IT Solutions

[보안] 금융클라우드 구축부터 금감원 보고서까지, LG CNS에 맡기세요

2021. 8. 18. 09:30

 

컴플라이언스 완화*와 더불어 퍼블릭 클라우드에 관한 관심이 높아지면서, 도입을 망설였던 금융권에서도 퍼블릭 클라우드의 열기가 고조되고 있는데요. 현재 퍼블릭 클라우드를 쓰는 금융회사들이 늘고 있고, 이전보다 중요 업무에 퍼블릭 클라우드를 도입하는 사례가 많아지고 있습니다.


*전자금융감독규정 개정 (2019년 1월. 제14조의 2), 클라우드 이용 확대와 관련한 추가 규제 완화 필요성이 지속해서 제기됨에 따라 클라우드의 활용범위를 기존 비중요 시스템에서 개인신용정보까지 확대하되 금융권 보안 수준 및 관리 감독 체계를 강화함

금융보안원에서 배포한 ‘금융 분야 클라우드 컴퓨팅 서비스 이용 가이드’에는 금융권에서 퍼블릭 클라우드를 이용해 시스템을 구축하고 이용할 경우 활용할 수 있는 가이드가 자세히 소개되어 있습니다. 하지만, 금융 클라우드를 이용해 서비스하기 위해선 금융감독원에 보고해야 하는데요. 이 과정을 어떻게 준비해야 할지 모르겠다는 이야기가 들려올 때가 있습니다.


LG CNS는 고객사의 시스템만 구축하는 것이 아니라, 고객을 대상으로 금융감독원 보고를 위한 문서작성 지원하고 있는데요. 이를 사례 위주로 쉽게 설명해보겠습니다.


클라우드 컴퓨팅 서비스 이용을 위한 주요 절차는 다음과 같습니다.

 

클라우드 컴퓨팅 서비스 이용을 위한 주요 절차 (출처 : 금융권 클라우드 컴퓨팅 서비스 이용절차)

 

위 그림에서 어둡게 표시된 금융감독원 ‘보고’ 절차에 관해 알아보겠습니다.

 

클라우드 이용 보고 절차

 

금융 클라우드 이용보고 절차는 크게 사전준비, 계약체결, 보고 및 이용 절차로 나뉘는데요. 이때 준비해야 하는 보고 문서 리스트는 아래와 같습니다.

 

클라우드 이용 보고 준비 서류 예시

클라우드 컴퓨팅 서비스 이용대상 정보처리시스템 지정보고는 『전자금융감독규정시행세칙, [별지 6] 클라우드컴퓨팅서비스 이용대상 정보처리시스템 지정 보고』 서식에 따라 작성하면 되는데요. 별첨으로 클라우드 컴퓨팅서비스를 이용하고자 하는 정보처리시스템에 대한 설명을 작성하는 문서를 붙이면 됩니다. 예시를 통해 알아보겠습니다.

 

클라우드 컴퓨팅 서비스 이용대상 정보처리시스템 지정보고서 예시

 

주로 들어가는 내용은 이와 같습니다. 

  • 시스템 업무 개요
  • 업무처리 절차
  • 시스템용도 및 처리 데이터
  • 타 시스템 연계성
  • 시스템 구성도 / NW 구성도


이런 내용을 통해 어떤 업무에 클라우드 서비스를 이용하는지, 주요 업무절차는 어떻게 되는지, 처리하는 데이터는 무엇인지, On-premise 또는 외부 연계기관과 연결되는 부분이 있는지, 전체 시스템이 어떻게 구성되는지에 관해 기술하면 됩니다.

다음으로 클라우드 이용 대상 정보처리시스템의 중요도를 평가한 결과 서류입니다. 이는 금융회사에서 수립한 정보처리시스템 자체 평가 기준에 따라 클라우드 이용대상 정보처리시스템에 대한 중요도 평가를 수행합니다.


감독규정 제14조의2(클라우드 컴퓨팅 서비스 이용 절차 등) 中


① 금융회사 또는 전자금융업자는 「클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률」 제2조 제3호에 따른 클라우드 컴퓨팅 서비스를 이용하고자 하는 경우 다음 각호의 절차를 수행하여야 한다.


1. 자체적으로 수립한 기준에 따른 이용대상 정보처리시스템의 중요도 평가


클라우드 이용보고를 하려는 시스템의 중요도는 회사 내에서 수립된 평가 기준에 따라 중요/비중요 결과가 나누어지겠지만, 대체로 아래와 같은 특징이 있습니다.

