전자금융업 등록, 실제로 뭘 준비해야 하나요? 기획자가 알아야 할 절차와 요건
전자금융업 등록은 준비부터 완료까지 6–9개월이 걸려요. 유형별 자본금(3억–50억), 전문인력 5명, 전산 인프라, 보안성 검토를 모두 갖춰야 하고, 등록 후에도 연간 보고와 경영지도기준 준수 의무가 이어져요.
이전 글에서 등록 면제 조건을 다뤘어요. 면제가 안 된다면 이제 실제로 등록을 준비해야 하는데, 여기서 많은 스타트업이 막막해져요. "자본금 20억을 현금으로 갖고 있어야 하나요?", "CISO를 꼭 따로 뽑아야 하나요?", "클라우드를 써도 되나요?"
등록 절차를 건축에 비유하면 이래요. 건축 허가를 받으려면 설계도(사업계획서), 시공 능력(자본금), 기술자(전문인력), 안전 검사(보안성심의)가 모두 필요하듯이, 전자금융업 등록도 비슷한 구조예요. 하나라도 빠지면 보완 요청이 오고, 전체 일정이 밀려요.
이 글에서는 등록 절차의 전체 타임라인을 그리고, 각 단계에서 실제로 뭘 준비해야 하는지 정리할게요.
등록 절차 전체 타임라인
전자금융업 등록은 크게 4단계로 나뉘어요. 준비 단계가 가장 오래 걸리고, 심사 자체는 상대적으로 짧아요.
실무에서 겪어보면, 준비 단계에서 3–6개월, 서류 준비와 보안성 검토에 2–3개월, 심사에 2–4개월이 걸려요. 금융감독원 공식 처리 기간은 등록 30일(전자화폐 허가는 예비허가 60일 + 본허가 30일)이지만, 보완 요청이 오면 그 기간은 산입되지 않아요. 실제로는 보완 요청 1–2회를 거치는 게 일반적이에요.
스타트업이 가장 많이 실수하는 부분은 인프라 구축과 인력 채용을 등록 신청 직전에 시작하는 거예요. 이 두 가지는 준비 단계 초반부터 병행해야 전체 일정이 6–9개월 안에 끝나요.
유형별 자본금 요건 정리
전자금융거래법 시행령 제17조에서 유형별 자본금을 정하고 있어요. 2025년 12월 개정법 공포로 PG업 자본금 요건이 상향되었고, 2026년 12월 17일부터 시행돼요.
| 업무 유형 | 자본금 | 비고 |
|---|---|---|
| 전자화폐 발행 및 관리 | 50억원 | 허가 대상 (등록이 아님) |
| 전자자금이체 | 30억원 | 등록 대상 |
| 직불전자지급수단 발행 및 관리 | 20억원 | 등록 대상 |
| 선불전자지급수단 발행 및 관리 | 20억원 | 등록 대상 |
| 전자지급결제대행(PG) 분기 30억 이하 | 3억원 | 소규모 업자 |
| 전자지급결제대행(PG) 분기 30억 초과–300억 이하 | 10억원 | 현행 기준 |
| 전자지급결제대행(PG) 분기 300억 초과 | 20억원 | 2026.12.17 시행 |
| 결제대금예치(에스크로) | 3–10억원 | 규모별 차등 |
| 전자고지결제(EBPP) | 3–5억원 | 규모별 차등 |
여기서 스타트업이 자주 묻는 질문이 "자본금 20억을 현금으로 갖고 있어야 하나요?"예요. 답은 "납입자본금 기준"이에요. 법인 설립 시 또는 증자를 통해 자본금으로 납입된 금액이 기준이지, 통장 잔고가 항상 20억이어야 하는 건 아니에요. 다만 등록 후에도 자본금 유지 의무가 있어서, 결손이 누적되어 자본금이 기준 미달이 되면 금융위원회가 시정을 요구해요.
둘 이상의 업종을 함께 영위하려면 각 업종별 자본금의 합계가 필요해요. 다만 합계가 50억원 이상이면 50억원이 상한이에요.
인력 요건에서 확인해야 할 전문인력과 CISO
전자금융업 등록 시 인적 요건은 크게 세 가지예요.
