법무법인(유) 화우
scroll
Focus Strategy Results 최적의 솔루션을 제공합니다.
Optimal Solution

INSIGHTS

교보생명의 SBI 저축은행 인수 자문

법무법인(유한) 화우는 교보생명을 대리하여 SBI저축은행 경영권 인수 거래 전반에 걸쳐 종합적인 법률자문을 제공하였습니다. 본건은 약 9,000억원 규모의 거래로, 보험사인 교보생명이 국내 1위 저축은행을 인수함으로써 저축은행업에 본격 진출하고 향후 금융지주회사 전환을 위한 전략적 기반을 마련한다는 점에서 업계 파급력과 상징성이 큰 거래입니다. 화우는 교보생명이 SBI AF를 포함한 4개 SPC로부터 SBI저축은행 주식 156,147,223주(발행주식 총수의 50%+1주, 의결권 있는 지분 기준 58.6%)를 약 9,000억원에 매수하는 전 과정에서 화우는 매수인 교보생명을 위하여 거래구조 검토, 주식매매계약(SPA) 및 주주간계약서(SHA) 작성/협상, 상호저축은행법, 보험업법, 금융회사지배구조법 등 금융·보험 관련 주요 인허가 및 규제 이슈 검토 등 전반적인 자문을 수행하였습니다. 특히 본건은 단일 계약 하에서 세 차례에 걸쳐 순차적으로 거래 종결이 이루어지는 복합적 구조로 설계된 거래로, 각 단계별 선행조건과 종결 요건을 정교하게 반영하여야 하는 거래구조 설계가 요구되었습니다. 또한 대상회사의 기존 실질적 최대주주는 일본 SBI Holdings였다는 점에서 국제적 요소가 포함된 거래로, 화우의 M&A 및 해외 규제 자문 역량이 종합적으로 발휘된 사례입니다. 관련기사: 교보생명, SBI저축銀 품고 '종합금융그룹' 시동 - 매일경제 

  • #M&A
  • #기업자문
  • #보험
  • #여신전문금융회사 ∙ 저축은행
영국 기업 1호 코스닥 상장 자문

법무법인(유한) 화우는 영국 케임브리지에 본사를 둔 테라헤르츠(THz) 기반 비파괴검사(NDT) 및 반도체 검사장비 전문기업 테라뷰홀딩스(TerraView Holdings Plc)의 코스닥 상장 과정에서, 상장주관사인 삼성증권 주식회사를 대리하여 전반적인 법률자문을 제공하였습니다. 본건은 한국 코스닥시장에 상장한 최초의 영국 기업이자 지난 2021년 이후 첫 해외기업의 한국 증시 상장으로 한국예탁결제원(KSD)에 주식을 예탁하고 이를 기초로 한국예탁증서(KDR)를 발행·공모하는 구조가 적용된 고난도의 크로스보더 IPO 거래였습니다. 화우는 영국 회사법 및 세법과 한국 자본시장법·예탁결제제도 간의 차이를 종합적으로 분석하고, 한국거래소 및 한국예탁결제원과의 실무 협의를 주도하며 상장 전 과정에 있어서 제반 법률 자문을 제공하였습니다. 특히 상장 심사 과정에서 영국 세법상 인지세 및 인지예비세 과세 여부가 핵심 쟁점으로 부각되었으나, 화우는 영국 현지 로펌과 협업하여 HMRC(영국 국세청)에 사전 질의를 제출하고, 해당 KDR 발행 구조가 과세 대상이 아님을 확인하는 서면 면세 확인을 이끌어냈습니다. 이를 통해 세무상 불확실성을 해소하고 상장 절차를 일정 지연 없이 성공적으로 완료할 수 있도록 지원하였습니다.

  • #금융 ∙ 자본시장
  • #IPO ∙ 상장실질심사
금융위, ‘프런티어 AI 보안위협 금융분야 대응요령’ 가이드라인 AI 보안테스트·패치 ‘제재 면책’ 등 도입

