편집 : 2021.1.22 금 12:36
금융IT
“금융 클라우드 안전성 평가 중복 없어진다”워킹그룹 논의 확대…개정안 마련 전 부터 시행 예정
김동기 기자  |  kdk@bikorea.net
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
승인 2020.09.07  08:10:38
트위터 페이스북 미투데이 요즘 네이버 구글 msn

그동안 ‘중복평가’ 논란이 일었던 금융 클라우드 안전성 평가가 ‘대표 평가’로 갈음되고, 이 정책은 빠르면 올 하반기부터 시행될 것으로 보인다. 

7일 금융당국 등에 따르면, 올 연초부터 논의가 확대중인 ‘금융분야 클라우드 컴퓨팅서비스 이용 가이드’ 개정이 올 연말까지 만들어지고, 내년 연초부터 시행될 것으로 예상된다. 

현재 금융보안원 및 산학연으로 구성된 워킹 그룹은 올 연초부터 가이드 개정에 대한 수차례 협의를 진행중인 것으로 알려졌다. 

업계에서 전하는 핵심 내용은 금융 클라우드 안전성 평가를 수차례 시행하는 현행 적용방식을 개선, 여타 인증과 같이 1회 인증 후 1년 또는 3년마다 갱신하는 방식이 채택될 가능성이 높은 것으로 알려졌다.

<BI코리아>는 지난 6월 워킹그룹 회의 내용을 중심으로, 가이드 개정의 방향성을 가늠해 봤다. 

금융보안원은 다만, 논의 단계이기 때문에 확정 개정안은 아니라는 점을 첨언했다.

◆금융분야 클라우드서비스 제공자 안전성 평가 기준 = 금융회사나 클라우드 서비스, 즉 CSP 사업자 모두 크게 반기는 개정 내용은 ‘안전성 평가’ 기준이 대폭 완화된다는 점이다. 

기존에는 금융회사별로 클라우드 이용시 마다 안전성 평가를 받아야 했다. 

이번에 개정을 검토중인 평가의 종류는 종합평가·정기평가·확인평가로 구분된다.

클라우드서비스 최초 이용 시 실시하는 ‘종합 평가’와 이용 중 보안수준 유지여부 확인을 위해 실시하는 ‘정기 평가’로 구분되며, 비중요 업무의 처리만 위탁하는 경우 정기 평가 생략이 가능하게 된다.

‘종합평가’는 고유식별정보 또는 개인신용정보 처리 시 현장(방문)평가, 그 외 서면평가 방식으로, ‘정기평가’는 매년 서면평가, 고유식별정보 또는 개인신용정보 처리 시 3년차 현장(방문) 평가 방식으로 대체된다.

개정안에는 이같은 평가를 기준으로 하면서, 중복평가 최소화를 위해 금융회사 수요가 많은 일부 CSP에 대해 침해사고 대응기관이 대표로 평가를 실시할 수 있도록 했다.

예컨대, A금융회사의 클라우드 이용 관련, 금융보안원의 안전성 평가를 받은 B 클라우드 서비스 사업자의 안전성 결과를 C금융회사에서 활용할 수 있다는 것이다.

덧붙여 이번 개정에는 ‘기본 보호조치 평가 생략 인증’이 추가된다.

다수 CSP가 취득한 3개 인증(ISO 27017, ISMS-P, SOC2 TypeⅡ)을 추가해 평가 부담을 완화할 것으로 보인다. 

다만, 클라우드 특화 인증이 아닌 2개 인증(ISMS-P, SOC2 타입)은 ‘기본 보호조치’ 중 ‘가상화 보안’ 통제 분야 별도 점검은 필요할 것으로 보인다.

비중요 업무의 경우, 금융회사 자체 판단에 따라 그 밖에 인증도 활용 가능하도록 완화할 방침이다. 

금융당국은 또 비중요 업무에 한해 보안인증 결과 또는 제3자 감사보고서로 금융부문 추가 보호조치 평가를 대체할 수 있도록 개선하도록 가이드를 개정할 예정이다. 

비중요 업무의 경우, 별도 평가없이 보안인증 또는 제3자 감사보고서 결과를 검토하는 것으로 CSP 안전성 평가의 대체가 가능해진다는 얘기다. 

