가. 기본보호 조치

◆클라우드서비스 제공자가 준수해야 할 일반적인 보안 기준으로, 국내･외 클라우드 보안인증 등을 취득･유지하고 있는 클라우드서비스 제공자에 대해서는 ‘기본 보호조치’ 항목 평가 생략 가능

※ 단, 금융회사가 사용하려는 물리적 시설(데이터 센터 등)과 서비스가 취득한 인증의 범위에 반드시 포함될 필요 (인증서 또는 인증기관이 발급한 서류에 관련 사실이 명시될 필요)

- (중요 업무) 이용 영역에 대해, 다음의 보안인증 보유 시 평가 생략 가능

- (비중요 업무) 이용 영역에 대해, 금융회사가 정한 보안인증 보유 시 평가 생략 가능(금융회사 자체 판단에 따라 상기 지정된 인증 이외에도 가능)

나. 금융부문 추가 보호조치

◆금융회사 및 전자금융업자가 감독규정 상의 의무를 준수하기 위하여 클라우드서비스 제공자의 지원 및 협조가 필수적인 사항 등을 점검

- 금융회사가 인정하는 보안인증 결과 또는 제3자 감사보고서에 동일 항목이 있다면 그 결과를 평가 증적 자료로 활용 가능(비중요 업무의 경우 동일한 항목이 있는 경우 해당 항목 평가 생략 가능)

가. 고유식별정보 또는 개인신용정보 처리 시 중요 업무로 취급

※ 다만, 전자금융거래와 관련이 없고 고객정보와 무관한 정보(예: 내부직원 정보) 처리 시 해당되지 않음

▶고유식별정보 : 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 주민등록번호, 여권번호, 면허번호, 외국인등록번호 중 어느 하나에 해당하는 정보(다만, 공공기관이 법 제18조제2항제5호부터 제9호까지의 규정에 따라 다음 각 호의 어느 하나에 해당하는 정보를 처리하는 경우의 해당 정보는 제외)(개인정보보호법 제24조제1항)

▶개인신용정보(신용정보법 제2조제2호)
- 신용정보 중 개인의 신용도와 신용거래능력 등을 판단할 때 필요한 정보로서 신용정보 중 기업 및 법인에 관한 정보를 제외한 살아 있는 개인에 관한 정보로서 성명ㆍ주민등록번호 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만 으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보를 포함한다)(~`20.8.4일)

- 기업 및 법인에 관한 정보를 제외한 살아 있는 개인에 관한 신용정보로서 해당 정보의 성명, 주민등록번호 및 영상 등을 통하여 특정 개인을 알아볼 수 있는 정보 또는 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합해 특정 개인을 알아볼 수 있는 정보(`20.8.5일~)

나. 고유식별정보 또는 개인신용정보를 직접 처리하지 않는 경우에도 아래 사항을 고려하여 전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미칠 경우 중요 업무로 취급

① 처리 정보의 중요도 및 정보 위･변조･유출 시 금융회사 및 금융소비자에 미치는 영향
② 업무 중단 발생 시 주요 금융 기능 이행 및 운영･법적･평판 리스크에 미치는 영향
③ 업무 중단이 금융회사의 수익 및 운영 비용에 미치는 영향
④ 사고 또는 장애 발생 시 타 시스템의 업무 연속성 저해 수준 등 타 시스템과의 연계성
⑤ 복구 목표시간 등 해당 정보처리시스템의 업무 중요도
⑥ 정보처리시스템의 용도
⑦ 금융소비자 등 해당 정보처리시스템 이용자 수

다. 네트워크 보안

◆클라우드서비스 제공자 구간에 위치한 정보처리시스템에 대해 동일 클라우드서비스를 이용하는 외부기관의 통신망과 분리･차단하고 접속을 금지하여야 함

- 내부망 정보처리시스템이 클라우드서비스 제공자 구간에 위치한 경우, 인터넷 등 외부통신망과도 분리･차단하고 접속을 금지하여야 함
※ 금융회사 전산실 내 물리적 망분리 구조를 논리적으로 구현

◆클라우드 이용과 관련하여 내부망 정보처리시스템·단말기와 클라우드 시스템 간 직접적인 연결이 필요한 경우다음 중 해당 사항을 반드시 준수하여야 함