금융위원회는 2026. 7. 1.  「프런티어 AI 보안위협 금융분야 대응요령」 가이드라인을 배포하였습니다. 아울러 2026. 6. 30. 면책심의위원회 의결을 통해, 금융회사가 보안목적 AI를 활용한 보안테스트나 당국이 전파한 취약점에 대한 긴급 보안패치를 수행하는 과정에서 발생한 경미한 전산장애에 대하여 기관·임직원 신분제재 및 과태료를 면책하기로 하였습니다. 이번 조치는 앤트로픽社 ‘미토스(Mythos)’ 시스템 카드와 글래스윙 프로젝트 중간 결과로 촉발된 이른바 ‘미토스 쇼크’에 대응한 것으로, 지난 5. 22. 고성능 AI 보안위협 대응 간담회의 후속조치입니다. 취약점 발견이 급증하는 환경에서 금융회사가 전산장애를 우려해 보안강화 조치를 주저하지 않도록 유인하는 데 목적이 있습니다. 금융회사로서는, ① 면책은 무조건 적용되지 않고 면책대상·요건이 특정되어 있으며, ② 면책을 받으려면 사전 작업계획서(경영진 보고)·소비자 사전안내·피해구제 방안을 미리 갖추어야 하고, ③ 개인신용정보 유출사고는 면책 대상에서 제외된다는 점을 유념하여 관련 조치를 취해야 하겠습니다. 1. 무엇이 바뀌었나 - 면책조치와 가이드라인의 동시 도입2. 면책의 구조 - ‘누가·무엇을·어떤 조건에서’ 면책되는가3. 가이드라인 6대 분야와 금융 업권별 우선순위 1. 무엇이 바뀌었나 - 면책조치와 가이드라인의 동시 도입 이번 방안은 성격이 다른 두 축으로 구성됩니다. 하나는 실제 제재 여부에 영향을 미치는 ① 면책조치(구속력 있는 규제 완화)이고, 다른 하나는 준수 여부가 제재와 무관한 ② 가이드라인(모범사례)입니다. 두 축을 혼동하면 대응 우선순위를 잘못 잡을 수 있으므로 성격을 명확히 구분할 필요가 있습니다.  ① 면책조치의 개요 • 의결: 금융위원회 면책심의위원회가 2026. 6. 30. 심의·의결하였습니다. • 취지: 보안목적 AI를 통한 공격표면 점검·취약점 확인, 확인된 취약점에 대한 보안패치 과정에서 발생하는 경미한 전산장애 리스크를 과도하게 의식하지 않도록 하는 데 있습니다. • 면책범위: 기관·임직원에 대한 제재·신분제재와 과태료를 포괄합니다. ② 가이드라인의 개요 • 명칭·발간: 「프런티어 AI 보안위협 금융분야 대응요령」(버전 1.0), 금융보안원, 2026. 7. 1. 제정·시행. • 성격: 행동요령·모범사례를 제시하기 위한 것으로, 준수하지 않더라도 제재 등 불이익이 부과되지 않습니다(비규제적). • 갱신: 1~3차 보안목적 AI 테스트 결과 등을 반영하여 지속 업데이트될 예정이며, 개정 내용은 금융보안원 홈페이지에서 확인할 수 있습니다.  2. 면책의 구조 - ‘누가·무엇을·어떤 조건에서’ 면책되는가 면책은 포괄적 면죄부가 아닙니다. 면책대상(행위·기관), 면책요건(3종), 면책범위, 그리고 명시적 배제사유가 각각 특정되어 있습니다.  ✓ 반드시 확인할 배제사유 및 불확실 영역 ① 개인신용정보 유출 : 「신용정보법」에 따른 개인신용정보 유출사고가 발생한 경우에는 이번 면책조치와 관계없이 동법에 따른 제재조치가 그대로 적용됩니다. 면책의 ‘고객정보 유출 1만건 미만’ 기준에서도 개인신용정보는 명시적으로 제외됩니다. ② 대상기관 한정 : 보안목적 AI활용 테스트 진행 시 면책대상 기관이 ‘26. 5. 22. 발표한 망분리 규제완화 테스트 선정기관 및 금융보안원 AI 취약점 점검(Blackbox 방식) 대상기관으로 특정되어 있으므로, 자사가 대상에 포함되는지 우선 확인이 필요합니다. ③ 세부 운영기준 : 면책요건은 ‘경미성·신속 복구·소비자 보호 여부를 종합적으로 고려할 예정’이라고 밝히고 있어, 개별 사안에서의 구체적 판단기준과 실제 면책 운영 방향은 추가 확인이 필요합니다. 아직 관련 면책·적용 사례가 축적되지 않은 점도 함께 고려하여야 합니다.  3. 가이드라인 6대 분야와 금융 업권별 우선순위 가이드라인은 6개 분야로 구성됩니다. 미준수 시 제재는 없으나, 이는 향후 감독당국이 참조하는 사실상의 기대 수준으로 기능할 가능성이 있습니다. 각 분야의 실무 초점은 다음과 같습니다.   동일한 가이드라인이라도 금융 업권의 시스템 구조와 규제 접점에 따라 우선순위가 달라집니다. 아래는 대표 업권별 확장 매트릭스입니다(개별 회사의 시스템·자산 구성에 따라 달라질 수 있으므로 사안별 검토가 필요합니다).   법무법인(유한) 화우는 금융규제·정보보호·TMT/AI 분야에서 통합적 자문을 제공합니다. 금융회사의 전자금융감독규정·신용정보법·개인정보보호법 준수 자문, AI 활용에 따른 규제 리스크 진단, 정보보호 거버넌스 및 침해사고 대응 자문을 아우르며, 이번 면책조치, 가이드라인 제시와 같은 감독당국 정책 변화에 대한 신속한 실무 대응을 지원합니다. 가이드라인에서 언급한 바와 같이 최근 AI보안 위협이 금융회사 등의 신뢰, 업무 연속성, 규제 준수 등 경영 전반에 영향을 미치는 사항이 되어가고 있는 만큼, AI보안위협 대응, 금융보안에 있어 최종책임자인 이사회, CEO 등 경영진 중심의 전사적 대응이 필수적입니다. 이번 면책조치, 가이드라인은 향후 CEO 및 이사회의 금융보안 역할 강조, CISO의 실질적 권한 강화 등 디지털 운영 복원력 중심으로 금융보안 거버넌스 구조를 전환해 나가는 국내외 제도 개선 방향과도 맞물려 있습니다. 저희 법인은 이러한 금융보안 정책·감독 방향 등을 종합 고려하여 금융회사가 프런티어 AI 보안위협 대응 과정에서 마주하는 면책 요건 충족 여부 검토, 작업계획서·소비자 보호절차 정비, 공급망(위탁·제3자) 계약상 보안의무 설계, 개인신용정보 유출 시 제재 리스크 평가 등 실무 밀착형 자문, 나아가 AI보안위협 대응 관련 이사회·CEO 보고 방안, CISO직속 대응반 구성·운영 등 관련 실효성있는 CISO 업무 추진 방안 등 금융보안 거버넌스 구축 차원의 종합자문을 병행 제공합니다. 