금융보안원 등은 비중요 업무의 안전성 평가 생략을 위한 규정 개정을 건의중이라고 덧붙였다.

가. 기본보호 조치

◆클라우드서비스 제공자가 준수해야 할 일반적인 보안 기준으로, 국내・외 클라우드 보안인증 등을 취득・유지하고 있는 클라우드서비스 제공자에 대해서는 ‘기본 보호조치’ 항목 평가 생략 가능

※ 단, 금융회사가 사용하려는 물리적 시설(데이터 센터 등)과 서비스가 취득한 인증의 범위에 반드시 포함될 필요 (인증서 또는 인증기관이 발급한 서류에 관련 사실이 명시될 필요)

- (중요 업무) 이용 영역에 대해, 다음의 보안인증 보유 시 평가 생략 가능

   
 

- (비중요 업무) 이용 영역에 대해, 금융회사가 정한 보안인증 보유 시 평가 생략 가능(금융회사 자체 판단에 따라 상기 지정된 인증 이외에도 가능)

나. 금융부문 추가 보호조치

◆금융회사 및 전자금융업자가 감독규정 상의 의무를 준수하기 위하여 클라우드서비스 제공자의 지원 및 협조가 필수적인 사항 등을 점검

- 금융회사가 인정하는 보안인증 결과 또는 제3자 감사보고서에 동일 항목이 있다면 그 결과를 평가 증적 자료로 활용 가능(비중요 업무의 경우 동일한 항목이 있는 경우 해당 항목 평가 생략 가능)

이같은 조치들이 시행될 경우, 국내 설치 의무가 부여된 고유식별정보 및 개인 신용정보 처리 업무 위탁 시에만 현장(방문) 검증을 실시하도록 규제가 완화되는 효과가 기대된다.

금융보안원 등 금융당국은 현재 가이드를 안전성 평가 관련 기본 방향을 제시하고, ▲평가항목 ▲평가지원 ▲평가지원 및 경과 공유에 대한 관련 사항은 ‘CSP 안전성 평가 안내서’를 통해 설명하게 될 것이라고 밝혔다.

기이드 일부 내용이 안내서로 대체된다는 것. 

금융보안원은 이같은 평가 완화가 올 하반기부터 시행될 것으로 보고, 상반기부터 수행중인 평가에 대해서도 소급 적용할 예정이다. 

◆중요도 평가 부문 = 이번 가이드 개정에는 신용정보법 개정 사항 반영, 테스트 업무 등이 불필요하게 중요 업무로 판단되지 않도록 평가 기준을 일부 개선할 예정이다.

가. 고유식별정보 또는 개인신용정보 처리 시 중요 업무로 취급

※ 다만, 전자금융거래와 관련이 없고 고객정보와 무관한 정보(예: 내부직원 정보) 처리 시 해당되지 않음

▶고유식별정보 : 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 주민등록번호, 여권번호, 면허번호, 외국인등록번호 중 어느 하나에 해당하는 정보(다만, 공공기관이 법 제18조제2항제5호부터 제9호까지의 규정에 따라 다음 각 호의 어느 하나에 해당하는 정보를 처리하는 경우의 해당 정보는 제외)(개인정보보호법 제24조제1항)

▶개인신용정보(신용정보법 제2조제2호)
- 신용정보 중 개인의 신용도와 신용거래능력 등을 판단할 때 필요한 정보로서 신용정보 중 기업 및 법인에 관한 정보를 제외한 살아 있는 개인에 관한 정보로서 성명ㆍ주민등록번호 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만 으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보를 포함한다)(~`20.8.4일)

- 기업 및 법인에 관한 정보를 제외한 살아 있는 개인에 관한 신용정보로서 해당 정보의 성명, 주민등록번호 및 영상 등을 통하여 특정 개인을 알아볼 수 있는 정보 또는 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합해 특정 개인을 알아볼 수 있는 정보(`20.8.5일~)

나. 고유식별정보 또는 개인신용정보를 직접 처리하지 않는 경우에도 아래 사항을 고려하여 전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미칠 경우 중요 업무로 취급

