클라우드 도입하려면 뭘 먼저 해야 하나요?
클라우드 서비스를 이용할 때 전자금융감독규정에 필수로 수행해야 하는 절차가 나와있다. 모든 내용을 담기엔 너무 길어 중요한 부분만 담았다.
전자금융감독규정 제14조의2(클라우드컴퓨팅서비스 이용절차 등) ① 금융회사 또는 전자금융업자는「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제2조제3호에 따른 클라우드컴퓨팅서비스를 이용하고자 하는 경우 다음 각 호의 절차를 수행하여야 한다.
1. 자체적으로 수립한 기준에 따른 이용대상 정보처리시스템의 중요도 평가
2. <별표 2의2>의 항목을 포함한 클라우드컴퓨팅서비스 제공자의 건전성 및 안전성 등 평가
3. <별표 2의3>에서 정하는 사항을 반영한 자체 업무 위수탁 운영기준의 마련 및 준수
② 금융회사 또는 전자금융업자는 제1항에 따른 평가결과 및 자체 업무 위수탁 운영기준에 대하여 제8조의2에 따른 정보보호위원회의 심의·의결을 거쳐야 한다.
③ 금융회사 또는 전자금융업자는 제1항제1호에 따라 다음 각 호의 어느 하나에 해당한다고 평가하는 경우에는 클라우드컴퓨팅서비스를 실제로 이용하려는 날의 7영업일 이전에 금융감독원장이 정하는 양식에 따라 제4항 각 호의 서류를 첨부하여 금융감독원장에게 보고하여야 한다. 이 경우 「금융회사의 정보처리 업무 위탁에 관한 규정」 제7조 제1항부터 제3항까지의 규정에 따라 보고한 것으로 본다.
1. 고유식별정보 또는 개인신용정보를 처리하는 경우
2. 전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미치는 경우
④ 제3항에 따라 금융감독원장에게 보고할 경우 첨부해야 하는 서류는 다음 각 호와 같다.
1. 「금융회사의 정보처리 업무 위탁에 관한 규정」 제7조제1항 각 호에 관한 서류
2. 제1항제1호에 따른 자체 중요도 평가 기준 및 결과
3. 클라우드컴퓨팅서비스 이용 관련 업무 연속성 계획 및 안전성 확보조치에 관한 사항
4. 제2항에 따른 정보보호위원회 심의·의결 결과
...
⑧ 제2항의 절차를 거친 클라우드컴퓨팅서비스 제공자의 정보처리시스템이 위치한 전산실에 대해서는 제11조제11호 및 제12호, 제15조제1항제5호를 적용하지 아니한다. 다만, 금융회사 또는 전자금융업자(전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미치지 않는 외국금융회사의 국내지점, 제50조의2에 따른 국외 사이버몰을 위한 전자지급결제대행업자는 제외한다)가 제3항제1호에 따른 고유식별정보 또는 개인신용정보를 클라우드컴퓨팅서비스를 통하여 처리하는 경우에는 제11조제12호를 적용하고, 해당 정보처리시스템을 국내에 설치하여야 한다.
간략히 정리하자면 다음과 같다. 서비스 이용일 7일 전에 완료되어야 한다.
1) 이용대상 정보처리시스템의 중요도 평가
2) CSP 건전성 및 안전성 등 평가
3) 자체 업무 위수탁 운영기준의 마련
4) 1-3번에 대한 정보보호위원회의 심의·의결
5) 각종 보고서류 구비 및 금융감독원 보고
첫 번째는 클라우드로 이전/오픈할 서비스의 정보처리시스템을 대상으로 중요도 평가를 진행해야 하는데, 금융회사 자체 기준을 수립하여 평가하면 된다.
한 가지 예로 기밀성, 무결성, 가용성을 기준으로 정보자산에 대해 평가하고 정보처리시스템이 처리하는 정보가 중요정보인지, 장애 시 복구 필요시간이 즉시인지 등의 기준으로 정보처리 중요도를 평가하면 된다.
두 번째로 CSP의 건전성 및 안전성 평가를 진행하면 되는데, 해당 부분은 금융보안원의 평가 지원을 받을 수 있다. CSP 안전성 평가의 경우 기본 보호조치 109개 항목, 금융부문 추가 보호조치 32개 항목까지 총 141개 항목을 준수하는지 CSP를 평가하는 절차이다.