  • #금융 ∙ 자본시장
  • #TMT
  • #정보보호센터
  • #AI센터
방미통위 「위치정보산업 생태계 발전 지원전략」 발표

방송미디어통신위원회(이하 "방미통위")는 2026. 6. 29. 「AI·디지털 시대 신산업 발전과 국민 안전 강화를 위한 위치정보산업 생태계 발전 지원전략」(이하 "지원전략")을 발표하였습니다. 이번 지원전략은 이동전화 단말기 중심으로 설계되었던 위치정보 규제 체계를 자율주행·로봇·웨어러블 등 융복합 산업 환경에 맞추어 재편하는 동시에, 불법 위치추적 등 위치정보 오·남용에 대한 사업자 관리·감독을 대폭 강화하는 이중적 방향을 담고 있습니다. 특히, 사업자의 미등록·미신고 등 불법 영업행위에 대한 단속에 관하여 방미통위는 무관용 원칙을 표방하고 있어 관련 등록 및 신고를 신속히 진행할 필요성이 부각되고 있습니다. 사업자들이 위치정보사업 또는 위치기반서비스 사업을 하고 있는지 인지하지 못하고 있는 경우도 많아, 내부 서비스에 대한 신속한 점검이 필요할 것으로 보입니다. 본 뉴스레터에서는 지원전략 전반의 구조를 개관하되, 사업자 실무에 가장 직접적으로 영향을 미칠 규제 관련 내용을 중심으로 정리하여 안내드립니다. 1. 배경 및 지원전략 개관2. 사업자 규제·의무 재편3. 위치정보산업 활성화를 위한 규제 개선4. 위치정보 활용 안전망 강화5. 시사점 1. 배경 및 지원전략 개관 방미통위는 「위치정보의 보호 및 이용 등에 관한 법률」(이하 "위치정보법")에 근거하여 위치정보의 보호·이용, 공공목적의 위치정보 이용, 위치정보사업 및 위치기반서비스사업의 안정성·신뢰성 향상을 위한 정책을 수립·시행하고 있습니다. 그러나 측위 기술과 ICT 인프라의 발전으로 위치정보 이용 환경이 이동전화 단말기 중심에서 차량·로봇·웨어러블 기기·위치추적 태그 등으로 확장되면서, 기존의 이동전화 생태계 중심의 규제·정책체계가 신산업 환경에 정합하지 않다는 지적이 제기되어 왔습니다. 동시에 위치정보 유출 사고 및 스토킹·상해 등 위치정보 관련 범죄가 증가함에 따라 위치정보 오·남용에 대한 국민적 우려도 확산되고 있습니다. 지원전략 자료에 따르면, 불법 위치추적을 통한 스토킹 등 위치정보법 위반 행위 관련 경찰 검거건수는 최근 4년간 41.9% 증가(2022년 155건 → 2025년 220건)한 것으로 나타났습니다. 이러한 배경에서 방미통위는 ① 위치정보산업 활성화, ② 위치정보 활용 안전망 강화, ③ 신뢰받는 이용·보호 기반 조성이라는 3대 추진전략을 제시하였습니다. 각 전략은 산업 진흥과 이용자 보호의 균형을 도모하되, 위치정보 오·남용 방지와 사업자 관리·감독 체계에 있어서는 오히려 규제를 강화하는 방향으로 설계되어 있습니다.  2. 사업자 규제·의무 재편 지원전략 중 사업자 관점에서 가장 주의 깊게 살펴야 할 부분은 사업자에게 가장 직접적으로 영향을 미치는 규제를 다루는 사업자 관리·점검 체계 정비 및 혁신 부분입니다. 상당수의 개정 과제가 법률 개정을 전제로 하며, 위반 시 제재 수단이 함께 강화됩니다. (1) 미등록·미신고 등 불법 영업행위 단속 강화 방미통위는 미등록·미신고 사업자, 동의 없는 위치추적 조장 등 불법 행위에 대해 관계부처 협업을 통한 모니터링·점검을 강화하고, 불법 위치추적 적발 시 즉시 수사기관 수사 의뢰 등 '무관용 대응 원칙'을 확립하겠다고 밝혔습니다. 특히 이는 적법하게 영업하는 사업자들을 역차별하는 요소로 작용할 수 있는 만큼, 방미통위의 단속 강화가 활발하게 이뤄질 가능성이 높습니다. 사업자들은 본인 사업에 위치정보 관련 사업이 있지는 않은지 점검하여 제재를 받지 않도록 미리 대비할 필요가 있습니다. 나아가 개인위치정보사업 등록은 원한다고 바로 할 수 있는 것이 아니라, 아래 이미지와 같이 등록 일정이 매년 정해져 있으므로, 이를 분명히 유의하여 계획을 세우고 3차, 4차 등록을 서두르는 것이 바람직합니다.  (2) 제재수단 대폭 상향 (법 개정, ~2027)  특히 과징금 상한이 매출액 기준 2배, 정액 기준 5배로 확대되는 점은 개인정보 보호법상 과징금 규정 강화 흐름과도 유사한 방향으로, 중대 위반 시 제재 부담이 상당히 증가할 것으로 예상됩니다. (3) 사실상 폐업 사업자에 대한 직권말소 제도 도입 (법 개정, ~2027) 사업을 운영하지 않으면서 폐업 신청도 하지 않는 이른바 '유령사업자'에 대해 방미통위가 등록·신고사항을 직권으로 말소할 수 있는 제도가 도입됩니다. 이는 이용자 피해구제 공백 및 행정 비효율성 해소를 위한 조치이나, 사업자 입장에서는 사업 재개 계획이 있는 경우 등록 유지 관리에 유의할 필요가 있습니다. (4) 실태점검 방식 정비 및 자율규제 도입 검토 2022년 법 개정을 통해 정기 실태점검 제도가 도입된 이후, 매년 사실상 전수 방식으로 실태점검이 진행되어 왔습니다. 