- 자체 위험성 평가를 실시하고, 감독규정 시행세칙 ‘별표7’에서 정한 망분리 대체 정보보호 통제를 적용하고 정보보호위원회 승인 후 이용(시행세칙 제2조의2제3항)

- 금융회사와 전자금융보조업자 간의 접속은 전용회선(전용회선과 동등한 보안수준을 갖춘 가상의 전용회선을 포함한다)을 사용(감독규정 제60조제1항제5호)

- 전화 등 거래수단 성격 상 암호화가 불가능한 경우를 제외한 전자금융거래는 암호화 통신을 사용(다만, 전용선을 사용하는 경우로서 자체 보안성심의를 실시한 경우는 제외)(감독규정 제34조제1호)

- 침입차단시스템 등 정보보호시스템의 통제에 의해 필요한 서비스포트의 접근만 허용하고 그 외의 서비스는 차단하여 외부망에서 내부망으로 인가되지 않은 접근을 통제(시행세칙 제2조의2제1항, 감독규정 해설서 p.57)

- 외부망 연결에 따른 보안취약성 해소를 위하여 접속 로그를 주기적으로 분석하고 수시로 보안도구를 이용한 정보통신망의 취약성을 점검(감독규정 해설서 p.57)

◆금융회사 시스템·단말기와 클라우드 시스템 간 연결 시 다음 사항을 참고하여 적절한 세부 보호대책을 적용하여야 함

- 통신 채널 암호화 적용
- 특정 IP 또는 단말기에서만 접근할 수 있도록 통제
- 해당 단말은 관련 목적으로만 사용될 수 있도록 통제
- DMZ 구간 내 지정된 정보처리시스템을 통해서만 접근하도록 통제
- 멀티팩터 인증 실시
- 외부망 접근을 통한 중요 업무 수행 시 사전 승인 및 통제 절차 실시

▶ 단말기 위치별 보안 고려사항

1. 외부망 구축

➀ 기존 외부망 활용 : 단말기가 인터넷 기반 서비스 이용을 요구하는 경우 적용 가능한 구성으로 DMZ 영역 및 외부망에 단말기를 위치시켜 인터넷망을 통해 클라우드 시스템과 연결하는 방식

- (장점) 인터넷망 사용 시 별도의 통신 채널 구축이 불필요하여 ❶구축 용이하고 ❷CSP가 인터넷 기반으로 제공하는 API 및 콘솔(Console) 등 활용 가능
- (단점) 금융회사와 CSP가 인터넷을 통해 연결됨에 따라 ❶비인가자의 접근 가능성이 있으며, ❷이에 대응하기 위해서는 추가적인 접근통제 방안 구축이 요구됨
- (고려사항) 비인가자(내‧외부)에 의한 접근을 차단할 수 있도록 다단계 접근통제 방안 필요

➁ 독립망 활용 : 물리적 또는 논리적으로 독립된 별도의 외부망을 구성하여 단말기를 연결하는 경우로 독립적으로 기존의 외부망과 별도 분리된 네트워크망을 구축하여 클라우드 시스템과 연결하는 방식

- (장점) 클라우드 이용 단말기를 별도의 네트워크에 위치시킴으로써 물리적 분리 등 강화된 통제가 가능
- (단점) 독립망 구축에 따라 ❶별도의 구축 및 관리 비용이 필요하며, ❷인터넷망을 사용함에 따른 보안위협 존재
- (고려사항) 비인가자(외부)에 의한 접근을 차단할 수 있도록 다단계 접근통제 방안 필요

2. 내부망 구축

➀ 기존 내부망 활용 : 단말기를 금융회사 내부망에 위치시키고 클라우드 시스템과 연결하는 방식

- (장점) 외부망과 비교해 상대적으로 강화된 보안 대책이 적용된 내부망에 위치함에 따라서 비인가자(외부)의 접근 차단 가능
- (단점) 내부망에 위치함에 따라 인터넷 기반 통신이 제한되어 CSP가 제공하는 인터넷 기반 서비스 이용 어려움
- (고려사항) 금융회사의 내부망을 외부기관인 CSP와 연결함에 따라 전용회선(또는 VPN) 사용이 요구되며, 망분리 예외에 따른 대체 정보보호통제 적용 등이 요구됨