첫째, 전산업무 종사경력 2년 이상인 임직원 5명을 확보해야 해요. 등록 신청 시점에 확보하거나, 등록 시점까지 확보 가능하다는 계획을 제출해도 돼요. 실무에서는 신청 시점에 최소 3명은 확보하고, 나머지 2명은 채용 계획서로 대체하는 경우가 많아요.
둘째, 정보보호최고책임자(CISO)를 지정해야 해요. 전자금융감독규정에 따르면 CISO는 정보보호 업무를 총괄하는 임원급이어야 해요. 스타트업 현실에서 가장 고민되는 부분인데, 총자산 2조원 미만이고 상시 종업원 300명 미만인 경우에는 CISO와 CIO(정보기술최고책임자)를 겸직할 수 있어요. 초기 스타트업이라면 CTO가 CISO를 겸직하는 구조가 현실적이에요.
셋째, 내부통제 담당자가 필요해요. 전자금융거래의 안전성과 신뢰성을 확보하기 위한 내부통제 체계를 운영할 인력이에요. 이 역할도 초기에는 겸직이 가능하지만, 서비스 규모가 커지면 전담 인력을 배치해야 해요.
법무법인들이 공통적으로 지적하는 포인트가 있어요. 인력 요건에서 "전산업무 종사경력"의 범위가 생각보다 넓다는 거예요. 개발, 인프라 운영, 정보보호, DBA, QA 등 IT 관련 업무 경력이 모두 인정돼요. 스타트업이라면 기존 개발팀 멤버의 경력을 정리하는 것만으로도 요건을 충족할 수 있어요.
인프라 요건에서 갖춰야 할 전산실과 재해복구 체계
전자금융감독규정 제9조와 제10조에서 물적 요건을 정하고 있어요. 크게 네 가지 영역이에요.
첫째, 전산실이에요. 전자금융업을 영위하는 데 필요한 전산기기를 보유하고, 전산실의 구조와 설비의 안전성을 확보해야 해요. 과거에는 물리적 IDC에 전산실을 두는 게 일반적이었지만, 2023년 금융분야 클라우드 이용 가이드라인 개정 이후 클라우드(AWS, OCI 등) 사용이 가능해졌어요. 다만 금융보안원의 CSP(클라우드서비스제공자) 안전성 평가를 통과한 서비스만 이용할 수 있어요.
둘째, 재해복구(DR) 체계예요. 전산장애 발생 시 전산자료 손실에 대비한 백업 장치를 구비해야 해요. 주전산센터와 물리적으로 분리된 재해복구센터를 운영하거나, 클라우드 환경이라면 리전 간 DR 구성으로 대체할 수 있어요.
셋째, 정보보호시스템이에요. 방화벽, 침입탐지시스템(IDS/IPS), 암호화 시스템, 접근통제 시스템을 갖춰야 해요. 2025년 2월 전자금융감독규정 개정으로 기존 293개 행위규칙이 166개로 줄었지만, 핵심 보안 요건은 유지되고 있어요.
넷째, 망분리예요. 전자금융감독규정에 따라 내부 업무망과 외부 인터넷망을 분리해야 해요. 물리적 망분리 또는 논리적 망분리(VDI 등) 방식을 선택할 수 있어요.
클라우드를 사용하면 인프라 구축 기간을 크게 단축할 수 있어요. 물리적 IDC 구축에 4–6개월이 걸리는 반면, 클라우드 기반이라면 1–2개월이면 기본 인프라를 갖출 수 있어요. 다만 금융보안원 CSP 안전성 평가를 통과한 서비스(AWS, Azure, NCP, OCI 등)만 사용 가능하다는 점을 기억해야 해요.
인프라 요건의 구현 상세는 이 시리즈에서 다루지 않아요. 구체적인 아키텍처 설계와 구현 방법은 기존 시리즈의 전자금융 감독규정, 개발자가 구현해야 할 것들에서 확인할 수 있어요.
사업계획서에서 금융위가 집중적으로 보는 항목
등록 신청 시 제출하는 사업계획서는 단순한 사업 소개서가 아니에요. 금융위원회가 "이 사업자가 이용자 자금을 안전하게 관리할 수 있는가"를 판단하는 핵심 자료예요.
