금융사의 클라우드 서비스 이용 가이드

금융사도 클라우드 서비스를 이용할 수 있다

우리는 이제 클라우드 컴퓨팅 시대에 살고 있다. 직접 서버와 네트워크를 구성하던 시대에서, 클라우드 컴퓨팅을 활용해서, 자원의 낭비를 막고, 보다 효율적인 IT 기반 서비스를 활용하는 시대에 살고 있는 것이다.

특히, 금융위원회가 고시하고 올해 1월 1일부터 시행령이 발표된 전자금융 감독 규정에 따르면, 강력한 감독 규정을 적용 받는,  금융사들도 클라우드 서비스 이용을 적극 검토할 수 있게 되었다.

금융위원회가 고시한 전자금융 감독 규정 중 발췌

제14조의 2(클라우드 컴퓨팅 서비스 이용절차 등)

① 금융회사 또는 전자금융업자는 「클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률」 제2조 제3호에 따른 클라우드 컴퓨팅 서비스를 이용하고자 하는 경우 다음 각 호의 절차를 수행하여야 한다.  <개정 2018. 12. 21.>

    1. 자체적으로 수립한 기준에 따른 이용대상 정보처리시스템의 중요도 평가

    2. <별표 2의2>의 항목을 포함한 클라우드 컴퓨팅 서비스 제공자의 건전성 및 안전성 등 평가

    3. <별표 2의3>에서 정하는 사항을 반영한 자체 업무 위수탁 운영기준의 마련 및 준수

② 금융회사 또는 전자금융업자는 제1항에 따른 평가결과 및 자체 업무 위수탁 운영기준에 대하여 제8조의 2에 따른 정보보호위원회의 심의·의결을 거쳐야 한다.  <개정 2018. 12. 21.>

③ 금융회사 또는 전자금융업자는 제1항 제1호에 따라 다음 각 호의 어느 하나에 해당한다고 평가하는 경우에는 클라우드 컴퓨팅 서비스를 실제로 이용하려는 날의 7 영업일 이전에 금융감독원장이 정하는 양식에 따라 제4항 각 호의 서류를 첨부하여 금융감독원장에게 보고하여야 한다. 이 경우 「금융회사의 정보처리 업무 위탁에 관한 규정」 제7조 제1항부터 제3항까지의 규정에 따라 보고한 것으로 본다.  <개정 2018. 12. 21.>

    1. 고유식별정보 또는 개인신용정보를 처리하는 경우

    2. 전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미치는 경우

④ 제3항에 따라 금융감독원장에게 보고할 경우 첨부해야 하는 서류는 다음 각 호와 같다.  <신설 2018. 12. 21.>

    1. 「금융회사의 정보처리 업무 위탁에 관한 규정」 제7조 제1항 각 호에 관한 서류

    2. 제1항 제1호에 따른 자체 중요도 평가 기준 및 결과

    3. 클라우드 컴퓨팅 서비스 이용 관련 업무 연속성 계획 및 안전성 확보조치에 관한 사항

    4. 제2항에 따른 정보보호위원회 심의·의결 결과

⑤ 클라우드 컴퓨팅 서비스를 이용하는 금융회사 또는 전자금융업자는 제3항에 따른 보고의무와 관계없이 제4항 각호에 따른 서류를 최신 상태로 유지하여야 하며, 금융감독원장의 요청이 있을 경우 이를 지체 없이 제공하여야 한다.  <신설 2018. 12. 21.>

⑥ 금융회사 또는 전자금융업자는 다음 각 호의 어느 하나에 해당하는 변경사항이 발생한 날로부터 7 영업일 이내에 발생 사유, 관련 자료 및 대응계획을 첨부하여 금융감독원장에게 보고하여야 한다.  <신설 2018. 12. 21.>

    1. 클라우드 컴퓨팅 서비스 제공자의 합병, 분할, 계약상 지위의 양도, 재위탁 등의 사유로 클라우드 컴퓨팅 서비스 이용계약에 중대한 변경사항이 발생한 경우