➁ DMZ 경유 : 기존 내부망 활용과 유사하나 CSP와의 연결을 위해 DMZ 구간 등에 위치한 중계서버 등을 활용

- (장점) ❶내부망에 위치함에 따라 단말기 안전성 확보가 용이하며, ❷인터넷 접근이 가능하여, CSP가 제공하는 인터넷 기반의 다양한 서비스 이용이 가능
- (단점) DMZ 구간 등에 위치한 중계서버를 경유하여 내부망에 대한 접근 및 공격이 발생할 우려
- (고려사항) 중계서버를 이용한 내부망 접근 및 공격 발생을 예방할 수 있는 보안통제 적용 필요

※ 단, 감독규정에 따른 중요 단말기의 경우 ‘기존 내부망 활용’ 방식만 이용 가능

▶ 단말기 접근통제 방안

➀ 계정 관리 : 목적별, 그룹별 등의 구분을 통해 계정에 대한 정책을 수립하고, 계정 생성·변경·파기 절차 등 계정 관리 관련 방안 수립 필요

- 예1) 사용자, 관리자 및 기능별 계정 등 계정을 목적에 따라 구분하여 관리 (계정 생성·변경·파기 권한을 가진 관리 자는 강화된 보안 정책 적용)
- 예2) 계정에 대한 주기적인 관리 및 모니터링 수행

➁ 인증 관리 : 인증 절차에 취약성으로 인하여 발생할 수 있는 보안 위협 예방을 위한 적절한 인증 절차 및 방안 도입 필요

- 예1) IAM(Identity Access Management) 등의 자격증명 기능 활용
- 예2) 주요 계정(관리자 등)에 MFA(Multi-Factor Authentication) 수행

➂ 권한 관리 : 권한 상승 및 비인가 자원 접근 등으로 인해 발생 가능한 보안 위협을 예방하기 위해 사용자 접근 권한 부여 및 관리 필요

- 예1) 사용자 및 그룹별(관리자 그룹 등) 접근 권한을 부여하고 관리
- 예2) 자원에 대한 접근이 필요한 경우 최소한의 권한만을 부여하여 필요한 서비스 및 데이터에만 접근하도록 관리

➃ 방화벽 정책 : 방화벽을 비롯한 보안장비의 정책을 네트워크 구성에 적합하게 설정하여 비인가 접근 등에 대한 예방 수행

- 예1) 클라우드 시스템에 접근하는 금융회사 내부 시스템에 구축된 단말기의 경우 ‘인바운드 디나이 올(인Inbound Deny All)’ 등의 정책을 통해 외부에서의 접근 원천 차단
- 예2) 방화벽 정책과 관련하여 미사용 정책 및 중복 정책 등에 대한 식별 및 제거를 통하여 주기적인 정책 관리 시행

➄ 클라우드서비스 제공 접근통제 : CSP가 제공하는 기능(디바이스 핑거프린팅* 기반 접근통제 등) 사용을 통한 접속 단말기 통제
* 사용자의 네트워크, 운영체제, 하드웨어, 브라우저 구성 및 설정 정보 등을 기반으로 장치를 추적하는 방법

- 예1) CSP가 금융회사 내부 시스템에 도입된 신규 단말기 접속 IP를 수집하여 해당에서의 접근만 허용
- 예2) 신규 단말기에 디바이스 핑거프린팅을 위한 Agent를 설치하여 해당단말기에 대한 정보를 수집하여 이를 기반으로 접근통제 수행

➅ 물리적 접근통제 : 별도 단말기를 물리적으로 분리된 장소에 구축하여 원천적인 접근을 차단하는 방식

- 예) 물리적 보안 구역을 지정하고 인가된 사용자만 출입할 수 있도록 출입통제 및 접근기록 관리 등을 통해 해당 구역에 대한 관리 수행

1) 적용 대상 업무 사례

이 가이드는 전자금융감독규정(이하, 감독규정) 적용대상이 되는 금융회사 또는 전자금융업자에 적용.
다만, 금융회사가 보유하고 있는 정보처리시스템 또는 데이터와 연계가 없고, 금융업 영위와 직접적으로 관계되지 아니하는 경우는 감독규정 제14조의2 적용대상이 아니며, 따라서 본 가이드의 적용 대상이 아님

* 적용 대상이 아닌 업무에 대해 클라우드서비스 이용 시 감독규정 제14조의2제1항의 절차 준수 불필요(다만, 같은 조 제8항에 따른 예외필요 시 제1항의 절차 준수 필요)

