개요

이전 글 금융사 클라우드 적용 절차 요약에서 언급한 아래의 절차 중 1~2번에 대한 세부 내용을 정리해 둔다.

1. 사전준비 -> 2. 계약 체결 -> 3. 보고 및 이용 -> 4. 이용 종료

A. 업무 선정 및 중요도 평가

1. 이용대상 선정

클라우드 쓸만하면 하면됨

2. 중요도 평가 실시

가. 고유식별정보 또는 개인신용정보 처리 시 중요 업무로 취급

  • 고유식별정보
    • 주민번호, 여권번호, 면허번호, 외국인 등록번호 등
  • 개인신용정보
    • 개인의 신용도와 신용거래능력을 판단할 때 필요한 정보
    • 전자금융거래와 관련이 없고 고객정보와 무관한 정보처리는 해당X
    • 예: 내부직원 정보

나. 이외에도 아래 사항을 고려하여 전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미칠 경우 중요 업무로 취급

  • 처리 정보의 중요도 및 정보 위/변조/유출 시 금융사 및 소비자에게 미칠수 있는 영향
  • 업무 중단 시 금융 기능 이행 및 운영/법적/평판 리스크에 미치는 영향
  • 업무 중단이 금융사 수익 및 운영 비용에 미치는 영향
  • 사고 또는 장애 발생 시 타 시스템 업무 연속성 저해 수준
  • 복구 목표시간 등 해당 정보처리시스템의 업무 중요도
  • 운영, 개발, 테스트 등 정보처리 시스템의 용도
  • 고객 또는 사내직원 등 이용자 유형에 따른 해당 정보처리시스템 이용자 수

B. 계획 수립

1. 업무 연속성 계획 수립

가. 데이터 백업

데이터 이중화 및 암호화

나. 훈련 및 사고 관리

비상대응훈련 및 재해복구전환훈련을 연 1회 이상 실시

2. 출구 전략 수립

가. 출구 전략 이행 지표 설정

  • 출구 전략 이행이 필요한 상황을 사전에 정의하고 해당 상황을 판달할 수 있는 지표를 설정하고 모니터링 할것
  • 출구 전략 이행에 대한 성공 기준을 사전에 정의할 것

나. 출구 전략 이행 절차 정의

  • 출구 전략 이행 절차에 대한 전사적인 기본 방향 및 정책을 수립하고 이행에 필요한 조직별 역할 및 책임을 사전에 정의할 것
  • 개별 정보처리시스템에 대한 출구 전략 세부 이행 절차를 정의하고 이행에 필요한 인적/물적 자원과 예상 소요시간을 정의할 것

출구 전략 세부 이행 절차 내 필수 포함 사항
– 출구 전략 방법(이전, 대체, 재개발 등)
– 대체 사업자 또는 솔루션
– 기존 클라우드서비스 제공자 시스템에서 데이터 파기 절차
– 업무 연속성을 유지하면서 기존 업무 및 데이터를 대체 시스템에 이전하는 절차
– 이전 시점 및 소요시간, 인력 및 비용

다. 출구 전략 수립 관련 고려사항

  • 중요도가 높은 시트엠은 출구 전략을 보다 정밀하게 수립하고 대안을 충분히 마련할 것
  • 중요도가 높은 시스템은 이행이 용이한 구현 방식을 고려할 것
  • 출구 전략 훈련 및 이행을 위해 CSP 지원을 충분히 받을수 있도록 계약서에 관련 내용을 명시할 것

3. 안전성 확보조치 방안 수립

업무 중요도 평가 결과에 따라 수행 범위를 조정할 수 있다.

가. 계정 관리

  • 각 관리자 및 이용자에 대한 개별 계정 생성
  • 기능과 역할에 따라 그룹을 구분하고 적절한 권한을 그룹별로 할당 관리
  • 특별 권한이 있는 계정을 정의하고 집중 관리를 실시 할 것
    • 사용 이력/접근 기록 로깅 및 주기적 검토, 멀티팩터 인증, 설정 변경 요청/승인 절차 공식화, 특권 계정 관리자와 일반 사용자 계정 관리자 분리

나. 접근 통제

  • CSP에 위치한 시스템에 외부 기관의 통신망과 분리/차단하고 접속을 금지할 것
  • 내부망 시스템이 CSP 구간에 위치한 경우 인터넷 등 외부통신망과 분리/차단하고 접속을 금지할 것
  • 특권 계정은 금융사 내 별도로 분리된 관리용 단말기에서만 접근 가능하도록 할 것
  • 관리서비스 이용 등으로 CSP가 시스템 또는 sw에 접근 권한이 있는 경우 CSP의 관리 기록을 로깅하고 주기적으로 검토할 것