① 처리 정보의 중요도 및 정보 위・변조・유출 시 금융회사 및 금융소비자에 미치는 영향
② 업무 중단 발생 시 주요 금융 기능 이행 및 운영・법적・평판 리스크에 미치는 영향
③ 업무 중단이 금융회사의 수익 및 운영 비용에 미치는 영향
④ 사고 또는 장애 발생 시 타 시스템의 업무 연속성 저해 수준 등 타 시스템과의 연계성
⑤ 복구 목표시간 등 해당 정보처리시스템의 업무 중요도
⑥ 정보처리시스템의 용도
⑦ 금융소비자 등 해당 정보처리시스템 이용자 수

◆보호대책 부문 = 검토 중인 ‘금융분야 클라우드 컴퓨팅서비스 이용 가이드’ 개정안 중 비중요업무에 대한 적용 범위 예시 권고가 하향 조정될 전망이다.

   
 

아울러 계정 관리 부문의 ‘계정’이 클라우드 기업 계정과 혼동될 여지가 있어, 서비스·사업별로 이용되는 계정을 의미함을 명확히 표기하기로 개정안은 마련중이다. 

즉, 가이드에서 말하는 ‘계정 관리’란, 클라우드서비스 내에서 서비스·사업별로 이용되는 관리자·이용자의 계정을 의미한다고 명확히 하는 것이다. 

이어 ‘연계 방법 부문’에 대한 개선도 추진된다. 

내부 시스템·단말기와의 연계 방법을 원칙 중심으로 개선했으며, 가상자원 관리 시스템 등 접근 단말 구성을 위한 예시를 마련해 금융회사 및 CSP에게 제공할 예정이다. 

다. 네트워크 보안

◆클라우드서비스 제공자 구간에 위치한 정보처리시스템에 대해 동일 클라우드서비스를 이용하는 외부기관의 통신망과 분리・차단하고 접속을 금지하여야 함

- 내부망 정보처리시스템이 클라우드서비스 제공자 구간에 위치한 경우, 인터넷 등 외부통신망과도 분리・차단하고 접속을 금지하여야 함
※ 금융회사 전산실 내 물리적 망분리 구조를 논리적으로 구현

클라우드 이용과 관련하여 내부망 정보처리시스템·단말기와 클라우드 시스템 간 직접적인 연결이 필요한 경우다음 중 해당 사항을 반드시 준수하여야 함

- 자체 위험성 평가를 실시하고, 감독규정 시행세칙 ‘별표7’에서 정한 망분리 대체 정보보호 통제를 적용하고 정보보호위원회 승인 후 이용(시행세칙 제2조의2제3항)

- 금융회사와 전자금융보조업자 간의 접속은 전용회선(전용회선과 동등한 보안수준을 갖춘 가상의 전용회선을 포함한다)을 사용(감독규정 제60조제1항제5호)

- 전화 등 거래수단 성격 상 암호화가 불가능한 경우를 제외한 전자금융거래는 암호화 통신을 사용(다만, 전용선을 사용하는 경우로서 자체 보안성심의를 실시한 경우는 제외)(감독규정 제34조제1호)

- 침입차단시스템 등 정보보호시스템의 통제에 의해 필요한 서비스포트의 접근만 허용하고 그 외의 서비스는 차단하여 외부망에서 내부망으로 인가되지 않은 접근을 통제(시행세칙 제2조의2제1항, 감독규정 해설서 p.57)

- 외부망 연결에 따른 보안취약성 해소를 위하여 접속 로그를 주기적으로 분석하고 수시로 보안도구를 이용한 정보통신망의 취약성을 점검(감독규정 해설서 p.57)

◆금융회사 시스템·단말기와 클라우드 시스템 간 연결 시 다음 사항을 참고하여 적절한 세부 보호대책을 적용하여야 함

- 통신 채널 암호화 적용
- 특정 IP 또는 단말기에서만 접근할 수 있도록 통제
- 해당 단말은 관련 목적으로만 사용될 수 있도록 통제
- DMZ 구간 내 지정된 정보처리시스템을 통해서만 접근하도록 통제
- 멀티팩터 인증 실시
- 외부망 접근을 통한 중요 업무 수행 시 사전 승인 및 통제 절차 실시

금융보안원 등 당국은 이같은 조치를 통해 계정관리, 접근통제 등 금융회사가 안전한 클라우드 이용을 위해 적용할 필요가 있는 보호대책 일부를 추가할 것이라고 밝혔다.

