전자금융거래법, 시스템 개발자가 알아야 할 전체 그림
핵심 요약: 전자금융거래법 체계(법→시행령→감독규정→가이드라인)를 한 장의 그림으로 정리하고, 전자금융업 종류별 시스템 요구사항 차이와 개발자가 직접 관여하는 영역을 설명해요. 2024–2025 PG 정산금 분리관리 개정사항도 포함돼 있어요.
2026년 현재, 핀테크 서비스를 만들 때 전자금융거래법은 피할 수 없는 규제 프레임워크가 됐어요. 간편결제, 선불충전, 송금 서비스를 운영하려면 전자금융업 등록이 필요하고, 등록 과정에서 IT 인프라 요건을 충족해야 하거든요.
문제는 이 규제 체계가 법률-시행령-감독규정-가이드라인 4단계로 나뉘어 있어서, 어디부터 봐야 할지 감이 안 온다는 거예요. 법무팀이 법률을 해석하는 동안 개발팀은 감독규정의 기술 요건을 구현해야 하는데, 서로 다른 문서를 보고 있으면 커뮤니케이션이 어긋나기 쉬워요.
전자금융거래법 체계는 건축 허가와 비슷해요. 법이 큰 틀을 정하고, 시행령이 세부 기준을 잡고, 감독규정이 시공 매뉴얼을 제공하는 구조예요. 개발자가 실제로 손대야 하는 건 시공 매뉴얼, 즉 감독규정과 가이드라인이에요.
이 글에서는 전자금융거래법 체계 전체를 한 장의 그림으로 정리하고, 개발자/인프라 엔지니어가 직접 관여하는 영역만 하이라이트해 드릴게요.
전자금융거래법은 누구에게 적용되나요
전자금융거래법은 전자적 장치를 통해 금융거래를 수행하는 모든 서비스에 적용돼요. 구체적으로는 전자금융업을 영위하려는 자가 금융위원회에 허가를 받거나 등록을 해야 해요.
적용 대상을 정리하면 이래요.
| 구분 | 대상 | 예시 |
|---|---|---|
| 허가 대상 | 전자화폐 발행/관리 | 범용 전자화폐 서비스 |
| 등록 대상 | 전자자금이체, 직불/선불전자지급수단, PG | 토스, 카카오페이, 네이버페이 |
| 적용 제외 | 자가형 선불전자지급수단 (1개 가맹점) | 스타벅스 카드 (자사 매장만 사용) |
핀테크 스타트업이 결제 서비스를 시작하려면 대부분 등록 대상에 해당해요. 전자금융거래법 제49조는 미등록 전자금융업 영위에 대해 5년 이하의 징역 또는 3억원 이하의 벌금을 규정하고 있어요. 실무에서 자주 보는 실수는 "우리는 PG가 아니라 마켓플레이스"라고 생각하다가 뒤늦게 등록 의무를 발견하는 경우예요.
2024년 9월 15일 개정으로 선불전자지급수단의 범위가 확대됐어요. 발행인의 특수관계인(자회사 등)에서만 사용 가능한 선불전자지급수단도 이제 등록 대상이에요. 기존에 자가형으로 분류되던 서비스 중 일부가 등록 의무 대상으로 바뀐 거예요.
법-시행령-감독규정, 개발자가 봐야 할 레이어는 어디인가요
개발자가 우선 봐야 할 레이어는 전자금융감독규정과 금융보안원 가이드라인이에요.
전자금융거래법 체계는 4단계 계층 구조예요. 각 레이어마다 다루는 내용과 대상 독자가 달라요.
개발자가 실제로 읽고 구현해야 하는 건 3번째와 4번째 레이어예요. 전자금융감독규정이 "무엇을 해야 하는지"를 정하고, 금융보안원 가이드라인이 "어떻게 해야 하는지"를 알려줘요.
각 레이어의 역할을 좀 더 구체적으로 보면 이래요.
| 레이어 | 제정 주체 | 개정 주기 | 개발팀 역할 |
|---|---|---|---|
| 전자금융거래법 | 국회 | 수년 단위 | 법무팀 검토 결과 공유받음 |
| 시행령 | 대통령 (국무회의) | 법 개정 시 | 자본금·인력 기준 확인 |
| 감독규정 | 금융위원회 | 1–2년 단위 | 기술 요건 직접 구현 |
| 가이드라인 | 금융보안원 | 수시 | 구현 매뉴얼로 활용 |
2025년 2월 5일에 전자금융감독규정이 대폭 개정됐어요. 금융위원회가 의결한 개정안에 따르면, 기존 293개 행위규칙이 166개로 줄었어요. "규칙(Rule) 중심"에서 "원칙(Principle) 중심"으로 바뀐 건데, 개발팀 입장에서는 자율성이 늘어난 대신 스스로 보안 수준을 판단하고 증명해야 하는 부담이 생긴 거예요.