그러나 위치정보사업자 및 위치기반서비스사업자 수가 2025년 기준 3,185개에 이를 만큼 급증함에 따라, 방미통위는 ① 연간 실태점검 계획을 수립·사전 공개하고, ② 정기 실태점검(개인위치정보사업자 대상)과 기획 실태점검(대규모 개인위치정보 취급 위치기반서비스사업자 등 대상)으로 이원화하는 방안을 제시하였습니다. 아울러 자율규제단체 지정, 민간 주도 인증 제도 도입, 자율규제 참여 시 인센티브(과태료·과징금 감경, 점검 주기 완화 등) 부여 등 자율규제 체계 마련도 검토됩니다. (5) AI 기반 실태점검 통합관리시스템 구축 (2027~) 점검 자료 분석, 위반사항 분석 등을 AI가 지원하는 '가칭 AI 기반 위치정보사업자 실태점검 통합관리시스템' 구축이 예정되어 있어, 향후 점검의 정밀도와 속도가 함께 제고될 것으로 전망됩니다.  3. 위치정보산업 활성화를 위한 규제 개선 지원전략은 위와 같은 내용 외 사업자의 시장 진입 및 서비스 개발 부담을 경감하기 위한 다음과 같은 개선을 예고하고 있습니다.  특히 개인위치정보 동의 예외에 '연구개발' 목적을 추가하되, 재식별 위험 방지를 위한 보호조치 및 금지 의무를 병행하여 신설한다는 점은, 최근 「가명정보 처리 가이드라인」 개정 등 데이터 활용 정책의 흐름과 궤를 같이합니다.  4. 위치정보 활용 안전망 강화 산업 규제와는 별개로, 국민 안전 목적의 위치정보 활용 기반도 확대됩니다. 지원전략은 ① 긴급구조기관(소방청·해양경찰청)에 대해서도 경찰관서와 같이 제3자가 신고한 경우 개인위치정보를 제공받을 수 있도록 제도를 일원화(법 개정, ~2027)하고, ② 위치정보 품질측정의 법적 근거를 마련하며, ③ 수직 위치정보 도입 및 GNSS 기반 실내 긴급구조 위치추적 기술 개발 등 차세대 측위 기술 고도화를 추진하겠다고 밝히고 있습니다. 이러한 공공안전 인프라 강화는 위치정보사업자에게 긴급구조 관련 협력 의무 확대와 품질 기준 준수 등 부수적 의무 부담을 수반할 수 있어, 관련 사업자는 향후 세부 기준 마련 과정을 주시할 필요가 있습니다.  5. 시사점 이번 지원전략은 형식상 산업 육성 정책이지만, 실질적으로는 위치정보법 개정을 예고하는 로드맵입니다. 사업자 관점에서 관통하는 메시지는 "규제 완화와 규제 강화의 병행"입니다. 서류 제출 간소화, 연구개발 목적 동의 예외 도입, 변경신고의 사후신고 전환 등 편의 조치와 함께, 과태료·과징금 상한 상향, 등록취소 사유 확대, 직권말소 제도 도입, 취급·관리 지침 공개 의무화, 사물위치정보 Opt-out 신설 등 규제 강화가 동시에 예고되었습니다. 특히 미등록·미신고 사업자에 대한 '무관용 대응 원칙'과 개인위치정보사업 등록의 연간 접수 일정 제한을 함께 고려하면, 사업자로서는 본인의 사업이 위치정보사업 또는 위치기반서비스사업에 해당하는지에 대한 자체 점검이 가장 시급한 과제가 됩니다. 자율주행·로봇·웨어러블·IoT·커넥티드카 등 위치정보 이용 영역이 확대되는 만큼, 스스로 규제 대상 여부를 인지하지 못한 채 제재에 노출되는 사례가 늘어날 것으로 보입니다. 또한 과징금 상한이 매출액 기준 3%에서 6%로, 정액 기준 4억 원에서 20억 원으로 상향되는 점은 최근 개인정보 보호법상 과징금 강화 흐름과 궤를 같이하는 것으로, 중대 위반 시 제재 부담이 질적으로 달라질 것으로 예상됩니다. 아울러 취급·관리 지침 공개 의무화, 실태점검 계획 사전 공개, AI 기반 실태점검 시스템 구축 등은 사업자에게 문서화·설명가능한 관리체계를 요구하는 방향입니다. 실무적으로는 ① 위치정보사업 해당성 자체 점검 및 등록 일정 확인, ② 취급·관리 지침 정비와 공개 대상 항목 마련, ③ 실태점검 대응 문서·기록 관리체계 정비, ④ 사물위치정보 Opt-out 요청 처리 프로세스 설계(IoT·스마트 디바이스 사업자), ⑤ 위치추적기 판매·설계 단계의 컴플라이언스 검토가 우선 과제가 될 것입니다. 향후 위치정보법 개정안 및 하위 규정 동향에 대한 지속적 모니터링과 시행 전 사전 대비가 규제 리스크 최소화의 관건이 될 것입니다.  화우의 TMT 팀은 AIㆍ자율차 등 신산업 분야에 대한 지침 마련 등 각종 정부 활동에 즉각 대응할 수 있는 전문 변호사, 과기정통부ㆍ방통위ㆍ국정원 출신으로 구성하여 TMT 분야의 최신 트렌드를 반영한 맞춤형 서비스를 제공하고 있습니다. 기업이 당면한 법률 문제에 신속하게 대응할 수 있도록 이슈를 선제적으로 안내해 드리고 그에 따른 적시 도움을 드리고 있으니, 문의사항이 있으신 경우 언제든지 연락하여 주시기 바랍니다. 