다. 내부 시스템/단말기와의 연계

  • 내부망과 클라우드 간 연결시 전용회선 또는 VPN을 사용해야함

라. 암호화 및 키 관리

  • 고유식별정보, 개인신용정보 등 민감 데이터를 암호화하고 암호화 키의 생성부터 폐기까지 전 단계 관리를 위한 세부 정책을 마련할 것
    • 필요시 HSM을 이용하여 키 관리를 강화할 것
  • 암호화 키는 접근이 통제된 보안네트워크에 저장하고 CSP 직원이나 동일 클라우드서비스를 이용하는 기관이 접근 할 수 없도록 할 것

마. 로깅

  • 접근기록, 가동기록 및 보안로그 등을 기록/유지하여 추후 사고 발생 시 조사 및 대응이 가능하도록 하고 증거 수집 또는 획득 방법 등을 수립할 것
  • 로그 데이터를 위한 적절한 접근통제를 실시하고 관련 법령에 따라 암호화 등 적절한 보호조치를 취할 것
    • 특히 보안로그의 경우 독립적인 시스템에 보관하는 등 무결성 및 가용성이 보장될 수 있도록 관리할 것

바. 가상 환경 보안

  • 클라우드 하드웨어, 가상 이미지, 관리 소프트웨어에 대한 잠재적 위협을 고려하여 취약점 점검, 보안 모니터링 등을 실시할 것
  • 가상 네트워크, 컨테이너 활용 시 표준 이미지, 개별 서비스별 보안 설정을 체계적으로 관리하고 머니터링 할 것
    • 이때 가상 이미지 템플릿 등을 최신 상태로 유지하고 현재 이미지 구성, 패치상태, 이미지 무결성 등을 주기적으로 점검할 것

사. 보안 모니터링 및 취약점 분석/평가

  • 중요 로그를 실시간으로 모니터링하고 주기적으로 분석할 것
  • 침입 탐지/방지 시스템, 웹 방화벽, DDoS 대응 장비 등 보안 시스템을 적절한 위치에 배치하여 공격을 탐지/대응 할것
  • 연 1회 이상 취약점 분석/평가 수행 시 클라우드서비스를 이용하는 전자금융기반 시스템을 포함하여야 하며 필요 시 CSP에 협조를 요청할 것
    • 이때 일반 취약점 뿐만 아니라 클라우드 컴퓨팅 고유의 위협을 고려하여 수행할 것

아. 인적 보안

  • 금융사 내 CS 이용자 및 관리자를 대상으로 주기적인 CS 보안 교육을 실시하고 CS 제공자의 직원 보안교육 계획 및 결과 등을 공유 받아 검토할 것

4. 업무 위수탁 운영기준 마련

금융사는 업무 중요도가 높은 업무를 위탁하는 경우 규정에 따라 기 수립/운영 중인 자체 업무 위수탁 운영기준에 보완사항을 반영하고 이를 준수해야 한다. 중요도가 낮은 업무의 위탁의 경우 금융사 자체 판단에 따라 반영한다.

C. 계약 체결

1. 서비스 위탁 관련 명시사항

가. 서비스 범위 및 물리적 위치에 관한 사항

  • CS를 이용하는 업무, 처리되는 데이터, 데이터가 처리되는 물리적 위치 명시
  • 고유식별정보 또는 개인신용정보를 처리하는 경우 해당정보를 처리하는 모든 시스템을 국내에 설치해야 함
  • 금융사의 데이터가 국외에서 처리되는경우 통지할것

나. 접근권 및 감사권 수용 의무에 관한 사항

  • 금융당국, 침해사고대응기관, 김융회사 사내/사외 감사 및 금융회사가 임명한 제3자는 데이터센터 등 현장방문을 포함한 조사/접근을 수행할 수 있음
    • CSP는 이를 수용하며 협조해야함
  • 금융당국 및 내외부 감사인은 CS의 모든 곳에 접근할 수 있음
  • 금융당국은 CS 대상으로 감독/검사를 수행할 수 있음
    • 내외부 감사인은 CSP를 대상으로 감사를 수행할 수 있으며 필요 시 다수 금융사가 연합하여 감사를 수행할 수도 있음
  • 금융당국 및 내외부 감사인은 CSP에게 제3자 인증 또는 내부 감사 보고서의 제출을 요구할 수 있음
    • 금융사 업무와 관련된 대상에 대해 내부 감사 보고서의 보완을 요구 할 수 있음
  • 금융당국 및 내외부 감사인은 감독/검사 및 감사 수행 또는 인증/감사 보고서 검토결과 지적된 사항에 대해 지체없이 조치할 것을 요구 할수도 있음

