 사이버법에 의거한 현재 데이터 보안에 준수하고 있지 못하고 있습니다. 또한 이들 퍼블릭 클라우드는 대부분 인근 싱가폴, 홍콩, 인도네시아 등에 Data Center를 보유하고 있으며 베트남에서 해저 케이블을 타고 나가는 레이턴시, 지연이 발생하기도 합니다. 

베트남에서 퍼블릭 클라우드를 쓰더라도 주요 워크로드와 애플리케이션은 퍼블릭 클라우드에 핵심 Database나 사용자 정보는 로컬 클라우드나 Data Center에 보관하는 것을 하이브리드 (Hybrid) 클라우드라고 합니다. 

하이브리드 클라우드의 주요 장점은 2가지인데, 베트남 사이버 보안법망을 어느 정도 회피하면서 로컬 클라우드를 사용하면서 주요 정적 데이터 (이미지, 동영상)을 로컬 베트남에 캐싱하여 속도를 높일 수 있습니다.  

현재 베트남에서 퍼블릭 클라우드를 가장 잘 구현하여 사용하는 금융기관은 Techcom Bank과 VP Bank, VIB Bank입니다.  

이들 은행들은 2020년부터 퍼블릭 클라우드 (AWS)를 도입하여 B2B, B2C 리테일 상품에 Online Payment와 간편 결제 서비스를 시행하였으며, AI와 머신러닝, Big Data 분석 관리를 통해 고객 맞춤형 서비스를 도입하였습니다. 

하지만 중앙은행과 베트남 금융 당국의 법률과 가이드 라인을 준수하기 위해 정기적인 리포트를 중앙은행에 제출하고 IT에 대한 감사를 받고 있습니다.

또한 핵심 core banking과 고객 정보는 로컬 클라우드나 자체 전산실에서 보유하고 있습니다. 

자세한 정보를 원하시는 분들은 따로 연락주시기 바랍니다.  

 

---