  • #TMT
정부 「SW 공급망 보안 강화 로드맵」 발표

과학기술정보통신부·국가정보원·한국인터넷진흥원(KISA) 등 관계부처는 2026년 6월 「AI 일상화 시대를 준비하는 SW 공급망 보안 강화 로드맵」(이하 “로드맵”)을 합동 발표하였습니다. 로드맵은 SolarWinds·Log4Shell처럼 한 번의 침해가 다수 이용자에게 연쇄 피해를 일으키는 SW 공급망 공격에 대응하기 위해, 운영 단계에 머물던 보안을 개발·공급 全단계로 확장하고 SBOM(SW 구성요소 명세서)을 통한 투명성 확보를 핵심 축으로 하였습니다. 다만 본 로드맵은 그 자체로 의무를 창설하는 법령이 아니라 2026~2028년 정부의 정책 추진 계획으로, 향후 공공조달 SW의 SBOM 제출·보안적합성 검증 강화, 민간 시범인증·사후관리 의무 검토, 「정보통신망법」 개정 등이 단계적으로 구체화될 예정입니다. 특히 EU 사이버복원력법(CRA, ’27.12 시행 예정)·美 FDA·英 PSTI 등 주요국의 디지털 제품·소프트웨어 보안규제가 이미 수출 디지털 기업의 무역장벽으로 작용되고 있어, 공공 납품기업과 수출기업은 SBOM 관리체계 정비와 대상국 규제 매핑을 선제적으로 검토할 필요가 있습니다. 1. 배경 및 주요 내용2. 핵심 쟁점 구조화3. 산업별 영향 확장 매트릭스4. 기업 유형별 맞춤형 시사점5. 기업 실무자 자가점검 체크리스트6. 자주 묻는 질문 (FAQ) 1. 배경 및 주요 내용 SW 개발은 자체 개발에서 공개SW(오픈소스)·제3자 개발 SW·AI 생성 코드의 활용으로 빠르게 이동하면서, 공급망은 단순·수직 구조에서 상호 의존성이 높은 복잡한 구조로 바뀌었습니다. 그 결과 외부 코드의 약한 고리를 노린 공급망 공격이 신종 위협으로 부상했습니다. 사이버보안 전문 시장 조사기관 사이버시큐리티 벤처스에 따르면 SW 공급망 공격으로 인한 글로벌 피해액은 2023년 460억 달러에서 2031년 1,380억 달러로 증가할 것으로 추정되며, 2020년 전 세계 1만 8천개 이상의 조직에 영향을 미친 솔라윈즈 공격 사례는 공격 피해 사실이 알려지기까지 10개월이 소요될 정도로 탐지하고 대응하는데 어려움이 있다는 것을 보여주었습니다. 이러한 배경하에서 로드맵은 외부 코드의 약한 고리에 대한 대응, 특히 AI 일상화와 관련해서, “운영 중심 → 개발·공급 全단계”, “기능·성능 중심 → 보안 내재화 중심”의 전환이라는 태도를 기초로 주요 SW 공급망 보안에 대한 방향성을 제시하였습니다. 주요 정책 변화는 다음과 같습니다.  ✓ 로드맵상 대부분의 과제는 ’26~’28년 추진 일정으로 제시되어 있으며, SBOM 항목 표준, 보안적합성 검증 세부 기준, 시범인증 요건, 「정보통신망법」 개정안 등 구체적 기준·시행시기는 아직 확정되지 않았습니다. 본 뉴스레터의 시기 표기(’26~ 등)는 로드맵상 ‘추진 목표 시점’이며, 실제 규율 내용은 후속 고시·지침·법령 개정에서 확정될 예정입니다.  2. 핵심 쟁점 구조화 가. 로드맵의 법적 성격 — 의무인가, 정책 계획인가? 로드맵은 관계부처 합동 정책 추진 계획으로, 그 자체로 기업에 새로운 법적 의무를 직접 부과하지 않습니다. 다만 ‘법·제도 정비’ 과제에 「정보통신망법」 개정 추진(보안 실태점검·공표·취약점 개선권고), 공공조달 사이버보안 지침 개정, 보안적합성 검증 제도 개선 등이 포함되어 있어, 향후 일부 항목은 구속력 있는 규율로 전환될 소지가 있습니다. 따라서 현 단계에서는 “지금 당장의 의무”가 아니라 “예고된 규제 방향”으로 이해하고 대비하는 것이 적절합니다. 나. 공공조달 영역 — SBOM 제출·보안적합성 검증의 단계적 강화 공공분야는 로드맵에서 가장 구체적으로 규율 강화가 예고된 영역입니다. 구체적으로 로드맵에서는 ① 공공 정보화사업 추진 시 보안 요구사항에 SBOM 제출·취약점 대응 절차 도입(’27~), ② 공공 도입 SW에 ‘SW 보안취약점 관리 담당관’ 지정 등 지침 개정, ③ 보안적합성 검증에 공급망 보안 평가 기준·‘안전한 SW 개발 방법론’ 준수 확인 반영(’26~’27), ④ 침해사고·취약점 후속조치가 미비한 기업·제품에 대한 공공분야 도입 제재조치 강화(’27~)가 제시되었습니다. 안보위해1제품 측면에서는 개발·공급업체 대상 안보위해성 자가점검 체크리스트 마련(’27~), 외교·안보·국방 등 주요 기관 IT제품 납품 시 체크리스트 제출 우선 적용(’28~) 후 단계적 확대가 예고되었습니다. 공공 납품 비중이 높은 기업일수록 영향이 큽니다. 다. 민간분야 제도 정비 — 시범인증·사후관리·정보통신망법 민간분야는 자율·시범 단계에서 출발합니다. 로드맵에 따르면 자율 신청 기반의 SW 공급망 보안관리 검증 및 우수기업 확인서(가칭 ‘SSS Verified’) 시범운영(’27~)이 도입되고, 시범 운영 후 기존 정보보호 인증제도(ISMS·IoT 보안인증 등)에 공급망 보안 평가요소를 반영해 정규 제도화가 추진될 예정입니다. 또한 로드맵에는 보안업데이트 제공·보안지원 종료(EoS) 사전공지·취약점 제보·공개(CVD) 등 사후관리 책임 강화를 위한 제도 개선과, 취약점 미조치 시 시정권고 등 기업 책임성 강화 방안이 검토 대상으로 명시되었습니다. 한편 민간기업·시설에서 주로 사용되는 SW·보안제품의 고위험 취약점을 상시 관리하고(’26~), IoT 가전·태양광 인버터 등 일상 밀접 디지털 제품군에 대한 보안 실태점검·대외 공표·개선권고를 위해 「정보통신망법」 개정이 추진됩니다. 다만 개정안의 구체적 조문·대상·시기는 아직 공개되지 않았습니다. 라. 