제출 서류 목록을 정리하면 이래요.
| 서류 | 내용 | 주의사항 |
|---|---|---|
| 사업계획서 | 업무 개시 후 3년간 사업 계획 | 수익 모델, 거래 규모 추정 포함 |
| 추정재무제표 | 3년간 예상 재무상태표, 손익계산서 | 자본금 유지 가능성 입증 |
| 예상 수지계산서 | 수입/지출 예상 | 현실적 수치 기반 |
| 주주구성 | 대주주 현황, 지분 구조 | 결격사유 해당 여부 확인 |
| 정관 | 법인 정관 | 전자금융업 목적 명시 |
| 임원 이력서 및 경력증명서 | 대표, 임원 전원 | 결격사유 확인 |
| 전문인력/시설 현황 | 인력 명단, 인프라 현황 | 요건 충족 증빙 |
| 자본금 납입 증명서류 | 은행 잔고증명 등 | 납입자본금 기준 |
금융위가 사업계획서에서 집중적으로 보는 항목은 네 가지예요.
사업 모델의 명확성이에요. "어떤 유형의 전자금융업을 영위하는지"가 모호하면 보완 요청이 와요. 서비스 구조와 자금 흐름을 명확하게 도식화해서 제출하는 게 좋아요.
이용자 보호 방안이에요. 선불업이라면 충전금 별도관리 계획, PG업이라면 정산자금 관리 계획을 구체적으로 기술해야 해요.
자금 관리 계획이에요. 이용자 자금과 회사 자금의 분리 방안, 별도관리 방식(신탁/예치/지급보증보험) 선택 근거를 포함해야 해요.
IT 보안 체계예요. 전산실 구성, 보안 시스템, 재해복구 계획, 내부통제 체계를 기술해야 해요. 여기서 보안성 검토 결과를 첨부하면 심사가 빨라져요.
보안성심의는 등록 전과 등록 후에 어떻게 달라지나요
2013년 이전에는 금융감독원이 직접 보안성심의를 수행했어요. 지금은 제도가 바뀌어서 전자금융업자가 자체 보안성심의를 수행하고 그 결과를 금융감독원에 보고하는 구조예요.
전자금융감독규정 제36조에 따르면, "신규 전자금융업무"를 출시할 때 자체 보안성심의를 실시해야 해요. 여기서 "신규"란 등록 단위가 아니라 세부 업무 단위예요. 계좌이체 기능 추가, 본인인증 방식 추가 같은 것들이 모두 해당돼요.
등록 준비 단계에서는 금융보안원의 보안성 검토 서비스를 활용하는 게 현실적이에요. 금융보안원은 핀테크 기업을 대상으로 보안점검 서비스를 제공하고 있어요. 2026년 기준으로 중소 핀테크 기업 약 30개사에 점검 비용의 70%를 지원하는 사업도 운영 중이에요.
보안성 검토에서 확인하는 핵심 항목을 정리하면 이래요.
| 영역 | 점검 항목 | 스타트업 대응 방안 |
|---|---|---|
| 통신 보안 | SSL/TLS 암호화, 구간 암호화 | 전 구간 HTTPS 적용 |
| 데이터 보안 | 개인정보 암호화 저장 (AES-256 등) | DB 암호화 모듈 도입 |
| 접근 통제 | 관리자 권한 분리, 접근 로그 | RBAC + 감사 로그 |
| 이상거래 탐지 | FDS 시스템 운영 | 규칙 기반 FDS 최소 구현 |
| 인증 보안 | 이중 인증(OTP, SMS 등) | 2FA 필수 적용 |
보안성 검토 소요 기간은 서비스 복잡도에 따라 1–3개월이에요. 간편결제 같은 단순 구조는 1개월 내외, 복합 금융 서비스는 2–3개월이 걸려요. 등록 신청 전에 보안성 검토를 완료해두면 심사 기간을 단축할 수 있어요.
등록 후 ongoing 의무
등록이 끝나면 끝이 아니에요. 전자금융업자로서 지속적으로 이행해야 할 의무가 있어요. 운영하면서 계속 느낀 건, 등록보다 등록 후 유지가 더 까다롭다는 거예요.
연간 보고 의무가 있어요. 매년 사업보고서와 재무제표를 금융감독원에 제출해야 해요. 전자금융감독규정 개정(2025.2.5)으로 정보기술부문 계획서도 매년 제출해야 해요. 장단기 IT 계획을 수립하고 금융위원회에 보고하는 거예요.