    2. 클라우드 컴퓨팅 서비스 제공자가 서비스 품질의 유지, 안전성 확보 등과 관련한 중요 계약사항을 이행하지 아니한 경우

    3. 제4항 제2호 또는 제3호에 관한 중대한 변경사항이 발생한 경우

⑦ 금융감독원장은 제3항 또는 제6항에 따라 제출한 보고 서류가 누락되거나, 중요도 평가 또는 업무 연속성 계획·안전성 확보조치 등이 충분하지 않다고 판단하는 경우에는 금융회사 또는 전자금융업자에 대하여 개선·보완을 요구할 수 있다.  <개정 2018. 12. 21.>

⑧ 제2항의 절차를 거친 클라우드 컴퓨팅 서비스 제공자의 정보처리시스템이 위치한 전산실에 대해서는 제11조 제11호 및 제12호, 제15조 제1항 제5호를 적용하지 아니한다. 다만, 금융회사 또는 전자금융업자(전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미치지 않는 외국금융회사의 국내지점, 제50조의 2에 따른 국외 사이버몰을 위한 전자지급결제대행업자는 제외한다)가 제3항 제1호에 따른 고유식별정보 또는 개인신용정보를 클라우드컴퓨팅서비스를 통하여 처리하는 경우에는 제11조 제12호를 적용하고, 해당 정보처리시스템을 국내에 설치하여야 한다. <단서신설 2018. 12. 21.>

⑨ 그밖에 금융회사 또는 전자금융업자의 클라우드컴퓨팅서비스 이용에 대해서는 「금융회사의 정보처리 업무 위탁에 관한 규정」에 따른다.  <신설 2018. 12. 21.>

요약하면, 여전히, 주요한 정보를 처리할 경우, 사전 신고, 보고 의무가 있으며, 이에 대해 안전점검 가이드를 마련해야 한다. 하지만, 이러한 안전가이드를 마련하고 추진한다면, 원천적으로 금융회사의 클라우드 서비스 이용은 가능해진 것이라고 볼 수 있겠다. 이에 대해, 금융보안원의 보다 상세한 가이드인 - "금융분야 클라우드 컴퓨팅 서비스 이용 가이드(2019년)"에서는 상세한 절차와 이용 가이드를 제공하고 있다. 아래에서 원문을 다운로드하자.

https://www.fsec.or.kr/user/bbs/fsec/147/315/bbsDataView/1155.do?page=1&column=&search=&searchSDate=&searchEDate=&bbsDataCategory=

본 글에서는 그 가이드의 핵심 요약 내용을 전달해보고자 한다.

이용대상의 선정

여러 요인에 따라, 의사결정을 해야 하지만, 이 이용 가이드의 가장 핵심은 금융사에서도, 자체 구축 시스템에 비해 유리하다고 판단될 경우, 적극적으로 클라우드 서비스 이용을 고려할 수 있다고 가이드되어 있다. 아래는 가이드에 명시된 예시들이다. 이런 경우, 클라우드 서비스 도입을 고려해 보자.

① AI, 빅데이터 등 신기술 활용으로 대량의 컴퓨팅 자원이 단기간에 요구되는 경우

② 신규 또는 파일럿 서비스를 구축하여야 하나, 시스템 사용량 규모에 대한 사전 예측이 어려운 경우

③ 시스템 사용량의 변동이 매우 큰 서비스인 경우

④ 짧은 시간 안에 구축이 필요하거나 기술 변화에 대한 민첩한 대응이 요구되는 경우

⑤ 사전 테스트 등 임시적으로 대용량의 시스템이 필요한 경우

⑥ 클라우드서비스 도입 또는 전환에 필요한 초기 투자비용보다 클라우드서비스 이용에 따른 운영

비용 절감이 더 크다고 판단되는 경우

⑦ 자체 시스템을 안전하게 보유･운영할 역량이 부족하나, 내부 운영 인력 등이 클라우드서비스

이용에 필요한 역량을 충분히 갖추고 있는 경우

⑧ 기타 금융회사의 전략 이행을 위해 필요하다고 판단되는 경우

중요도 선정

중요도 선정은 이후 프로세스 처리 시, 중요한 판단 기준이다.

중요 업무

- 우선, 고유식별정보와 개인의 신용 정보를 다룬다면 '중요 업무'이다.