해외 규제 연동 및 상호인정(MRA) — 무역장벽 차원의 접근 로드맵은 주요국 규제를 ‘잠재적 해외 진출 장벽’으로 규정하고, 가이드라인·시범인증을 해외 규제 대응 도구로 설계합니다. 주요국 규제 동향은 다음과 같습니다.  국내에서는 IoT 보안인증 등에 대한 상호인정(MRA) 확대(’26~), GCLI 등 국제 단일표준 논의 참여, 시범인증과 해외 제도의 상호인정 추진이 제시되어, 중복 인증 부담 완화가 기대됩니다. 다만 상호인정의 실제 체결 여부·범위는 향후 협상에 달려 있어 현 시점에서 확정적으로 전망하기는 어렵습니다.  3. 산업별 영향 확장 매트릭스 로드맵의 범정부 협의체는 의료기기·자동차·공공정보시스템·금융·보안 분과를 두고 있으며, 이는 공급망 보안 규제가 우선·집중될 분야를 시사합니다. 각 산업군별로 해당하는 우선 점검사항을 검토할 필요가 있습니다.   4. 기업 유형별 맞춤형 시사점  계약 실무 포인트 — 도입·공급 계약 단계에서 SBOM 제공 의무, 취약점 통지·패치 책임, 보안지원 종료(EoS) 사전고지, 손해배상·면책 범위를 명문화해 두면 향후 규율 강화 시 분쟁·재협상 부담을 줄일 수 있습니다.  5. 기업 실무자 자가점검 체크리스트 가. 법무 / 컴플라이언스 • 자사가 ‘공공조달 SW 납품’ 또는 ‘보안적합성 검증 대상’에 해당하는지 사업 목록 기준으로 분류할 것• 주요 수출 대상국(美·EU·英 등)별 규제(FDA·CRA·PSTI)와 자사 제품의 적용 여부를 매핑할 것• 도입·공급 계약서에 SBOM 제공·취약점 통지·보안지원 종료(EoS) 고지 조항 반영 여부를 점검할 것 나. IT / 보안 (개발) • 자사 SW의 오픈소스·서드파티·외주 구성요소를 식별하고 SBOM 생성 가능 여부를 진단할 것•  ‘안전한 SW 개발 방법론(NIST SSDF 등 참고)’ 대비 현재 개발 프로세스의 GAP을 분석할 것• 고위험(Critical) 취약점·CVE 모니터링 및 패치 적용 절차를 정비할 것 다. 조달 / 공급망 관리 • 협력사·공급업체의 SW 보안수준 확인 절차(SBOM 요구 등)를 공급망 관리 정책에 반영할 것• 정부 지원사업(테스트베드·보안컨설팅·클라우드 개발환경 보급)의 활용 가능성을 검토할 것 라. 수출 / 통상 • 상호인정(MRA)·국내 시범인증(가칭 ‘SSS Verified’) 추진 동향을 모니터링하고 인증 로드맵을 수립할 것 마. 경영진 / 이사회 • SW 공급망 보안 거버넌스(담당 조직·예산·책임자) 구축을 검토하고 향후 규제 강화 일정에 대비할 것 6. 자주 묻는 질문 (FAQ) Q1. 이 로드맵이 발표되면 지금 당장 기업이 지켜야 할 의무가 생기나요? A. 아닙니다. 로드맵은 ’26~’28년 정부 정책 추진 계획으로, 그 자체가 의무를 직접 창설하지는 않습니다. 다만 공공조달 지침 개정, 보안적합성 검증 기준 강화, 「정보통신망법」 개정 등 일부 항목은 향후 구속력 있는 규율로 전환될 수 있으므로 예고된 방향으로 보고 대비하는 것이 바람직합니다. Q2. 공공분야에 SW를 납품하는데 SBOM 제출이 언제부터 의무화되나요? A. 로드맵은 공공 정보화사업 보안 요구사항에 SBOM 제출·취약점 대응 절차를 ’27년경부터 도입하는 것을 목표로 제시합니다. 다만 구체적 의무화 시점·대상·SBOM 항목 표준은 아직 확정되지 않았으므로, 후속 지침·고시를 통해 확인할 필요가 있습니다. Q3. SBOM이 정확히 무엇이고 왜 갑자기 중요해졌나요? A. SBOM(Software Bill of Materials)은 SW를 구성하는 오픈소스·라이브러리 등 구성요소와 의존관계를 기술한 명세서입니다. 미국·EU가 공급망 보안 규제에 SBOM을 핵심 수단으로 채택하면서, 취약점의 신속한 식별·조치와 수출 대응의 기본 요건으로 부상했습니다. Q4. EU CRA·美 FDA 대응을 위해 지금 무엇부터 준비해야 하나요? A. 먼저 수출 대상국과 제품 유형별로 적용 규제를 매핑하고, 해당 제품의 SBOM 생성·관리 체계를 갖추는 것이 출발점입니다. EU CRA의 취약점 관리 의무는 ‘26년9월부터 적용되며, 전체 적합성 요건에 대한 단계적 집행은 ‘26년 9월~’27년 12월에 걸쳐 이뤄질 예정입니다. FDA 의료기기 인허가 등은 이미 SBOM을 요구하므로 우선순위를 두어 대비하는 것이 좋습니다. Q5. 중소 SW기업도 정부 지원을 받을 수 있나요? A. 예. 로드맵은 전체 SW기업의 약 81%가 10인 미만이라는 점을 고려해, 테스트베드·보안컨설팅(’26~)·클라우드 기반 개발환경 보급(’27~)·AI 점검 인프라(’27~) 등 중소기업 대상 지원을 명시합니다. 다만 세부 신청 요건·시기는 사업 공고를 통해 확인해야 합니다.  # 공공조달 SBOM 제출·보안적합성 검증 강화 #EU CRA(’27.12)·美 FDA 등 해외 규제 대응 본격화 화우는 정보보호센터, TMT·AI센터, 통상·수출통제 분야를 중심으로 사이버보안·개인정보·디지털 규제 전반에 걸친 통합 자문을 제공합니다. SW 공급망 보안은 정보보호 규제, 공공조달, 해외 통상규제, 계약·책임 설계가 교차하는 영역으로, 화우는 침해사고 대응, 정보보호 인증, 공공조달·보안적합성 검증, 해외 규제(EU·美) 대응 및 공급계약 리스크 관리를 아우르는 자문을 수행해 왔습니다. 본 로드맵과 관련하여 화우는 ① 공급망 보안 규제 적용 여부 진단과 GAP 분석, ② SBOM·사후관리 관련 공급·도입 계약 설계, ③ 해외 규제(CRA·FDA·PSTI) 대응 및 상호인정·인증 전략 수립, ④ 공공조달·보안적합성 검증 대응을 지원합니다.