경영지도기준 준수 의무가 있어요. 자본금 유지, 부채비율 관리, 유동성 비율 등을 충족해야 해요. 2025년 12월 개정법 공포로 경영지도기준 미준수 시 시정요구, 영업정지, 등록취소 등 단계적 조치가 가능해졌어요. 이전에는 강제할 수단이 없었는데, 이제는 실질적 제재가 따라요.
약관 변경 신고 의무가 있어요. 전자금융거래 약관을 변경할 때마다 금융감독원에 신고해야 해요. 서비스 업데이트로 이용 조건이 바뀌면 약관도 함께 변경 신고해야 하는데, 이걸 놓치는 스타트업이 많아요.
취약점 분석 및 평가 의무가 있어요. 총자산 2조원 이상이고 상시 종업원 300명 이상인 경우 6개월에 1회, 그 외에는 연 1회 이상 전자금융기반시설의 취약점 분석과 평가를 실시해야 해요. 홈페이지는 6개월에 1회 이상이에요.
선불업자라면 선불충전금 별도관리 의무가 추가돼요. 충전금 전액을 신탁, 예치, 또는 지급보증보험으로 별도관리해야 해요. 미준수 시 즉시 시정요구가 가능해요.
PG업자라면 2026년 12월 17일부터 정산자금 전액 외부관리 의무가 시행돼요. 예치, 신탁, 지급보증보험 중 하나로 정산자금을 외부관리해야 하고, 양도나 담보 제공이 금지돼요.
스타트업이 자주 놓치는 5가지
등록 준비 과정에서 스타트업이 반복적으로 놓치는 포인트를 정리했어요.
첫째, 자본금 유지 의무예요. 등록 시점에만 자본금을 맞추면 된다고 생각하는 경우가 많은데, 등록 후에도 자본금 기준을 계속 유지해야 해요. 적자가 누적되어 자본잠식이 발생하면 금융위원회가 시정을 요구하고, 미이행 시 등록이 취소될 수 있어요. 초기 스타트업이라면 최소 2–3년간 자본금을 유지할 수 있는 자금 계획을 세워야 해요.
둘째, 대주주 변경 신고예요. 투자를 유치하면 대주주가 바뀌는 경우가 많아요. 2025년 12월 개정법으로 대주주 변경 시 15일 이내에 변경허가 또는 변경등록을 해야 해요. 변경된 대주주가 결격사유에 해당하면 변경허가를 받지 못하고, 그 상태로 영업하면 등록이 취소돼요. 시리즈 A, B 투자 유치 전에 반드시 투자자의 결격사유 여부를 확인해야 해요.
셋째, 겸영업무 제한이에요. 등록한 업무 외에 다른 전자금융업을 추가로 영위하려면 별도 등록이 필요해요. 선불업으로 등록했는데 나중에 PG 기능을 추가하면 PG 등록도 해야 해요. 서비스 확장 계획이 있다면 처음부터 복합 등록을 고려하는 게 나아요.
넷째, ISMS 인증 취득 시점이에요. 전자금융업 등록 자체에는 ISMS 인증이 필수는 아니지만, 운영 1년 이내에 취득하지 않으면 법적 리스크가 커져요. ISMS 인증 준비에 3–6개월이 걸리므로, 등록 완료 직후부터 준비를 시작해야 해요.
다섯째, 인프라 구축 타이밍이에요. 망분리, DR센터 구축, 보안 시스템 도입은 상당한 준비 기간이 필요해요. 등록 신청 직전에 시작하면 전체 일정이 3–6개월 밀려요. 법률 검토와 동시에 인프라 구축을 시작해야 해요.
실제 서비스 사례로 보는 등록 준비
실제로 전자금융업 등록을 완료한 서비스들의 사례를 보면 준비 규모가 체감돼요.
| 서비스 | 등록 유형 | 자본금 | 특이사항 |
|---|---|---|---|
| 토스 (초기) | 전자자금이체 | 30억원 | 스타트업 전자금융업 등록 초기 사례. 투자금을 자본금으로 납입하는 구조로 시작 |
| 소규모 PG 스타트업 | PG (분기 30억 이하) | 3억원 | 분기 거래액 30억 이하 기준으로 소규모 등록. 성장 시 10억으로 증자 필요 |
| 선불업 등록 사례 | 선불전자지급수단 | 20억원 | 등록과 동시에 선불충전금 별도관리 의무 적용. 신탁/예치 비용 추가 발생 |
토스의 사례가 스타트업에게 시사하는 점은, 초기에 투자금을 자본금으로 납입하는 구조를 설계했다는 거예요. 시리즈 A 투자를 유치하면서 자본금 요건을 동시에 충족한 거죠. 자본금 확보와 투자 유치를 별개로 생각하지 않고 하나의 프로세스로 설계하면 효율적이에요.