다. 재위탁 관리에 관한 사항

  • CSP가 일부 업무를 재위탁할 경우 재위탁 업무의 범위 및 수탁자 내역 등을 명확하게 제공할것
    • CSP는 업무 재위탁 시 수탁자가 원계약을 준수하도록 하고 재위탁 계약서에 본 가이드의 계약서 명시사항 중 관련 부분을 포함할 것
  • 재위탁 업무가 신규로 발생되거나 중요 변경사항이 발생할 경우 금융사가 사전 동의를 받아야 함
    • 금융사는 이에 따른 보안 리스크 등 서비스 영향을 고려하여 동의하지 않거나 계약해지를 할 수 있음
  • CSP는 정보기술부문의 정보보호와 관련된 업무를 위탁받은 경우 해당업무를 재위탁할 수 없음

라. 서비스 중지 등 서비스 수준에 관한 사항

  • CSP가 시스템 업데이트 등 불가피한 사유로 일정기간 서비스를 중지해야 할 경우 사전에 금융사와 협의할 것
  • 해킹, 천재지변 등 예상치 못한 사유로 서비스 중단되는 경우 지체없이 금융사에 통지할 것
    • 서비스 중단 등 장애가 10분 이상 지속된 경우 진행 상황 파악 등을 위한 연락 담당자를 지정하고 정확한 장애원인 분석 및 재발방지 재책을 마련하여 금융사에 제공할 것
  • CSP는 장애/재해/파업/테러 등으로 서비스 지연 및 중단이 발생한 경우 신속하게 복구하고 대응할 수 있는 절차 및 체계를 마련하여 금융사에 통지하고 준수할 것
    • 특히 중요정보를 CS를 통해 처리하는 경우 장애/보안사고 등 유사 시 신속한 대응을 위해 필요 시스템 운영 관련 상주 인력을 국내에 확보하고 원할한 사고 대응을 위해 해당 인력의 관리시스템 접근 권한 등을 확보할 것
    • 그외 CS 가용성, 연속성, 성능요건, 금융사 지원사항 등을 사전에 합의하여 명시할것
  • 계약의 파기 또는 종료, 기타 위탁업무의 원할한 이행이 어려운 경우 해당 위탁업무의 이전 및 반환 등에 관한 사항을 명시할 것
  • CSP와 금융사 간의 분쟁으로 소송이 제기되는 경우 민사소송법이 정한 법원을 관할 법원으로 하고 당사자 일방이 외국 사업자인 경우 대한민국 법원이 국제재판관할권을 가짐
    • 계약의 성립, 효력, 해석 및 이행과 관련하여 대한민국법을 적용

2. 보안 관련 명시사항

가. 데이터 관리 및 보호에 관한 사항

  • CSP 이용 관련 모든 정보는 금융사가 위탁한 업무 범위 내에서만 처리되어야함
  • 수사 목적, 법적 분쟁 발생 등에 따른 해외 관계당국 또는 해외의 제 3자에 대한 정보 제공 관련 법령에 대하여 사전에 파악하여 금융당국 및 금융사에 보고할 것
    • 필요시 적법한 절차로 협조할 것
  • 금융사가 CS를 이용하여 처리하는 모든 정보는 금융사의 소유로 금융사는 언제든지 조회, 수정, 삭제할 수 있는 권리를 가짐
  • CSP는 정보에 대한 어떤 권리도 주장할 수 없으며 모든 정보 전송 시 암호화 기술을 적용하여야 함
    • 그 밖에 CSP는 정보의 비인가 접근 및 유출 등을 방지하기 위해 충분한 보호수단을 구현해야함
  • 금융사에서 수립한 업무 연속성 계획 및 안전성 확보조치 방안의 이행을 위해 협조 및 지원할 것

나. 사고대응 및 취약점 분석/평가에 관한 사항

  • CSP는 재해 또는 사고 발생 시 신고 절차, 복구 및 대응 절차 등을 마련하고 주기적으로 훈련을 실시할것
    • 관련 직원을 모두 포함한 비상 연락 체계를 마련하고 복구 목표시간 및 목구 목표시점 요건을 사전에 합의하여 명시하며 필요 시 공동 훈련을 실시할것
    • 사고 발생 시 CSP는 이를 인지한 즉시 금융사에 통지하고 사고 조사 및 피해 복구에 적극 협조할 것
    • 금융사는 시스템 또는 통신 회선등의 장애로 10분 이상 전산업무 중단 또는 지연 등 발생 시 지체없이 금융감독원에 보고하여야 하고 CSP는 침해 사고 발생/이용자 정보 유출 시 지체없이 그 사실을 이용자에게 알려야 하며 특히 이용자 정보 유출 시 과학기술정보통신부장관에게 보고하여야 함
  • CSP는 금융사 및 침해사고대응기관에 적극 협조할 것
  • CSP가 관리하는 영역에 대해 주기적으로 제3자로부터 취약점 분석/평가를 수행하고 조치하였음을 금융사에 통지
    • 또한 금융사가 필요시 CSP에 추가 점검 수행을 요구할 수 있음