고유식별정보(개인을 고유하게 구별하기 위하여 부여된 식별정보로서

주민등록번호, 여권번호, 면허번호, 외국인등록번호 등)나 신용정보(개인의 신용도 평가의 기준이 되거나, 금융거래 관련 정보를 다루는 업무는 일단 중요 업무로 처리된다.

다만, 전자금융거래와 관련이 없고 고객정보와 무관한 정보, 예를 들면, 내부 직원 정보는 이에 해당하지 않는다.

- 고유식별정보와 개인 신용정보를 다루지 않더라도 아래의 경우, 역시 중요 정보를 다루는 업무이다.

① 처리 정보의 중요도 및 정보 위･변조･유출 시 금융회사 및 금융소비자에 미칠 수 있는 영향

② 업무 중단 발생 시 주요 금융 기능 이행 및 운영･법적･평판 리스크에 미치는 영향

③ 업무 중단이 금융회사의 수익 및 운영 비용에 미치는 영향

④ 사고 또는 장애 발생 시 타 시스템의 업무 연속성 저해 수준 등 타 시스템과의 연계성

⑤ 복구 목표시간 등 해당 정보처리시스템의 업무 중요도

⑥ 운영, 개발, 테스트 시스템 등 정보처리시스템의 용도

⑦ 고객 또는 사내 직원 등 이용자 유형에 따른 해당 정보처리시스템 이용자 수 등

중요 업무로 판단된다면, 클라우드 서비스를 이용할 수 있으나, 필수로 구비해야 할 단계나 보고해야 할 단계가 좀 더 늘어나고 까다롭다. 정말 중요정보를 다뤄야 하는지 다시 생각해 보자.

보안정책/계획 준비하기

사실 클라우드 서비스를 이용하지 않는다고 해도 기본적으로 소프트웨어 서비스들이 준비해야 할 기본적인 사항들이라고 볼 수 있다.

데이터 백업

사고대응

서비스 품질 대응

중단 시 조치 등

특히, 금융사 대상 서비스의 경우, 비중요/중요 업무 분류에 따라, 안정성 관리 조치 방안이 강력 권고, 권고, 재량에 맡겨진다. 하지만, 기본적으로, 비중요 서비스라고 해도, 아래 항목들은 정책과 시스템적 보완을 해두는 게 혹시라고 발생할 수 있는 사고를 미연에 막을 수 있을 것이다.

금융보안원의 금융사의 클라우드 컴퓨팅 이용가이드 2019년자 발췌

클라우드 컴퓨팅 서비스 이용 가이드에는 각 항목에 대한 기본적인 안내나, 가이드가 잘 나와 있다.

금융사들의 경우, 이미 상당한 내부 운영 수칙이나 규칙이 세워져 있고, 클라우드 서비스 이용 시, 클라우드 서비스 제공사의 기술적, 정책적 보안 수준을 점검하고, 이를 적절하게 내부 시스템과 연동하는 가이드라고 이해할 수 있다.

특히, 만약, 해당 업무가 중요 업무에 해당된다면, 금융사들은, 기 수립･운영 중인 자체 업무 위수탁 운영기준에 <감독규정[별표 2의3]> 업무위탁 운영기준 보완사항을 반영하고 이를 준수해야 한다. 이용 가이드를 체크하자.

계약의 준비와 추진

금융회사는, 클라우드 서비스 제공자를 평가하고, 그 결과에 따라 계약 추진 및 이용 여부를 최종 결정한다.

필요시, 금융회사는 중요도 평가 결과, 자체 업무 위수탁 운영기준 및 클라우드 서비스 제공자 평가 결과에 대해 정보보호위원회를 개최하여 심의･의결하여야 한다.

계약 시 체크해야 할 사항

업무 중요도 평가 결과에 따라 중요도가 낮은 업무의 경우 금융회사가 선택적으로, 중요 업무일 경우는, 필수적으로 아래 사항들을 계약서에 명시, 체결을 해야 한다.