전자금융업 종류별로 시스템 요구사항이 다른가요
전자금융업은 5가지 유형으로 나뉘고, 유형별로 자본금과 핵심 시스템 요구사항이 달라요.
전자금융거래법 시행령 제17조에서 정하는 자본금부터 구현해야 할 핵심 기능까지 차이가 있어요.
| 업무 유형 | 자본금 | 핵심 시스템 요구사항 | 대표 서비스 |
|---|---|---|---|
| 전자자금이체 | 30억원 | 계좌 검증, 실시간 이체, 한도 관리 | 토스 송금 |
| 직불전자지급수단 | 20억원 | 실시간 결제 승인, 거래 원자성 보장 | 체크카드 결제 |
| 선불전자지급수단 | 20억원 | 잔액 관리, 충전/사용 추적, 별도관리 | 카카오페이 머니 |
| 전자화폐 | 50억원 (허가) | 범용 결제, 오프라인 지원, 환금성 | (국내 사례 거의 없음) |
| 전자지급결제대행(PG) | 10–20억원 | 결제 중계, 정산 자금 관리, 외부관리 | KG이니시스, 토스페이먼츠 |
여기서 주의할 점은 선불전자지급수단과 전자화폐의 차이예요. 전자금융거래법 제2조에 따르면 둘 다 "전자적으로 저장된 금전적 가치"지만, 전자화폐는 범용성(어디서든 사용 가능)과 환금성(현금으로 교환 가능)을 갖춰야 해요. 시스템 설계 관점에서 전자화폐는 오프라인 결제 지원과 환전 시스템까지 구현해야 하므로 복잡도가 훨씬 높아요.
PG업의 경우 2025년 12월 전자금융거래법 개정으로 자본금 요건이 세분화됐어요.
| 분기별 결제대행 규모 | 자본금 요건 |
|---|---|
| 30억원 이하 | 3억원 |
| 30억원 초과 – 300억원 이하 | 10억원 |
| 300억원 초과 (신설) | 20억원 |
분기 거래액 300억원 초과 구간이 신설된 건 2024년 7월 티몬·위메프 정산 사태의 직접적인 결과예요. 대규모 PG사가 충분한 자본 없이 운영되면서 정산 지연이 발생했고, 이를 방지하기 위해 자본금 요건을 강화한 거예요.
전자금융업 등록 시 IT 인프라 최소 요건은 무엇인가요
CISO 지정, 재해복구센터, 정보보호시스템, 프로그램 통제 절차까지 포함하는 기술적 요건을 충족해야 해요.
전자금융업 등록을 위해서는 자본금 외에도 IT 인프라 요건을 충족해야 해요. 전자금융감독규정에서 정하는 기술적 요건을 정리하면 이래요.
인력 요건
| 구분 | 요건 | 비고 |
|---|---|---|
| 정보보호최고책임자(CISO) | 임원급 1인 지정 | 총자산 2조원 이상 또는 상시 종업원 300명 이상 시 의무 |
| 정보기술부문 인력 | 전문성 보유 인력 확보 | 외주인력, IT자회사 인력도 산정 가능 |
| 정보보호 인력 | IT 인력의 5% 이상 | 전담 인력 배치 |
시설 요건
| 구분 | 요건 | 시행 시점 |
|---|---|---|
| 전산센터 | 물리적 보안, 출입통제, 환경관리 | 즉시 |
| 재해복구센터 | 주전산센터와 물리적 분리 | 2026.2.5부터 전자금융업자도 의무 |
| 정보보호시스템 | 침입탐지, 방화벽, 접근통제 | 즉시 |
| 백업 시스템 | 데이터 백업, 복구 절차 수립 | 즉시 |
개발자가 직접 구현해야 하는 영역
실무에서 가장 공수가 큰 항목은 프로그램 통제예요. 개발→테스트→배포 전 과정에 대한 절차를 내규화하고, 운영 환경과 유사한 테스트 환경을 구축해야 해요. 검증 담당 조직에 IT개발 경력 10년차 이상 인력을 배치해야 하는 요건도 있어서, 스타트업에게는 부담이 큰 항목이에요.