다. 기타 보안요구사항

  • 리스크 관리 등을 위해 필요 보안 요구사항을 명시하고 각자의 정보 보호 역할과 책임 범위, 손해배상 및 계약해지 관련 사항을 명시할 것
    • 특히 CSP는 장애사고 발생 방지 등 적절한 서비스 품질 수준 보장 및 정보보호 역할과 책임을 다하기 위해 최선의 노력을 기울일 것
  • 금융사는 CSP의 업무수행인력에 대해 사전 신원 조회를 실시 하거나 대표자의 신원보증서를 징구할 수 있음
    • CSP는 업무수행인력 내역 및 인력변경 시 인수인계에 관한 사항을 포함한 업무수행인력 관리방안을 제출할 것
    • 또 CSP는 직원 보안 교육을 주기적으로 실시하고 교육 계획 및 수행 결과를 금융사에 제출할 것
  • CSP는 위탁 업무 관련 법규 및 자율규제를 준수하고 금융사의 위탁 업무 모니터링을 지원할 것

3. 출구 전략 이행을 위한 명시사항

  • CSP는 금융사 CS 전환 및 종료 관련 절차에 적극 협조할 것
  • CSP는 CS 전환 및 종료 시 서비스 중단 없이 정보를 안전하게 금융사에 반환하도록 데이터 이전을 지원할 것
    • CSP는 금융사에게 데이터 이전을 위한 충분한 시간을 제공하고 데이터 삭제 이전에 금융사에 서면으로 확인 받을 것
  • CSP는 데이터 이전이 완료된 후 금융사의 정보르 ㄹ복구 불가능한 방법으로 완전히 파기하고 파기 확인서를 제출하여 정보 파기 여부를 확인 받을것
    • 특히 개인정보의 경우 관계 법령을 준수하여 파기할 수 있도록 지원할 것
    • 이 때 재위탁된 정보 관리서비스 빛 주변 솔루션 내 정보 등도 동일하게 처리할 것
  • CSP의 사정에 의해 종료할 경우 CSP는 다른 CSP로의 이전 등 대안을 마련할 것
  • 금융사는 CS 전환 및 종료 절차에 대한 모의 훈련을 주기적으로 실시할 것을 유구할 수 있음

4. 책임관계 명확화

가. 대외적 책임(금융소비자 피해 발생 시 손해배상 책임)

  • CSP의 관련 법령, 계약상 의무 위반 등으로 인해 금융 소비자에게 손해가 발생하는 경우 금융사가 CSP와 연대하여 배상책임을 부담함
    • CSP의 귀책 사유로 금융사가 금융소비자에게 손해를 배상한 경우 금융사는 CSP에게 구상권을 행사 할 수 있음

나. 계약 당사자간 책임관계(금융사와 CSP)

  • 관련 법령 위반 등에 따른 손해배상 책임
    • 전자 금융거래법, 신용정보법, 개인정보호법 등 관련 법령 및 계약상 의무를 위반한 CS 제공자의 귀책사유로
    • 금융사 또는 금융사 고객에게 손해를 끼친 경우 금융사는 이용 계약의 해제/해지 여부와 관계없이 CSP에게 손해배상을 청구할 수 있음
    • 금융사가 청구할 수 있는 손해배상에는 서비스 중단 및 자료유출 등으로 인한 직접적인 손해 외에 금융사의 대외 신뢰도 저하에 따른 손해 등간접적인 손해도 포함될 수 있음
    • 양 당사자 간 서비스 계약의 해제/해지와 관련된 절차/사항을 계약서상에 포함하 관련 법령 위반, 반복적인 계약상 의무 불이행, 중요 계약사항의 위반 등이 있는 경우 금융사가 위약금 없이 계약을 해제/해지 할수 있도록 명시
  • 서비스 장애/중단 및 품질 수준 저하로 인한 손해배상 책임
  • CSP의 귀책 사유로 이용기관이 서비스를 일시 이용하지 못하거나
    • 계약 당사자간 사전에 협의한 적절한 서비스 품질 수준을 유지/제공하지 못한 경우 CSP는 금융사에게 그 손해를 배상해야함
    • 금융사는 관련 법령 및 가이드에서 제시하느 ㄴ내용을 바탕으로 CSP와 사전 협의를 거쳐 적합한 서비스 수준 협약(SLA), 구체적 손해배상 규정 등을 사전에 명확히 정해야함
    • 불가항력에 인한 사고 등에 대한 CSP의 면책사요/범위를 명확히 할것
  • 재위탁 관련 손해배상 책임 등
    • CSP는 재위탁 관련 수탁자가 계약 내용을 준수하도록 관리/감독할 의무가 있음
    • 재위탁 시 발생한 금융사의 손해에 대해서 원위탁자가 재위탁 받은 업체와 연대배상할 책임이 있음