CSP가 CSAP, ISMS-P, CSA Star 같은 보안인증서를 보유하고 있는 경우 기본 보호조치를 생략 가능.
하지만 금융보안원의 평가인력이 한정되어있기 때문에 최소 3~4개월 전엔 미리 연락을 해보고 일정을 확인해야 한다.
세 번째는 자체 업무 위수탁 운영기준을 마련하고 준수하면 된다. 전자금융감독규정 별표 2의 3(업무 위탁 운영기준 보완사항)의 내용을 금융회사의 업무 위수탁 관련 내규, 사규에 반영하면 된다.
네 번째는 1~3단계 결과를 정보보호위원회 심의·의결받으면 되며, 금융감독원 보고를 위한 서류를 구비해놔야 한다. 중요업무로 취급이 되지 않더라도 서류 구비는 필수이다.
클라우드는 업무위수탁에 해당되기 때문에 구비서류에 위탁계약서(안) 사본 외 8종을 포함하기 때문에 준비해야 할 서류들이 많으니 참고하길 바란다.
금융보안원이 평가일정이 안된다는데 어쩌죠?
다른 방법으로 안전성 평가결과를 공유받는 방법이 있는데, 금융보안원이 결과서를 공유해주진 않고 직접 CSP나 MSP를 통해 이미 결과를 받은 타 금융사에게 결과 공유 요청하는 방법이 있다.
최근 금융보안원은 안전성 평가 지원을 위해 2021년도부터 ‘대표평가’를 추가 도입하도록 검토하고 있다.
몇 개 항목이 부분 충족이 나왔는데 클라우드 이용 못하나요?
모든 항목이 반드시 충족이어야지 해당 CSP를 사용 가능한 것은 아니다. 특정항목에 대해 부분 충족이나 추후 개선계획을 잡고 정기평가 때 점검을 받으면 된다.
외산 CSP의 경우 금융부문 추가 보호조치의 금융권 통합 보안관제 수행을 위한 지원 체계 마련 여부가 충족으로 받기 어렵다. 금융보안원은 보안관제 수행을 위해 TAP장비를 설치해야 하는데, 외산 CSP의 경우 CDC센터 내 다른 장비 반입을 허용하지 않고 있기 때문에 미충족이 나올 것이다.
20년 말 기준으로 AWS와 SW방식으로 진행한다고 들은 적이 있다.
클라우드 서비스에서 개인정보 처리안하는데 보고안해도 되죠?
고유식별정보 또는 개인신용정보를 처리하지 않더라도 중요 업무로 취급되는 경우가 있는데 금융소비자에 미칠 수 있는 영향, 업무 중단 시 금융기능 이행에 미치는 영향 등 전자금융거래의 안전성과 신뢰성에 중대한 영향을 미치는 경우 해당된다.
클라우드 이용 절차 등 상세 내용은 금융보안원의 금융분야 클라우드 컴퓨팅 서비스 이용 가이드를 참조하면 되며 금융보안원 홈페이지에서 다운로드할 수 있다.
CSP는 선정했는데 CDC와 통신은 전용선을 쓰나요?
어떤 시스템과 통신할지에 따라 다르다. VPN을 사용할지, 전용회선을 사용할지 등 금융보안원 클라우드 이용 가이드에 금융회사의 시스템과의 연계 시 보호대책을 가이드하고 있다.
클라우드 구간을 전용회선이나 VPN으로 연결하더라도 외부망으로 간주하고 있다. Iaas, Saas 등 구분 없이 금융회사의 내부망에서 클라우드로 연결할 때에 망분리 대체 정보보호 통제 수칙을 무조건 준수해야 하기 때문이다.
내부망에서 SaaS를 사용하려 하는데 가능한가요?
클라우드 내부망에서 외부 통신망과 차단되도록 구성하기가 쉽지 않다. CSP에선 고객사마다 독립된 영역을 제공하고 있어 외부 통신망과 차단 가능하다고 하지만 SaaS특성상 업데이트가 이뤄질 경우, 외부 업데이트 서버와 통신을 해야 하기 때문에 면밀한 검토가 필요하다.