서비스 위탁 관련 명시사항

- 서비스 위치 및 물리적 위치에 관한 사항

- 접근권 및 감사권 수용 의무에 관한 사항

- 재위탁 관리에 관한 사항

- 서비스 중지 등 서비스 수준에 관한 사항

보안 관련 명시사항

- 데이터 보호와 관리에 대한 사항

- 사고대응 및 취약점 분석 대응에 대한 사항

- 기타 보안사항

출구전략 관련 명시사항

- 클라우드 서비스 이용 종료 및 전환 관련 협조사항

책임 관련 명확화

- 대외적 책임(예. 금융 서비스 소비자의 피해 보상)

- 계약 당사자간 책임

서류 구비 및 사전 보고

금융회사는 제3장의 중요도 평가 결과와 무관하게 클라우드 서비스 이용 전 다음 각 서류를 구비하여야 하고, 중요도 평가 결과 중요 업무의 경우, 클라우드 서비스를 실제로 이용하려는 날의 7 영업일 이전에 금융감독원에 이를 보고하여야 한다. (서류 상세 내용은 이용 가이드를 참조하자)

① 업무 위탁 관련 서류

② 자체 중요도 평가 기준 및 결과(제3장 참조)

③ 업무 연속성 계획 및 안전성 확보조치에 관한 사항(제4장 참조)

④ 정보보호위원회 심의･의결 결과(제5장 참조)

맺으며.

국내외 표준 보안 인증을 받은 클라우드 제공사 혹은 클라우드 기반 서비스 제공사의 경우, 충분히 개정된 가이드에 부합하는 서비스 제공이 가능하다. ISO 27001/27018 인증을 받은 자사의 경우, 제출해야하는 서류들 양식을 좀 바꿔야 해서 그렇지, 거의 모든 요건이 제출이 가능했었더랬다.  

금융사들의 최대 화두는 당연히 디지털 트랜스포메이션, 발전된 AI나 빅데이터 기술을 어떻게 금융 업무나, 고객 서비스에 활용할 것인가 일 것이다. 사실 금융사와 일해보면 IT인프라 관리 인력, 실제 개발인력이 현저히 부족한 것이 현실이다. 클라우드 서비스, 클라우드 기반 서비스 활용을 늘린다면, 보다 중요한 본체 혁신에 주력할 수 있지 않을까?

 

이번 개정안은, 특히, 중요 업무와 비중요 업무 구분을 나눠서 보고 프로세스 등을 간소화한 시도들이 주목할 만하다. 또, 안전한 시스템 구성을 위해 기본으로 갖춰야 할 내용들을 명시화하고 이용가이드화했다는 점 또한 장점이다.

최근 클라우드 서비스들의 경우, VPC(Vitual Private Cloud) 들을 제공해서, 고객사들이 가상 클라우드 공간에 자신들만의 독립된 공간으로 서비스 수혜가 가능하다. 이러한 서비스 도입의 장점은, 내부 시스템 운영인력이 없더라도 사전에 구성해서 좀 더 정확한 Estimation 이 가능하고, 장애 발생 시 이중화나, 트래픽 부하가 생길 때 유연한 확장이 가능하다.

금번 개정안을 통해, 원천적으로 금융회사의 클라우드 서비스 이용은 가능해졌고, 또 실제 이용하고자 할 때 서비스 자체를 점검하고 준비하는 과정을 통해서, 큰 사고를 미연에 방지할 수 있는 가능성도 생겼다는 판단이다.

다만, 사전 신고 시나 보고 시 절차나, 신고 서식이 좀 더 현실화가 되길 기대한다. 또한 이용 가이드 이상의 국내외 인증 취득 기관의 경우, 해당 인증서로 갈음할 수 있다거나 하는 일이 가능하다면 해당 산업 활성화에 더 큰 도움이 되겠다.

필자가 경영하는 코노랩스의 경우, 금융사에서도 안전하게 사용할 수 있는 일정/미팅/회의실 예약 및 관리를 사용 중인 이메일과 메신저에서, 자연어로 쉽게 처리할 수 있는 서비스를 제공한다. 이를 위해, 관련 정책을 리뷰했는데, 주변에서 잘 알지 못하는 듯해서, 공개해 본다.  

( https://kono.ai/ko/ 에서 "금융사" 도 기업 데모를 요청해 보세요. 보안 정책 및 시스템과 Use Case를 컨퍼런스콜로 안내해 드립니다.)

Kono.ai - 나만을 위한 인공지능 일정관리 비서를 경험해보세요