- 클라우드 이용 및 관리 단말기 위치별 보안고려사항 및 접근통제 방안(예시) - 

▶ 단말기 위치별 보안 고려사항

1. 외부망 구축

➀ 기존 외부망 활용 : 단말기가 인터넷 기반 서비스 이용을 요구하는 경우 적용 가능한 구성으로 DMZ 영역 및 외부망에 단말기를 위치시켜 인터넷망을 통해 클라우드 시스템과 연결하는 방식

- (장점) 인터넷망 사용 시 별도의 통신 채널 구축이 불필요하여 ❶구축 용이하고 ❷CSP가 인터넷 기반으로 제공하는 API 및 콘솔(Console) 등 활용 가능
- (단점) 금융회사와 CSP가 인터넷을 통해 연결됨에 따라 ❶비인가자의 접근 가능성이 있으며, ❷이에 대응하기 위해서는 추가적인 접근통제 방안 구축이 요구됨
- (고려사항) 비인가자(내‧외부)에 의한 접근을 차단할 수 있도록 다단계 접근통제 방안 필요

➁ 독립망 활용 : 물리적 또는 논리적으로 독립된 별도의 외부망을 구성하여 단말기를 연결하는 경우로 독립적으로 기존의 외부망과 별도 분리된 네트워크망을 구축하여 클라우드 시스템과 연결하는 방식

- (장점) 클라우드 이용 단말기를 별도의 네트워크에 위치시킴으로써 물리적 분리 등 강화된 통제가 가능
- (단점) 독립망 구축에 따라 ❶별도의 구축 및 관리 비용이 필요하며, ❷인터넷망을 사용함에 따른 보안위협 존재
- (고려사항) 비인가자(외부)에 의한 접근을 차단할 수 있도록 다단계 접근통제 방안 필요

2. 내부망 구축

➀ 기존 내부망 활용 : 단말기를 금융회사 내부망에 위치시키고 클라우드 시스템과 연결하는 방식

- (장점) 외부망과 비교해 상대적으로 강화된 보안 대책이 적용된 내부망에 위치함에 따라서 비인가자(외부)의 접근 차단 가능
- (단점) 내부망에 위치함에 따라 인터넷 기반 통신이 제한되어 CSP가 제공하는 인터넷 기반 서비스 이용 어려움
- (고려사항) 금융회사의 내부망을 외부기관인 CSP와 연결함에 따라 전용회선(또는 VPN) 사용이 요구되며, 망분리 예외에 따른 대체 정보보호통제 적용 등이 요구됨

➁ DMZ 경유 : 기존 내부망 활용과 유사하나 CSP와의 연결을 위해 DMZ 구간 등에 위치한 중계서버 등을 활용

- (장점) ❶내부망에 위치함에 따라 단말기 안전성 확보가 용이하며, ❷인터넷 접근이 가능하여, CSP가 제공하는 인터넷 기반의 다양한 서비스 이용이 가능
- (단점) DMZ 구간 등에 위치한 중계서버를 경유하여 내부망에 대한 접근 및 공격이 발생할 우려
- (고려사항) 중계서버를 이용한 내부망 접근 및 공격 발생을 예방할 수 있는 보안통제 적용 필요

※ 단, 감독규정에 따른 중요 단말기의 경우 ‘기존 내부망 활용’ 방식만 이용 가능

▶ 단말기 접근통제 방안

➀ 계정 관리 : 목적별, 그룹별 등의 구분을 통해 계정에 대한 정책을 수립하고, 계정 생성·변경·파기 절차 등 계정 관리 관련 방안 수립 필요

- 예1) 사용자, 관리자 및 기능별 계정 등 계정을 목적에 따라 구분하여 관리 (계정 생성·변경·파기 권한을 가진 관리 자는 강화된 보안 정책 적용)
- 예2) 계정에 대한 주기적인 관리 및 모니터링 수행