2024–2025년 개정으로 달라진 것들
최근 2년간 전자금융거래법 체계에 큰 변화가 있었어요. 개발팀이 알아야 할 핵심 개정사항을 시간순으로 정리할게요.
2024년 9월. 선불충전금 별도관리 시행
2021년 머지포인트 사태 이후 추진된 개정이에요. 선불전자지급수단 발행업자는 이용자의 충전금을 100% 별도관리해야 해요.
| 항목 | 요건 |
|---|---|
| 별도관리 비율 | 충전금의 100% 이상 |
| 관리 방식 | 신탁, 예치, 지급보증보험 중 택 1 |
| 운용 방법 | 은행 예치 또는 국채/지방채 매수 |
| 점검 주기 | 분기별 (부족 시 다음 영업일까지 추가 관리) |
시스템 관점에서는 실시간 충전금 잔액을 추적하고, 별도관리 계좌와 연동하는 시스템을 구축해야 해요. 선불전자지급수단 시스템을 처음 설계할 때 놓치기 쉬운 부분이 있어요. 할인 발행이나 적립금 지급으로 이용자에게 경제적 이익을 부여한 금액도 별도관리 범위에 포함되기 때문에, 단순 충전액이 아닌 "이용자에게 약속한 총 가치"를 추적해야 해요.
2025년 2월. 전자금융감독규정 대폭 개정
금융위원회가 2025년 2월 5일 의결한 전자금융감독규정 개정안의 핵심은 "자율보안 체계"예요.
| 변경 항목 | 이전 | 이후 | 개발팀 영향 |
|---|---|---|---|
| 행위규칙 수 | 293개 | 166개 | 규정 준수 로직 단순화 |
| 규제 방식 | Rule 중심 (세부 규칙) | Principle 중심 (원칙) | 자율 판단 + 증명 책임 |
| 재해복구센터 | 은행/투자업자/보험사만 의무 | 전자금융업자(총거래액 2조원 이상)도 의무 | DR 센터 구축 필요 |
| 책임이행보험 | 선불업자 1억원 | 선불업자 2억원 | 보험료 증가 |
| 비밀번호 규칙 | 획일적 규율 (8자리, 특수문자 등) | 원칙 중심 (자율 설정) | 인증 시스템 유연성 증가 |
운영하면서 계속 느낀 건, 규칙이 줄었다고 해서 보안 수준을 낮춰도 된다는 뜻이 아니라는 거예요. 오히려 "왜 이 수준의 보안을 선택했는지"를 스스로 설명할 수 있어야 해요. 감사 시 증적 자료의 중요성이 더 커진 거예요.
2025년 12월. PG 정산금 외부관리 의무화
2024년 7월 티몬·위메프 정산 사태를 계기로 추진된 개정이에요. 금융위원회가 발표한 전자금융거래법 개정안이 2025년 12월 16일 공포됐고, 공포 1년 후인 2026년 12월 17일부터 시행돼요.
| 항목 | 내용 |
|---|---|
| 대상 | 모든 PG업자 (184개사) |
| 관리 대상 | 판매자 정산금 + 이용자 환불금 전액 |
| 관리 방식 | 예치, 신탁, 지급보증보험 |
| 시행 비율 | 시행 시 60% → 매년 20%씩 상향 → 100% |
| 위반 시 | 10년 이하 징역 또는 1억원 이하 벌금 |
시스템 구현 관점에서 가장 큰 변화는 정산 자금의 흐름이 바뀐다는 거예요. 기존에는 PG사 자체 계좌에서 정산금을 관리했지만, 이제는 외부 금융기관(신탁/예치)을 통해야 해요. 은행 신탁 계좌 연동 API, 일일 정산 배치와 외부관리 비율 검증 로직, 감독 보고 자동화까지 새로 구축해야 할 시스템이 많아요.