가. 적용 대상 포함 업무 예시
- 코어뱅킹 등 핵심 금융시스템
- 금융서비스 관련 웹서버 또는 채널 시스템
- 업무용 메일 서비스(내부·외부망 모두 포함)
- 업무자료 작성 및 편집을 위한 구독형 문서 작성 프로그램
- 클라우드 상의 가상PC(VDI)를 통한 내부망 접근
- 직원 관리, 급여 조회 및 제증명서 발급 포털 등 인사 관련 시스템

나. 적용 대상 미포함 업무 예시
* 단, 미포함 업무 예시에 해당하는 경우라도 금융회사가 보유하고 있는 정보처리시스템(인터넷 전용 비업무용 단말기 제외) 또는 데이터와 연계가 있거나, 금융업 영위와 직접적으로 관계있는 정보처리의 경우는 가이드 적용 대상

- 클라우드 기반 SNS에 홍보 동영상 게시
- 고객의 개인정보, 거래정보와 관련 없는 단순 설문조사(만족도 조사 등)
- 직원 채용 및 연수 관련 프로그램
- 내부망 연결 없이 금융회사 외부망에서 클라우드 기반 인터넷서비스를 이용하는 경우
- 대용량의 문서, 사진, 동영상 등을 외부에 공개하기 위한 콘텐츠 전송 네트워크(Content Delivery Networks) 서비스 이용
- 실제 고객 데이터를 사용하지 않고, 금융서비스 제공을 위한 업무 환경에 전혀 영향을 미치지 않는 테스트 및 PoC
- 재난 발생 상황 시 재택‧원격 근무를 위한 메신저, 화상회의 등의 이용
- 공개된 정보를 편집·가공·분석하는 업무
* 예: 뉴스, SNS 키워드를 통한 트렌드 분석, 금융시장 지표 등 공개된 시장정보 빅데이터 분석 등
- 홍보용 또는 사회공헌 사업용 공개 웹페이지
- 국외에 본점을 둔 금융회사에서 CSP와 계약을 체결하고, 국내 지점이 이를 이용하는 경우
- 금융 거래 웹·앱에서 외부 제공 서비스나 자료를 링크로 연결하는 경우
* 예: 동영상 스트리밍, 지도 제공, SNS·SMS 연결 등

2) 적용 대상 클라우드 사례
감독규정 제14조의2는 금융회사가 클라우드컴퓨팅법 제2조제3호에 따른 클라우드컴퓨팅서비스를 이용하는 경우에만 관련 절차를 준수하도록 규정

* 클라우드컴퓨팅법 제2조 제3호에서 규정하고 있는 것 이외의 클라우드서비스를 이용하는 경우에는 감독규정 제14조의2의 절차를 준수하지 않아도 무방(다만, 같은 조 제8항에 따른 예외 필요 시 제1항의 절차 준수 필요)

클라우드컴퓨팅법 제2조 제3호에 따른 ‘클라우드컴퓨팅서비스’란 클라우드컴퓨팅을 활용하여 상용(商⽤)으로 타인에게 정보통신자원을 제공하는 서비스로서 ①서버, 저장장치, 네트워크 등을 제공하는 서비스, ②응용프로그램 등 소프트웨어를 제공하는 서비스, ③응용프로그램 등 소프트웨어의 개발･배포･운영･관리 등을 위한 환경을 제공하는 서비스, ④그 밖에 ①~③의 서비스를 둘 이상 복합하는 경우를 의미

가. 적용 대상 포함 클라우드 예시

- 무상으로 제공하더라도 광고를 통해 수익을 올리는 등 상업용으로 제공 중인 클라우드서비스
- 자체적으로 구축하거나 협회, 단체, 계열사 등이 구축한 클라우드시스템이라도 서비스의 전부 또는 일부를 소속 구성원 이외를 대상으로 상용으로 제공하고 있다면 그 범위 내에서 대상에 포함

나. 적용 대상 미포함 클라우드 예시

- 해당 금융회사의 자원(시스템·네트워크 등 포함)이 타 사용자와 물리적으로 분리되어 공유되지 않도록 전용으로 구축(아웃소싱 포함)한 클라우드서비스
* 타인이 개발·구축·운영·관리하는 경우에도 해당 전산 시설이 타 사용자와 물리적으로 분리되어 공유되지 않는 경우 포함