➁ 인증 관리 : 인증 절차에 취약성으로 인하여 발생할 수 있는 보안 위협 예방을 위한 적절한 인증 절차 및 방안 도입 필요

- 예1) IAM(Identity Access Management) 등의 자격증명 기능 활용
- 예2) 주요 계정(관리자 등)에 MFA(Multi-Factor Authentication) 수행

➂ 권한 관리 : 권한 상승 및 비인가 자원 접근 등으로 인해 발생 가능한 보안 위협을 예방하기 위해 사용자 접근 권한 부여 및 관리 필요

- 예1) 사용자 및 그룹별(관리자 그룹 등) 접근 권한을 부여하고 관리
- 예2) 자원에 대한 접근이 필요한 경우 최소한의 권한만을 부여하여 필요한 서비스 및 데이터에만 접근하도록 관리

➃ 방화벽 정책 : 방화벽을 비롯한 보안장비의 정책을 네트워크 구성에 적합하게 설정하여 비인가 접근 등에 대한 예방 수행

- 예1) 클라우드 시스템에 접근하는 금융회사 내부 시스템에 구축된 단말기의 경우 ‘인바운드 디나이 올(인Inbound Deny All)’ 등의 정책을 통해 외부에서의 접근 원천 차단
- 예2) 방화벽 정책과 관련하여 미사용 정책 및 중복 정책 등에 대한 식별 및 제거를 통하여 주기적인 정책 관리 시행

➄ 클라우드서비스 제공 접근통제 : CSP가 제공하는 기능(디바이스 핑거프린팅* 기반 접근통제 등) 사용을 통한 접속 단말기 통제
* 사용자의 네트워크, 운영체제, 하드웨어, 브라우저 구성 및 설정 정보 등을 기반으로 장치를 추적하는 방법

- 예1) CSP가 금융회사 내부 시스템에 도입된 신규 단말기 접속 IP를 수집하여 해당에서의 접근만 허용
- 예2) 신규 단말기에 디바이스 핑거프린팅을 위한 Agent를 설치하여 해당단말기에 대한 정보를 수집하여 이를 기반으로 접근통제 수행

➅ 물리적 접근통제 : 별도 단말기를 물리적으로 분리된 장소에 구축하여 원천적인 접근을 차단하는 방식

- 예) 물리적 보안 구역을 지정하고 인가된 사용자만 출입할 수 있도록 출입통제 및 접근기록 관리 등을 통해 해당 구역에 대한 관리 수행

◆적용 범위 및 이용절차 부문 = 개정될 가이드에는 가이드 적용대상 업무를 예시를 들어 설명, 금융회사가 가이드 적용 여부를 보다 명확하게 판단할 수 있도록 반영할 방침이다. 

가이드 적용대상에 포함되지 않는 업무 및 클라우드를 구체적으로 제시, 금융회사의 클라우드 이용에 따른 부담을 완화하겠다는 것이다.

덧붙여 금융당국은 금융회사가 클라우드 이용 절차와 주요 고려사항을 명확하게 파악할 수 있도록 가이드 구성을 일부 개선할 예정이다. 

1) 적용 대상 업무 사례

이 가이드는 전자금융감독규정(이하, 감독규정) 적용대상이 되는 금융회사 또는 전자금융업자에 적용.
다만, 금융회사가 보유하고 있는 정보처리시스템 또는 데이터와 연계가 없고, 금융업 영위와 직접적으로 관계되지 아니하는 경우는 감독규정 제14조의2 적용대상이 아니며, 따라서 본 가이드의 적용 대상이 아님

* 적용 대상이 아닌 업무에 대해 클라우드서비스 이용 시 감독규정 제14조의2제1항의 절차 준수 불필요(다만, 같은 조 제8항에 따른 예외필요 시 제1항의 절차 준수 필요)

가. 적용 대상 포함 업무 예시
- 코어뱅킹 등 핵심 금융시스템
- 금융서비스 관련 웹서버 또는 채널 시스템
- 업무용 메일 서비스(내부·외부망 모두 포함)
- 업무자료 작성 및 편집을 위한 구독형 문서 작성 프로그램
- 클라우드 상의 가상PC(VDI)를 통한 내부망 접근
- 직원 관리, 급여 조회 및 제증명서 발급 포털 등 인사 관련 시스템