Breakthroug Innovation

CENTERS

자산관리센터

자산관리센터 자산승계, 가업(기업경영권) 승계, 지배구조 개편, 신탁상품 개발 및 신탁 자문, 자산관리, 상속∙증여세 절세방안, 상속 분쟁(상속재산분할, 유류분반환 등), 이혼, 후견 등에 관한 전문 서비스를 제공합니다.
승계, 신탁, 조세, 금융, 상속∙가사 분야 전문가가 구성원으로 있는 패밀리오피스 본부, 자산분쟁팀, 조세자문팀, 금융자문팀, 조세쟁송팀으로 구성되어 자산에 관한 모든 서비스를 처음부터 끝까지 고객의 다양한 니즈에 따라 제공하고 있으며, 인수·합병(M&A), 공정거래, 기업자문 그룹 소속 전문가와의 상호 유기적인 협업을 통해 고객이 만족하는 원스톱 서비스를 제공하고 있습니다.

1 /
바이오헬스센터

특허법원, 보건복지부, 식품의약품안전처, 건강보험심사평가원, 행정법원, 식약처 위해사범중앙조사단, 검찰, 경찰 등에서 근무하면서 높은 전문성과 노하우를 쌓은 전문가들로 구성된 특허팀, 급여전략팀, 인허가, GMP팀, 규제쟁송자문팀, 형사대응팀을 중심으로 바이오헬스 산업 분야의 모든 법률 문제에 대하여 종합적인 솔루션을 제공합니다.

1 /
AI센터

AI 개발 단계에서의 안전성과 신뢰성 대응을 위한 대비를 넘어서, 각종 규제 대응, 입법과정 참여, 국내외 대형 IT 기업의 AI 자문에 이르기까지 AI 산업의 전영역에 걸친 자문을 제공하고 있습니다. 특히 AI 센터는 AI를 서비스하는 기업은 물론, AI를 활용하는 기업이 직면할 수 있는 전방위적 법률 문제에 대한 최적의 해결책과, 금융, 보험, 지식재산, 엔터테인먼트 등 다양한 분야의 전문성을 바탕으로 한 종합적 법률 자문을 제공합니다.

1 /
게임센터

게임산업의 특성에 대한 이해가 깊고 여러 법률 분야에서 풍부한 경험을 축적한 전문가들로 구성된 로펌 최초의 게임전문센터로서, 다양한 게임산업 이슈에 대한 풍부한 역량과 경험을 바탕으로 게임 관련 각종 규제 대응 및 입법 과정 참여, 게임물의 표절 분쟁 해소, 게임물의 해외 퍼블리싱 및 서비스에 이르기까지 게임산업의 모든 주기에 걸쳐 게임회사가 직면하는 각종 법률 문제에 있어 실질적 도움이 되는 최적의 해결책을 제공합니다.

1 /
디지털금융센터

플랫폼기업·빅테크·핀테크 회사의 금융업 진출, P2P 등 새로운 금융업, 데이터경제를 선도하는 금융분야 데이터 산업 전반에 대한 자문을 제공합니다. 다양한 금융회사에 대한 자문 경험과 플랫폼 Business, 전자금융업, 데이터산업 등 산업에 대한 해박한 지식에 더해 규제 환경에 정통한 변호사, 금융감독당국 출신의 고문 및 전문위원 등이 한 팀을 이뤄 효과적인 자문을 제공하고 있습니다.

1 /
디지털포렌식센터

미국에서 피소된 국내 대형 IT업체의 소송 자문을 계기로 2014년부터 포렌식 업무를 수행한 후 2019. 9. 디지털포렌식센터를 출범하여 ① 선제적 디지털포렌식을 통한 Risk제거 및 Compliance 지원, ② 검/경, 공정위, 금감원 등 규제기관 조사& 수사 대응 업무를 수행하고 있으며 화우 디지털포렌식센터 전문인력은 약 45명(파트너 변호사 27명, 포렌식 전문위원 및 선임연구원 3명, 전문 리뷰어 약 15명)으로 구성되어 있습니다.

1 /
정보보호센터

정보보호센터는 개인정보보호 분야 전문 변호사로 구성된 1)법률대응본부와 정부기관 및 규제기관 출신의 2)규제대응본부, 그리고 실제로 모의해킹과 보안취약점 점검, 해킹사건분석 등 정보보호 기술자문을 수행하는 3)기술대응본부 등 총 3개 본부, 약 50명 규모의 정보보호 ‘법률과 기술’을 동시에 서비스 받을 수 있는 전문화된 융합서비스센터입니다. 더 나아가 메타버스, NFT, 디지털금융, 암호화폐, 블록체인 등 ICT 법률과 기술자문이 가능한 국내최초 법무법인 정보보호센터입니다.