- 협회, 단체, 계열사 등이 소속 구성원 전용(구성원 이외 사용자와 물리적으로 분리되어 공유되지 않음)으로 구축한 클라우드서비스(소속 구성원만을 대상으로 서비스 제공하면서 서비스 제공에 따른 최소한의 대가를 받는 경우도 비상용 클라우드로 인정 가능)

- 금융회사가 자사 이용 목적이 아닌, 핀테크 기업 지원 등을 위해 별도로 클라우드서비스를 구성하여 제공하는 경우

* 다만, 해당 핀테크 기업이 전자금융업자인 경우 클라우드를 제공하는 금융회사가 아닌 해당 핀테크 기업이 클라우드 서비스 이용 절차를 준수할 필요

1. 재위탁 관련 부문 : 정보보호 관련 업무 재위탁 금지 예외 명시

◆클라우드서비스 제공자는 정보기술부문의 정보보호와 관련된 업무를 위탁받은 경우, 해당업무를 제3자에게 재위탁할 수 없음(전자금융거래법 제40조제6항)

- 다만, 전자금융거래정보의 보호와 관련된 전산장비·소프트웨어에 대한 개발·운영 및 유지관리 업무를 재위탁하는 경우로 다음 사항을 준수하는 경우 가능(감독규정 제60조제4항)

√ 재수탁업자가 재위탁된 업무를 처리함에 있어 금융거래 정보의 변경이 필요한 경우에는 위탁회사 또는 원수탁업자의 개별적 지시에 따라야 하며, 위탁회사 또는 원수탁업자는 변경된 정보가 지시 내용에 부합하는지 여부를 확인하여야 함

√ 위탁업무와 관련된 이용자의 금융거래정보는 위탁회사의 전산실 내에 두어야 함. 다만, 재수탁업자가 이용자의 정보를 어떠한 경우에도 알지 못하도록 위탁회사 또는 원수탁업자가 금융거래정보를 처리하여제공한 경우에는 위탁회사의 관리·통제 하에 재수탁회사 등 제3의 장소로 이전 가능함

2. 정보파기 관련 부문 : 문구 명확화

◆클라우드서비스 제공자는 금융회사가 자신의 정보를 파기할 수 있는 신뢰성 있는 수단을 제공하여야 하며, 금융회사가 제공되는 수단을 적절하게 이용할 경우 파기된 정보는 복구 불가능함을 보장하여야 함

- 특히, 금융회사가 이용하는 시스템의 물리적 영역이 변경되거나, 이용을 종료하여 접근할 수 없는 경우에도 금융회사가 기 이용한 물리적 영역에 저장된 정보는 복구 불가능한 수준으로 파기되어야 함

- 아울러, 전자금융거래기록의 경우 '전자금융거래법' 제22조 및 동법 시행령 제12조를, 개인정보의 경우 '개인정보보호법' 제21조 등 관계 법령을 준수하여 파기할 수 있도록 지원

- 이 때, 재위탁된 정보, 관리 서비스 및 주변 솔루션 내 정보 등도 동일하게 처리

3. 인력관리 관련 부문 : 업무수행인력 제한

◆금융회사는 클라우드서비스 제공자의 업무수행인력에 대하여 사전 신원조회 실시(신원보증보험증권 징구로 갈음할 수 있음) 또는 대표자의 신원보증서를 징구할 수 있고, 

- 클라우드서비스 제공자는 업무수행인력 내역 및 인력변경 시 인수인계에 관한 사항 등을 포함한 업무수행인력 관리방안을 제출하여야 함(감독규정 제60조제1항제13호)

- 또한, 클라우드서비스 제공자는 직원 보안 교육을 주기적으로 실시하고, 금융회사가 요청할 경우 교육 계획 및 수행 결과를 제출하여야 함

√ 특히, 금융회사 관련 업무 수행에 따른 비밀유지 의무 준수 및 위반 시 처벌내용 등에 대한 내용을 보안 교육에 포함하여야 함

※ 다만, 금융회사 관련 업무수행인력을 특정할 수 없을 경우, 해당 데이터센터 근무 인력 등 금융회사 서비스 제공과 직접적으로 연관되어 있는 인력으로 한정하여 실시 가능

4. 제공기준 충족 요구 부문 : 금융회사가 요구하는 수준으로 한정