이 시리즈에서 다룰 내용 미리보기
이 글은 전자금융 인프라 실전 가이드 시리즈의 첫 번째 글이에요. 앞으로 6편에 걸쳐 각 영역을 깊이 있게 다룰 예정이에요.
| 편 | 제목 | 핵심 내용 |
|---|---|---|
| 1편 | 전자금융감독규정, 개발자가 읽어야 할 조항은 따로 있어요 | 프로그램 통제, 보안성심의, 테스트 시스템 구축 의무 |
| 2편 | 선불전자지급수단 시스템을 만들 때, 한도관리와 원장 설계에서 놓치기 쉬운 것들 | 한도 체계, 이중기장, 이벤트 소싱, 환불 시스템 |
| 3편 | 이상거래탐지시스템(FDS)은 어떻게 만들어지나요 | 규칙 엔진, 실시간 파이프라인, ML 서빙 아키텍처 |
| 4편 | 전자금융기반시설 취약점 분석평가, 인프라 팀이 미리 준비하면 좋은 것들 | 네트워크 분리, 접근통제, 로그 관리, 암호화 설계 |
| 5편 | 금융 서비스를 클라우드에 올릴 때, 전자금융감독규정이 허용하는 범위는 어디까지인가요 | 클라우드 규제 완화, DR 설계, 하이브리드 아키텍처 |
| 6편 | 선불충전금 100% 별도관리, 시스템으로 어떻게 구현하나요 | 실시간 잔액 산출, 신탁 연동, 정산 배치, 감독 보고 |
각 편은 독립적으로 읽을 수 있지만, 순서대로 읽으면 전자금융 시스템의 전체 그림이 잡혀요. 특히 2편(선불전자지급수단)과 6편(별도관리)은 2024–2025 개정법과 직접 연결되는 시의성 높은 주제예요.
결국 전자금융 규제 대응은 법무팀만의 일이 아니에요. 등록 요건을 충족하려면 원장, 정산, 접근통제, 로그, 재해복구 구조가 처음부터 함께 설계돼야 해요. 에이핀은 전자금융 인프라 설계와 보안 거버넌스 경험을 바탕으로, 규제 요건을 실제 시스템 아키텍처로 옮기는 과정을 함께하고 있어요.
핵심 요약
- 전자금융거래법 체계는 법→시행령→감독규정→가이드라인 4단계로 구성돼요. 개발팀이 직접 구현해야 하는 건 감독규정과 가이드라인이에요.
- 전자금융업은 5가지 유형으로 나뉘고, 유형별로 자본금(3–50억원)과 시스템 요구사항이 달라요.
- 2025년 2월 감독규정 개정으로 행위규칙이 293개에서 166개로 줄었지만, 자율보안 체계 하에서 증명 책임이 커졌어요.
- 2025년 12월 PG 정산금 외부관리 의무화로, 2026년 12월부터 정산 자금 흐름이 근본적으로 바뀌어요.
- 전자금융업 등록 시 CISO 지정, 재해복구센터, 프로그램 통제 절차 등 IT 인프라 요건을 충족해야 해요.
FAQ
Q. 전자금융거래법은 핀테크 스타트업에도 적용되나요?
적용돼요. 전자적 장치를 통해 자금을 이체하거나, 선불전자지급수단을 발행하거나, 결제를 대행하는 서비스를 운영하려면 전자금융업 등록이 필요해요. 규모가 작더라도 등록 의무는 동일하게 적용돼요. 다만 자가형 선불전자지급수단(자사 매장에서만 사용 가능)은 일정 금액 이하일 때 등록이 면제될 수 있어요.
Q. 전자금융업 등록 없이 결제 서비스를 운영할 수 있나요?
원칙적으로 불가능해요. 미등록 영업은 5년 이하의 징역 또는 3억원 이하의 벌금에 해당해요. 다만 통신판매중개 등 다른 업무를 영위하면서 부수적으로 정산을 대행하는 경우는 2025년 12월 개정으로 PG 범위에서 제외됐어요. 자신의 서비스가 전자금융업에 해당하는지 판단이 어려우면 금융위원회에 사전 질의를 하는 게 안전해요.
Q. 전자금융감독규정은 법적 구속력이 있나요?
있어요. 전자금융감독규정은 금융위원회 고시로, 전자금융거래법과 시행령에서 위임한 사항을 구체화한 규정이에요. 위반 시 시정명령, 영업정지, 등록취소 등의 제재를 받을 수 있어요. 2025년 2월 개정 이후에도 법적 구속력은 동일하고, 다만 세부 규칙이 원칙 중심으로 바뀌면서 금융회사의 자율적 판단 여지가 넓어진 거예요.
Q. 전자금융업 등록에 필요한 최소 자본금은 얼마인가요?
업무 유형에 따라 달라요. PG업은 분기 거래액 30억원 이하일 때 3억원, 300억원 초과 시 20억원이에요. 선불전자지급수단 발행업은 20억원, 전자자금이체업은 30억원이에요. 2개 이상 업무를 영위하면 합계액이 필요하고, 최대 50억원까지 요구될 수 있어요.