/
ESG센터

ESG는 기후변화로 인한 환경의 중요성과 이해관계자 자본주의의 대두 등 경영상황의 변화로 지속가능한 기업이 되기 위한 필수사항으로 자리매김하고 있습니다. ESG 시대에 환경, 노동, 정보인권, 녹색금융, 부패방지, 컴플라이언스 등 각 분야에서 활약하고 있는 변호사와 ESG 전문 컨설턴트가 다양한 ESG 이슈와 관련해서 전략 및 컴플라이언스, 실행에 대한 맞춤형 자문을 제공하고 있습니다.

/
디스커버리센터

국내 기업들이 국내외 소송 및 중재를 진행하거나 정부기관 또는 국제기구 조사 등에 대응할 시 디스커버리 절차에 투입되는 비용을 효율적으로 절감하고 효과적으로 여러 디스커버리 리스크를 관리할 수 있도록 신속하고 효율적인 문서 검토 및 관련자 Interview/Deposition 지원 서비스를 제공하고 있습니다. 해외 분쟁의 경우 디스커버리 센터는 고객사의 법무팀과 협력하여 고객과 고객의 해외 소송을 대리하는 현지 로펌의 요구와 필요에 맞춘 디스커버리 진행 절차를 설계하며 유연한 협업 운영 구조를 채택하고 있습니다.

/
환경규제대응센터

환경 분야에 전문성을 가진 변호사 및 환경 관련 유관기관에서 다양한 실무경험을 쌓은 전문인력으로 구성되어 있습니다. 풍부한 자문 경험 및 정책·제도/기술·산업에 대한 이해를 바탕으로 환경 관련 법령 전 영역에 대한 자문, M&A 실사, 행정심판/행정·민사소송/형사처벌 대응 등 전 주기 법률서비스를 제공하고 있습니다.

/
중대재해 CPR센터

화우는 기업의 중대재해 예방 및 대응체계(Preparedness) 구축을 위해 미국 국토안보부 사업자 캐드머스 그룹(Cadmus Group, Inc)과 전략적 제휴를 체결하고 국내 각 분야의 전문가들과 함께 화우 CPR센터를 운영합니다. 화우 CPR센터는 캐드머스 그룹이 미국에서 성공적으로 수행한 중대재해 예방 및 대응체계의 토대 위에서 방대한 산업별·기업별 데이터를 활용한 중대재해 시나리오를 기반으로 하여 국내 각 분야의 전문가들과 함께 한국 기업의 상황에 맞춰 변용한 서비스(CPR: Corporate Preparedness Review)를 제공함으로써 국내 기업들이 가시적이고 구체적인 예방대응체계를 확보할 수 있도록 조력합니다.

/
국제조세전략센터

국제조세전략센터는 급변하는 글로벌 비즈니스 환경 속에서 기업들이 직면하는 복잡한 국제조세 이슈를 해결하기 위해 국제조세 관련 자문 및 진단, 세무조사 대응, 조세불복, 조세소송, 관세 등의 영역에서 전 방위적인 전문 서비스를 제공합니다. 조세자문, 국제조세, 기업운영지원, 세무조사, 조세쟁송, 관세 분야의 우수한 전문가들이 모여 고객의 자산과 사업을 보호하고 있으며, 기업자문그룹, 금융그룹 등 유관 그룹 소속 전문가들과의 상호 유기적인 협업을 통해 설립부터 운영, 결산, 세무 리스크 관리에 이르기까지 고객이 만족하는 종합적인 원스톱 서비스를 제공하고 있습니다.

/
AML/내부통제 솔루션센터

화우 AML/내부통제 솔루션센터는 금융감독당국의 규제 기준을 충족하고 금융회사의 컴플라이언스 리스크를 효과적으로 관리하기 위하여 자금세탁방지(AML) 및 내부통제 관련 특화된 자문을 제공합니다. 자금세탁방지를 포함한 금융규제와 데이터 분석, 시스템 설계를 아우르는 내부통제 관련 컨설팅 업무 전 영역의 전문가들이 모여 금융회사의 규제 리스크를 경감하고 그룹 내 법률 전문가와의 유기적인 협업을 통해 규제의 법리적 해석 및 거버넌스 수립부터 실제 시스템의 안착과 사후적인 독립적 감사까지 연속성 있는 End-to-End 서비스를 제공하고 있습니다.

/
  • Benchmark Litigation Asia-Pacific 2025
  • The Legal 500 Asia-Pacific 2025
  • ALB IP Rankings 2018-2025
  • 2024 사회공헌대상
  • 제7회 대한민국 법무대상 (2024)
  • 2024 대한민국 베스트 로펌&로이어
  • ALB Korea Law Awards 2024
  • ALB Korea Law Awards 2023
  • 2023 대한민국 베스트로펌
  • 제6회 대한민국 법무대상 (2023)
  • In-House Community (IHC) 2022 Firms of the Year
  • 2022 대한민국 베스트로펌
  • 제5회 대한민국 법무대상 (2022)
  • asialaw Awards 2021
  • asialaw Client Service Excellence 2021
  • ALB Korea Law Awards 2021
  • 제4회 대한민국 법무대상 (2021)
  • asialaw Awards 2020
  • asialaw Client Service Excellence 2020
  • Asian Legal Business (ALB) Korea Law Awards 2020
  • International Tax Review (ITR) Asia Tax Awards 2019
  • The American Lawyer’s Asia 50 (2019)
  • ALB 2019 Asia’s Top 50 Largest Law Firms
  • FT Innovative Lawyers Report 2018
  • GCR Awards 2018
  • Taiwan M&A Awards 2019
  • Chambers & Partners Asia-Pacific
  • Chambers & Partners Global 2018
  • The Legal 500 Asia Pacific 2017
  • ALB Korea Law Awards 2017
Client Focus

CAREERS

VIEW ALL
Vision

화우와 함께 대한민국을 대표하는
변호사로 성장한다는 비전을 가진 변호사

1 /
Professionalism

변호사로서의 역량과 전문성을
제고하기 위해 끊임없이 노력하는 변호사

1 /
Passion

열정을 가지고 적극적으로
업무를 수행할 준비가 된 변호사

1 /