나. 적용 대상 미포함 업무 예시
* 단, 미포함 업무 예시에 해당하는 경우라도 금융회사가 보유하고 있는 정보처리시스템(인터넷 전용 비업무용 단말기 제외) 또는 데이터와 연계가 있거나, 금융업 영위와 직접적으로 관계있는 정보처리의 경우는 가이드 적용 대상

- 클라우드 기반 SNS에 홍보 동영상 게시
- 고객의 개인정보, 거래정보와 관련 없는 단순 설문조사(만족도 조사 등)
- 직원 채용 및 연수 관련 프로그램
- 내부망 연결 없이 금융회사 외부망에서 클라우드 기반 인터넷서비스를 이용하는 경우
- 대용량의 문서, 사진, 동영상 등을 외부에 공개하기 위한 콘텐츠 전송 네트워크(Content Delivery Networks) 서비스 이용
- 실제 고객 데이터를 사용하지 않고, 금융서비스 제공을 위한 업무 환경에 전혀 영향을 미치지 않는 테스트 및 PoC
- 재난 발생 상황 시 재택‧원격 근무를 위한 메신저, 화상회의 등의 이용
- 공개된 정보를 편집·가공·분석하는 업무
* 예: 뉴스, SNS 키워드를 통한 트렌드 분석, 금융시장 지표 등 공개된 시장정보 빅데이터 분석 등
- 홍보용 또는 사회공헌 사업용 공개 웹페이지
- 국외에 본점을 둔 금융회사에서 CSP와 계약을 체결하고, 국내 지점이 이를 이용하는 경우
- 금융 거래 웹·앱에서 외부 제공 서비스나 자료를 링크로 연결하는 경우
* 예: 동영상 스트리밍, 지도 제공, SNS·SMS 연결 등

2) 적용 대상 클라우드 사례
감독규정 제14조의2는 금융회사가 클라우드컴퓨팅법 제2조제3호에 따른 클라우드컴퓨팅서비스를 이용하는 경우에만 관련 절차를 준수하도록 규정

* 클라우드컴퓨팅법 제2조 제3호에서 규정하고 있는 것 이외의 클라우드서비스를 이용하는 경우에는 감독규정 제14조의2의 절차를 준수하지 않아도 무방(다만, 같은 조 제8항에 따른 예외 필요 시 제1항의 절차 준수 필요)

클라우드컴퓨팅법 제2조 제3호에 따른 ‘클라우드컴퓨팅서비스’란 클라우드컴퓨팅을 활용하여 상용(商⽤)으로 타인에게 정보통신자원을 제공하는 서비스로서 ①서버, 저장장치, 네트워크 등을 제공하는 서비스, ②응용프로그램 등 소프트웨어를 제공하는 서비스, ③응용프로그램 등 소프트웨어의 개발・배포・운영・관리 등을 위한 환경을 제공하는 서비스, ④그 밖에 ①~③의 서비스를 둘 이상 복합하는 경우를 의미

가. 적용 대상 포함 클라우드 예시

- 무상으로 제공하더라도 광고를 통해 수익을 올리는 등 상업용으로 제공 중인 클라우드서비스
- 자체적으로 구축하거나 협회, 단체, 계열사 등이 구축한 클라우드시스템이라도 서비스의 전부 또는 일부를 소속 구성원 이외를 대상으로 상용으로 제공하고 있다면 그 범위 내에서 대상에 포함

나. 적용 대상 미포함 클라우드 예시

- 해당 금융회사의 자원(시스템·네트워크 등 포함)이 타 사용자와 물리적으로 분리되어 공유되지 않도록 전용으로 구축(아웃소싱 포함)한 클라우드서비스
* 타인이 개발·구축·운영·관리하는 경우에도 해당 전산 시설이 타 사용자와 물리적으로 분리되어 공유되지 않는 경우 포함

