24탄-4. AWS-금융- 잘 알수록 더 쉬워지는 금융
<1> 금융부문 클라우드 이용 관련 규제
<2> 2022.4.14 클라우드 및 망분리 규제 개선 방안 발표
<3> 주요 세부사항 변경 내용 - CSP 안정성 평가
<4> 주요 세부사항 변경 내용 - 클라우드 이용보고
<5> 금융회사 이용 가능한 클라우드 컴퓨팅 서비스 및 제공 주체 (CSP)
<6> 금융 회사 클라우드 이용 절차 - 4단계
<7> 1단계 - 사전 준비
<8> 2단계 - 계약 체결
<9> 3단계 - 이용 및 보고
<10> 4단계 - 이용 종료 및 보고
<11> 실습
<12> 개인 요약
<1> 금융부문 클라우드 이용 관련 규제
전자금융감독 규정, 제14조의 2 (클라우드 컴퓨팅 서비스 이용절차 등)
금융회사의 정보처리 업무 위탁에 관한 규정
금융 분야 클라우드 컴퓨팅 서비스 이용 가이드라인 (by 금융 보안원)
금융 분야 망분리 및 클라우드 규제 개선 관련 FAQ (by 금융 보안원)
<2> 2022.4.14 클라우드 및 망분리 규제 개선 방안 발표
1
금융위원회 발표
업무 중요도 평가를 위한 구체적 기준 및 절차 마련
중복, 유사 평가항목 정비 (141개에서 54개로 축소)
중요. 비중요 업무 간 클라우드 이용절차 차등화
금융 보안원 대표 평가제 도입
SaaS에 적합한 별도 평가기준 마련
"업무위탁 운영기준 보완사항" 등 제출 간소화
금융 당국 사후 보고
=> 전자금융감독 규정 개정안 발표(22.4) => 2023년 1월 1일 시행 예정
<3> 주요 세부사항 변경 내용 - CSP 안정성 평가
1
대표 평가제 도입
금융 보안원이 대표로 CSP 안정성 평가 실시하고, 금융 회사는 평가 결과 활용
SaaS도 대표 평가 시행
평가 결과 공유 : 금융 보안원 별도 사이트를 통해 공유
2
CSP 평가 항목 축소
현행 141개 ------------------------ 개선안 54개 평가 항목
기본 보호조치 109개 ------------ 필수 16개, 대체 38개
금융 부문 추가 보호죄(32개) -> 삭제
비중요 업무무에 대해서는 필수 16개만 평가
중요 업무에 대해서도 클라우드 사업자가 인증 취득 경우 생각가능. AWS MTCS 인증 취득
전 = > AWS서울리전은 필수 16개 항목만 평가 예정
전자금융감독 규정 개정안 신설 별표 2의 2를 통해 필수 /대체 항목 확인 가능
<4> 주요 세부사항 변경 내용 - 클라우드 이용보고
1
[기존 전자금융감독 규정]
중요 업무, 비 중요 업무
신규 이용 ---- 7 영업일 이전 사전 보고
중대 변경등 -- 7 영업일 이내 사후 보고
2
[전자금융감독 규정 개정안]
중요 업무, 비 중요 업무
신규 이용 및 중대 변경등 --- 3개월 이내 사후 보고. 클라우드와 계약 후 3개월
일부/경미한 변경 등 ------- 반기 현황 사후 보고.
<5> 금융회사 이용 가능한 클라우드 컴퓨팅 서비스 및 제공 주체 (CSP)
2곳이다.
AWS 제공하는 CSP
AWS 파트너가 제공하는 클라우드 컴퓨팅 서비스
<6> 금융 회사 클라우드 이용 절차 - 4단계
사전 준비 - 계약 체결- 이용 및 보고-이용 종료 및 보고
1
사전 준비
이용할 업무
클라우드 사업자 평가
업무 연속성 계획
안정성 확보 조치방안
이용에 대한 최종 결정
2
계약 체결
정보 처리 위수탁 계약 체결 필요
3
이용 및 보고
사후 보고 대상.
금융 감독원에 이용 보고.
4
이용 종료 및 보고
수립한 출구 전력의거 데이터 이전 및 파기 실시
CSP 변경이 있을 경우 안정성 평가등 진행 필요
<7> 1단계 - 사전 준비
이용 대상 선정
자체 중요도 평가 실시 - 중요, 비중요 업무 평가
CSP 평가 실시
업무 연속성 계획 수립 - 백업, 재해복구
출구 전략 수립 - 클라우드 서비스 업체 파산, 클라우드 서비스 종료에 따른 출구전략 필요
안정성 확보조치 방안 수립 - 보안 사고를 예방하기 위한 조치 수립
정보보호 위원회 심의 의결
<8> 2단계 - 계약 체결
클라우드 서비스 이용은 정보처리 위탁에 해당
계약서에 포함 사항?
1
금융회사의 정보처리 위탁 규정 제4조 3항에 근거
데이터 접근 통제
전산사고 등에 따른 이용자 피해에 대한 위, 수탁회사 간의 책임관계
수탁회사에 대한 감독 당국의 감독, 검사 수용의무, 분쟁 과정에서의 재판관할등
2
전산 금융감독 규정 [별표 2의 5] 위수탁 계약서 주요 기재사항 - 기본 사항, 추가 사항
중요도 평가 결과 기본 사항은 기본 사항, 추가 사항 모두 포함
<9> 3단계 - 이용 및 보고
1
서류 준비 - 필요한 서류
정보처리 위탁 규정 제7조 제1항 각 호 관련 서류
이용업무의 중요도 평가 기준 및 결과
CSP 건전성 및 안정성 평가 결과
업무 연속성 및 안전성 확보
정보보호 위원회 결과
2
사후 보고 - 금융 감독원에 보고 , 3개월 이내 사후 보고
3
최신성 유지 - 중요도 평가, 업무 연속성 계획 및 안정성 확보 조치 변경 시
4
수시보고 및 위험 관리 - 계약상 중대한 변경 발생, 중요 계약 사항을 미이행 시, 안정성평가, 업무 연속성 계획 및 안전성 확보조치에 중대한 변경
<10> 4단계 - 이용 종료 및 보고
1
데이터이전 및 파기 실시
2
클라우드 서비스 제공자 변경의 경우 보고 의무 발생
<11> 실습
https://brunch.co.kr/@topasvga/1771
<12> 개인 요약
1
대표 평가제 도입
-> 기존에 여러 기업이 AWS방문해 점검하는 거 이제 안 하겠군요~
2
CSP와 계약은 사전에 체결해야 하는 건 동일하군요
3
신규 이용 및 중대 변경등 --- 3개월 이내 사후 보고. 클라우드와 계약 후 3개월
=> 이제 보고는 서비스 오픈하고 하면 되겠네요 ^^
감사합니다.