소규모 PG의 경우 3억원으로 시작할 수 있다는 점이 스타트업에게 유리해요. 다만 분기 거래액이 30억을 넘는 순간 자본금 10억원이 필요하므로, 성장 속도를 예측해서 증자 타이밍을 미리 계획해야 해요.
선불업은 등록 자체보다 등록 후 의무가 무거워요. 충전금 전액을 별도관리해야 하므로 신탁 수수료나 예치 비용이 매월 발생해요. 이 비용을 사업계획서의 추정재무제표에 반영하지 않으면 심사에서 보완 요청을 받을 수 있어요.
등록 준비 체크리스트
등록 준비 상태를 점검할 수 있는 체크리스트예요.
FAQ
Q. 등록 준비부터 완료까지 최소 얼마나 걸리나요?
최소 6개월, 현실적으로는 9개월 정도 잡아야 해요. 금융감독원 공식 처리 기간은 등록 30일이지만, 준비 단계(자본금, 인력, 인프라)에 3–6개월, 보안성 검토에 1–3개월, 심사 중 보완 요청 대응에 1–2개월이 추가돼요. 인프라 구축과 인력 채용을 초반부터 병행하면 6개월 안에도 가능하지만, 보완 요청이 2회 이상 오면 9개월을 넘길 수 있어요.
Q. 자본금 20억을 현금으로 보유해야 하나요?
아니에요. "납입자본금" 기준이에요. 법인 설립 시 또는 유상증자를 통해 자본금으로 납입된 금액이 기준이지, 통장 잔고가 항상 20억이어야 하는 건 아니에요. 다만 등록 후에도 자본금 유지 의무가 있어서, 결손 누적으로 자본잠식이 발생하면 시정 요구를 받아요. 투자금을 자본금으로 납입하는 구조가 일반적이에요.
Q. 클라우드(AWS/OCI)를 사용해도 인프라 요건을 충족할 수 있나요?
가능해요. 2023년 금융분야 클라우드 이용 가이드라인 개정 이후 금융보안원 CSP 안전성 평가를 통과한 클라우드 서비스를 이용할 수 있어요. AWS, Azure, NCP, OCI 등이 평가를 통과했어요. 다만 클라우드를 사용하더라도 망분리, 암호화, 접근통제 등 보안 요건은 동일하게 적용돼요. 클라우드 환경에서의 망분리 구현 방법은 기존 시리즈의 금융 클라우드 규제 범위와 대응 전략에서 다루고 있어요.
Q. 소규모 PG로 시작해서 나중에 규모가 커지면 자본금을 추가로 납입해야 하나요?
맞아요. 분기별 결제대행 규모가 30억원을 초과하면 자본금 10억원, 300억원을 초과하면 20억원(2026.12.17 시행)이 필요해요. 규모가 커지는 시점에 증자를 해야 하므로, 성장 계획에 맞춰 자본금 확보 타임라인을 미리 세워두는 게 좋아요.
핵심 요약
- 전자금융업 등록은 준비부터 완료까지 6–9개월이 소요돼요. 인프라 구축과 인력 채용을 초반부터 병행해야 일정이 밀리지 않아요.
- 유형별 자본금은 선불업/직불업 20억, 전자자금이체 30억, PG 3–20억(규모별), 전자화폐 50억이에요. 납입자본금 기준이며 등록 후에도 유지 의무가 있어요.
- 인력 요건은 전산 경력 2년 이상 5명 + CISO 지정이에요. 초기 스타트업은 CTO가 CISO를 겸직할 수 있어요.
- 2025.12 개정으로 대주주 변경 시 15일 내 변경허가/등록 의무가 신설됐어요. 투자 유치 전 투자자 결격사유를 반드시 확인해야 해요.
- 등록 후에도 연간 보고, 경영지도기준 준수, 약관 변경 신고, 취약점 분석 등 ongoing 의무가 계속돼요.