- 협회, 단체, 계열사 등이 소속 구성원 전용(구성원 이외 사용자와 물리적으로 분리되어 공유되지 않음)으로 구축한 클라우드서비스(소속 구성원만을 대상으로 서비스 제공하면서 서비스 제공에 따른 최소한의 대가를 받는 경우도 비상용 클라우드로 인정 가능)

- 금융회사가 자사 이용 목적이 아닌, 핀테크 기업 지원 등을 위해 별도로 클라우드서비스를 구성하여 제공하는 경우

* 다만, 해당 핀테크 기업이 전자금융업자인 경우 클라우드를 제공하는 금융회사가 아닌 해당 핀테크 기업이 클라우드 서비스 이용 절차를 준수할 필요

◆계약서 주요 기재 사항 부문 = 금융당국은 가이드에 명시된 계약서 기재사항 중 규정에 명시된 것 이외의 사항은 금융회사가 자체적으로 판단할 수 있는 권고사항임을 명시할 방침이다. 

다만, 일부에서 삭제 의견을 제시한 물리적 위치 확인, 접근권 및 감사권 수용, 관할법원 및 준거법 등은 금융회사의 제3자 리스크 관리, 관련 법규 준수 등을 위해 반드시 필요한 사항이라고 판단돼 유지될 방침이다. 

※ 과기부장관이 공정거래위원회 협의 및 방통위 사전 의견 청취를 거쳐 제정한 클라우드컴퓨팅서비스 관련 표준계약서에도 손해배상, 관할법원 및 준거법 관련 조항이 포함되어 있으며, 국외 클라우드 관련 가이드에도 물리적 위치, 접근권 및 감사권 수용 관련 사항을 계약서에 명시하도록 하고 있음

이어 금융당국은 계약서 명시사항에 대해서는 금융회사의 관련 노하우 축적 상황, 당국의 정책방향 등에 따라 지속적으로 검토할 예정이라고 덧붙였다. 

즉, 클라우드서비스 제공자와 계약 시 분야별 명시 사항(표준계약서 중 손해배상, 관할 법원, 준거법 등)을 계약서 등에 포함하되, 비중요 업무의 경우 금융회사가 선택적으로 계약서에 포함이 가능하다는 것이다.이를 위해 금융당국은 계약서 기재사항 중 재위탁, 정보파기, 인력관리, 제공기준 준수 관련 사항 명확화 및 일부 문구를 수정중이다. 

1. 재위탁 관련 부문 : 정보보호 관련 업무 재위탁 금지 예외 명시

◆클라우드서비스 제공자는 정보기술부문의 정보보호와 관련된 업무를 위탁받은 경우, 해당업무를 제3자에게 재위탁할 수 없음(전자금융거래법 제40조제6항)

- 다만, 전자금융거래정보의 보호와 관련된 전산장비·소프트웨어에 대한 개발·운영 및 유지관리 업무를 재위탁하는 경우로 다음 사항을 준수하는 경우 가능(감독규정 제60조제4항)

√ 재수탁업자가 재위탁된 업무를 처리함에 있어 금융거래 정보의 변경이 필요한 경우에는 위탁회사 또는 원수탁업자의 개별적 지시에 따라야 하며, 위탁회사 또는 원수탁업자는 변경된 정보가 지시 내용에 부합하는지 여부를 확인하여야 함

√ 위탁업무와 관련된 이용자의 금융거래정보는 위탁회사의 전산실 내에 두어야 함. 다만, 재수탁업자가 이용자의 정보를 어떠한 경우에도 알지 못하도록 위탁회사 또는 원수탁업자가 금융거래정보를 처리하여제공한 경우에는 위탁회사의 관리·통제 하에 재수탁회사 등 제3의 장소로 이전 가능함

2. 정보파기 관련 부문 : 문구 명확화

◆클라우드서비스 제공자는 금융회사가 자신의 정보를 파기할 수 있는 신뢰성 있는 수단을 제공하여야 하며, 금융회사가 제공되는 수단을 적절하게 이용할 경우 파기된 정보는 복구 불가능함을 보장하여야 함

- 특히, 금융회사가 이용하는 시스템의 물리적 영역이 변경되거나, 이용을 종료하여 접근할 수 없는 경우에도 금융회사가 기 이용한 물리적 영역에 저장된 정보는 복구 불가능한 수준으로 파기되어야 함

