24탄-4. AWS-금융- 잘 알수록 더 쉬워지는 금융

<1> 금융부문 클라우드 이용 관련 규제

<2>  2022.4.14  클라우드 및 망분리 규제 개선 방안 발표

<3> 주요 세부사항 변경 내용  - CSP 안정성 평가

<4> 주요 세부사항 변경 내용  - 클라우드 이용보고 

<5> 금융회사 이용 가능한 클라우드 컴퓨팅 서비스 및 제공 주체 (CSP)

<6> 금융 회사 클라우드 이용 절차 - 4단계

<7>  1단계 - 사전 준비 

<8>  2단계 -  계약 체결

<9>  3단계 - 이용 및 보고

<10> 4단계 - 이용 종료 및 보고

<11> 실습

<12> 개인 요약

<1> 금융부문 클라우드 이용 관련 규제

전자금융감독 규정,  제14조의 2 (클라우드 컴퓨팅 서비스 이용절차 등)

금융회사의 정보처리 업무 위탁에 관한 규정

금융 분야 클라우드  컴퓨팅 서비스 이용 가이드라인 (by 금융 보안원)

금융 분야 망분리 및 클라우드 규제 개선 관련 FAQ (by 금융 보안원)

<2>  2022.4.14  클라우드 및 망분리 규제 개선 방안 발표

1

금융위원회 발표

업무 중요도 평가를 위한 구체적 기준 및 절차 마련

중복, 유사 평가항목 정비 (141개에서 54개로 축소)

중요. 비중요 업무 간 클라우드 이용절차 차등화

금융 보안원 대표 평가제 도입

SaaS에 적합한 별도 평가기준 마련

"업무위탁 운영기준 보완사항" 등 제출 간소화

금융 당국 사후 보고

=> 전자금융감독 규정 개정안 발표(22.4)    => 2023년 1월 1일 시행 예정

<3> 주요 세부사항 변경 내용  - CSP 안정성 평가

1

대표 평가제 도입

금융 보안원이 대표로 CSP 안정성 평가 실시하고, 금융 회사는 평가 결과 활용

SaaS도 대표 평가 시행

평가 결과 공유 : 금융 보안원 별도 사이트를 통해 공유

2

CSP 평가 항목 축소

현행 141개 ------------------------ 개선안 54개 평가 항목

기본 보호조치 109개 ------------ 필수 16개, 대체 38개

금융 부문 추가 보호죄(32개)  -> 삭제

비중요 업무무에 대해서는 필수 16개만 평가

중요 업무에 대해서도 클라우드 사업자가 인증 취득 경우 생각가능. AWS MTCS 인증 취득

전 = > AWS서울리전은 필수 16개 항목만 평가 예정

전자금융감독 규정 개정안  신설 별표 2의 2를 통해 필수 /대체 항목 확인 가능

<4> 주요 세부사항 변경 내용  - 클라우드 이용보고 

1

[기존  전자금융감독 규정]                    

중요 업무, 비 중요 업무  

신규 이용  ----  7 영업일 이전 사전 보고

중대 변경등  -- 7 영업일 이내 사후 보고

2

[전자금융감독 규정 개정안]

중요 업무, 비 중요 업무   

신규 이용 및 중대 변경등  --- 3개월 이내 사후 보고.  클라우드와  계약 후 3개월

일부/경미한 변경 등 ------- 반기 현황 사후 보고.

<5> 금융회사 이용 가능한 클라우드 컴퓨팅 서비스 및 제공 주체 (CSP)

2곳이다.  

     AWS 제공하는  CSP   

     AWS 파트너가 제공하는 클라우드 컴퓨팅 서비스   

<6> 금융 회사 클라우드 이용 절차 - 4단계

사전 준비 - 계약 체결- 이용 및 보고-이용 종료 및 보고

1

사전 준비

이용할 업무 

클라우드 사업자 평가

업무 연속성 계획 

안정성 확보 조치방안

이용에 대한 최종 결정

2

계약 체결

정보 처리 위수탁 계약 체결 필요

3

이용 및 보고

사후 보고 대상.

금융  감독원에  이용 보고.

4

이용 종료 및 보고

수립한 출구 전력의거 데이터 이전 및 파기 실시

CSP 변경이 있을 경우 안정성 평가등 진행 필요

<7>  1단계 - 사전 준비 

이용 대상 선정

자체 중요도 평가 실시 -  중요, 비중요 업무 평가

CSP 평가 실시

업무 연속성 계획 수립 - 백업, 재해복구 

출구 전략 수립 - 클라우드 서비스 업체 파산,  클라우드 서비스 종료에 따른 출구전략 필요

안정성 확보조치 방안 수립 - 보안 사고를 예방하기 위한 조치 수립

정보보호 위원회 심의 의결

<8>  2단계 -  계약 체결

클라우드 서비스 이용은 정보처리 위탁에 해당

계약서에 포함 사항?

1

금융회사의 정보처리 위탁 규정 제4조  3항에 근거

데이터 접근 통제

전산사고 등에 따른 이용자 피해에 대한 위, 수탁회사 간의 책임관계

수탁회사에 대한 감독 당국의 감독, 검사 수용의무, 분쟁 과정에서의 재판관할등

2

전산 금융감독 규정 [별표 2의 5] 위수탁 계약서 주요 기재사항 - 기본 사항, 추가 사항 

중요도 평가 결과 기본 사항은 기본 사항, 추가 사항  모두 포함

<9> 3단계 - 이용 및 보고

1

서류 준비 - 필요한 서류 

정보처리 위탁 규정   제7조 제1항 각 호 관련 서류

이용업무의 중요도 평가 기준 및 결과

CSP  건전성 및 안정성 평가 결과

업무 연속성 및 안전성 확보

정보보호 위원회 결과

2

사후 보고 - 금융 감독원에 보고 , 3개월 이내 사후 보고

3

최신성 유지 - 중요도 평가, 업무 연속성 계획 및 안정성 확보 조치 변경 시

4

수시보고 및 위험 관리 - 계약상 중대한 변경 발생, 중요 계약 사항을 미이행 시, 안정성평가, 업무 연속성 계획 및 안전성 확보조치에 중대한 변경

<10> 4단계 - 이용 종료 및 보고

1

데이터이전 및 파기 실시

2

클라우드 서비스 제공자 변경의 경우 보고 의무 발생

<11> 실습

https://brunch.co.kr/@topasvga/1771

11탄-(정리) AWS ISMS-P 준비하기-2021

<12> 개인 요약

1

대표 평가제 도입

-> 기존에 여러 기업이 AWS방문해 점검하는 거 이제 안 하겠군요~

2

 CSP와 계약은 사전에 체결해야 하는 건 동일하군요

3

신규 이용 및 중대 변경등  --- 3개월 이내 사후 보고.  클라우드와  계약 후 3개월

=> 이제 보고는 서비스 오픈하고 하면 되겠네요 ^^

감사합니다.