  • 고유 식별정보 또는 개인신용정보 처리시 중요 업무로 취급
  •  고유 식별정보 또는 개인신용정보를 직접 처리하지 않을 때에도 아래 사항을 고려하여 전자금융거래의 안전성 및 신뢰성에 대한 중대한 영향을 미치면 중요업무로 취급(ex 처리 정보의 위변조 유출 시 금융회사와 금융소비자에게 미칠 수 있는 영향, 업무중단 발생 시 주요 금융기능 이행 및 운영 법적 평판 리스크에 미치는 영향 등)

 

정보처리시스템 중요도 평가 결과보고서 예시

 

이 문서에는 일반적으로 아래의 내용이 담깁니다.

  • 금융회사 자체 중요도 평가 기준과 그 설명
  • 평가 기준 및 배점 그리고 점수에 따른 평가 등급 분류
  • 중요도 평가 결과

 

업무 연속성 계획 및 안전성 확보조치 방안 결과보고서 예시

 

업무 연속성 계획 부분은 클라우드 서비스에 관해 예상치 못한 재해 또는 사고 발생 시 업무 연속성에 미칠 수 있는 영향을 파악해서 준비해야 합니다. 그리고 데이터 백업, 재해복구 및 침해 사고 대응훈련 계획, 출구 전략 등을 포함한 업무 연속성 계획을 수립하여 이행할 내용을 작성하면 됩니다.

  1. 데이터 백업 : 백업할 데이터를 선정. 업무 중요도에 따라 데이터 이중화 또는 소산 등 다양한 방법을 고려해 클라우드 서비스 제공자의 데이터 손실 사고에 대한 방안 수립. 데이터 복원 테스트, 데이터 무결성 테스트를 정기적으로 안전 수행계획 수립 및 이행.
  2. 훈련 및 사고 관리 : 금융회사가 관련 규정에 따라 위기대응 행동 매뉴얼 및 비상대책을 마련하고, 비상 대응 및 재해복구 전환 훈련을 연 1회 이상 실시. 필요 시 클라우드 서비스 제공자에 협조를 요청해 합동으로 훈련을 진행 계획 수립 및 이행

안전성 확보조치방안 부분은 클라우드 시스템 설계 및 구축 시 아래의 내용에 관한 대응 방안을 설계하여 구축하고 그 내용을 기재해야 합니다.

  • 계정관리 방안
  • 접근통제 방안
  • 내부 시스템 단말기와의 연계방안
  • 암호화 및 키관리방안
  • 로깅
  • 가상 환경 보안
  • 보안 모니터링 및 취약점 분석 평가
  • 인적 보안

마지막으로 클라우드 컴퓨팅 서비스 제공자(CSP)의 안정성 평과 결과 보고서를 준비해야 하는데요. 이는 금융 클라우드 컴퓨팅 이용 가이드의 평가 항목 기준을 참고하여 금융회사가 기본 보호조치 항목, 기술적 보호조치 부분에 대해 CSP의 안전성을 평가하는 것입니다. 해당 CSP가 보안 인증을 취득, 유지하고 있는 경우, 일부 항목은 평가가 생략될 수 있습니다.


평가 진행 방법은 CSP 자가점검 결과를 요청하고 금융회사에서 자가 점검 결과를 확인하는 방법, 침해사고 대응 기관에 CSP 평가를 의뢰하는 방법 등이 있습니다. 그리고 CSP의 건전성 평가 결과는 재무 상태 악화에 따른 도산에 대비하고 전자 금융 보조업자의 주요 경영활동에 대해 상시 모니터링하기 위한 관점으로 평가하면 됩니다.


이 과정은 앞서 준비한 문서를 기준으로 정보보호위원회를 열어, 클라우드 컴퓨팅 서비스 이용에 적절한 준비가 되었는지 최종 점검하는 단계입니다. 실제로 운영되어도 서비스에 문제가 없는지 판단하는 단계죠. 이 과정에 관한 의사결정 사항을 기록하는 평과 결과 보고서가 이때 작성되는 겁니다.  


지금까지 금융 클라우드 이용 신고를 위한 절차와 준비해야 할 문서를 살펴보았습니다. 금융 클라우드 이용보고서는 생각보다 어렵지 않습니다. 이해는 되지만 막상 문서를 준비하기에는 어렵다고 느껴진다면 LG CNS에 문의하시기 바랍니다. 클라우드 컴퓨팅 서비스를 위한 클라우드 설계 및 구축뿐만 아니라 보고를 위한 문서 작성도 도와드리겠습니다.

[참고]
- 금융분야 클라우드 컴퓨팅서비스 이용가이드 (2019.1)



글 | LG CNS 사이버시큐리티팀

 

*해당 콘텐츠는 저작권법에 의해 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.
*해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.

 


  

 

Posted by IT로 만드는 새로운 미래를 열어갑니다 LG CNS

댓글을 달아 주세요

위로