- 아울러, 전자금융거래기록의 경우 '전자금융거래법' 제22조 및 동법 시행령 제12조를, 개인정보의 경우 '개인정보보호법' 제21조 등 관계 법령을 준수하여 파기할 수 있도록 지원

- 이 때, 재위탁된 정보, 관리 서비스 및 주변 솔루션 내 정보 등도 동일하게 처리

3. 인력관리 관련 부문 : 업무수행인력 제한

◆금융회사는 클라우드서비스 제공자의 업무수행인력에 대하여 사전 신원조회 실시(신원보증보험증권 징구로 갈음할 수 있음) 또는 대표자의 신원보증서를 징구할 수 있고, 

- 클라우드서비스 제공자는 업무수행인력 내역 및 인력변경 시 인수인계에 관한 사항 등을 포함한 업무수행인력 관리방안을 제출하여야 함(감독규정 제60조제1항제13호)

- 또한, 클라우드서비스 제공자는 직원 보안 교육을 주기적으로 실시하고, 금융회사가 요청할 경우 교육 계획 및 수행 결과를 제출하여야 함

√ 특히, 금융회사 관련 업무 수행에 따른 비밀유지 의무 준수 및 위반 시 처벌내용 등에 대한 내용을 보안 교육에 포함하여야 함

※ 다만, 금융회사 관련 업무수행인력을 특정할 수 없을 경우, 해당 데이터센터 근무 인력 등 금융회사 서비스 제공과 직접적으로 연관되어 있는 인력으로 한정하여 실시 가능

4. 제공기준 충족 요구 부문 : 금융회사가 요구하는 수준으로 한정

업계 한 관계자는 “워킹그룹의 논의 내용이 모두 수용될 것으로 보이지는 않지만, 여타 인증과 같이 1회 현장 실사 안전성 평가 이후 클라우드 이용 과정에서 문제점, 즉 장애·보안 이슈 등이 발생할 경우 특별한 절차의 현장 평가로 전환되는 점은 금융 클라우드 활성화에 크게 기여하게 될 것”이라고 전했다. 

<김동기 기자>kdk@bikorea.net

< 저작권자 © BI KOREA 무단전재 및 재배포금지 >
김동기 기자의 다른기사 보기  
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
트위터 페이스북 미투데이 요즘 네이버 구글 msn 뒤로가기 위로가기
이 기사에 대한 댓글 이야기 (0)
자동등록방지용 코드를 입력하세요!   
확인
- 200자까지 쓰실 수 있습니다. (현재 0 byte / 최대 400byte)
- 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
이 기사에 대한 댓글 이야기 (0)
1
수협은행, 코어뱅킹 교체없이 ‘리눅스 전환’ 추진
2
KB저축은행, ‘온프렘-클라우드 융합’ 차세대 본격화
3
우리銀-삼성SDS, ‘마이데이터 구축’ 협상 결렬 원인은
4
KB금융그룹, 사회복지공동모금회에 100억 기부
5
메타노니아-메이킹래빗, 전략적 제휴
6
[1보]우리銀-삼성SDS, ‘마이데이터 구축’ 협상 결렬
7
우리금융, ‘2021년 경영전략회의’ 개최
8
MSTR, ‘롯데컬처웍스’에 BI시스템 구축
9
삼성전자, ‘870 에보’ 글로벌 출시
10
국민은행, IT부문 ‘테크그룹’ 인사를 보면…
회사소개기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부
서울시 영등포구 여의대방로65길 13, 904(여의도동 유창빌딩)| Tel: 02-785-5108 | Fax 02-785-5109
이메일주소무단수집거부 | (주)비아이코리아닷넷 | 대표이사 : 김동기 | 사업자 등록번호:107-87-99085 | 개인정보관리책임자 : 김동기
등록번호 : 서울 아01269 | 등록일자 : 신고일자 2008.10.22 | 발행인:김동기 | 발행일자:2010.06.01 | 편집인 : 김동기 | 청소년보호책임자 : 김동기
Copyright © 2012 BI KOREA. All rights reserved. mail to webmaster@bikorea.net