[회사법무 스타트업] 클라우드 서비스 계획 수립

금융보안원 2019. 1. 제공

1. 업무 연속성 계획 수립

금융회사는 클라우드서비스에 대해 예상치 못한 재해 또는 사고 발생 시 업무 연속성에 미칠 수 있는 영향을 파악하고, 데이터 백업, 재해복구 및 침해 사고대응 훈련 계획, 출구 전략 등을 포함한 업무 연속성 계획을 수립하여 이행하여야 한다.

▶ 감독규정 제14조의2(클라우드컴퓨팅서비스 이용절차 등) ④ 제3항에 따라 금융감독원장에게 보고할 경우 첨부해야 하는 서류는 다음 각 호와 같다. 3. 클라우드컴퓨팅서비스 이용 관련 업무 연속성 계획 및 안전성 확보조치에 관한 사항

가. 데이터 백업

백업할 데이터를 선정하고, 업무 중요도에 따라 데이터 이중화 또는 소산 등 다양한 방법을 고려하여 클라우드서비스 제공자의 데이터 손실 사고 등에 대비할 것. 또한, 데이터 복원 테스트 및 데이터 무결성 테스트를 정기적으로 안전하게 수행할 것. 백업 데이터를 위한 적절한 접근 통제를 실시하고, 관련 법령에 따라 암호화 등 적절한 보호조치를 취할 것.

나. 훈련 및 사고 관리

금융회사가 관련 규정에 따라 위기대응행동매뉴얼 및 비상대책을 마련하고, 비상대응훈련 및 재해복구전환훈련을 연 1회 이상 실시(감독규정 제23,24조)할 때 대상 시스템이 클라우드서비스 이용을 이유로 제외되지 않도록 할 것. 필요 시 클라우드서비스 제공자에 협조를 요청하여 합동으로 훈련을 진행하여야 하며, 클라우드서비스 제공자의 자체 재해복구 훈련 계획 및 주기적인 훈련 실시 여부를 확인할 것.

사고 발생 시 클라우드서비스 제공자와 금융회사 간의 역할 분담 및 대응절차를 문서화하여 관리하고, 관련 규정에 따라 침해사고대응훈련(감독규정 제37조의4) 수행 시 대상 시스템이 클라우드서비스 이용을 이유로 제외되지 않도록 할 것. 금융회사와 클라우드서비스 제공자 간 비상 연락 체계를 사전에 확보하고, 상황 발생 시 관련 규정에 따라 신속히 대응할 것. 중요도가 높은 시스템의 경우 필요 시 해당 클라우드서비스 제공자와 침해사고대응기관 간 핫라인을 구축할 것. 업무 별 복구목표시간 및 복구목표시점을 정하고 클라우드서비스 제공자와 사전 협의할 것.

2. 출구 전략 수립 (업무 연속성 계획에 포함)

클라우드서비스 제공자의 파산, 서비스 중단, 서비스 품질 저하, 규제 환경의 변화 또는 기타 금융회사의 필요에 따른 이용 중단 등에 대비하여 클라우드 서비스 이용 전환 및 종료에 대한 출구 전략을 사전 수립하여 문서화하여야 한다.

▶ 감독규정 [별표 2의3] 업무위탁 운영기준 보완사항 3. 비상대책 등에 관한 사항 ∙ 합병･분할, 계약상 지위의 양도, 재위탁 등 중요 상황 발생 시 대책(업무 연속성 계획 포함)에 관한 사항 ∙ 위탁업무를 다른 수탁자 또는 클라우드컴퓨팅 업무를 위탁한 금융회사 및 전자금융업자에 이전시키는 경우 업무 장애･서비스지연, 이전을 지원할 의무 등 전환계획에 관한 사항 ∙ 위탁계약의 종료, 중단, 변경 시 데이터 반환･파기에 관한 사항

출구 전략은 이행 지표와 세부 이행 절차로 구성되며, 업무 연속성 계획에 포함하여야 한다.

가. 출구 전략 이행 지표 설정

출구 전략 이행이 필요한 상황을 사전에 정의하고, 해당 상황을 판단할 수 있는 지표를 설정하고 모니터링 할 것. 출구 전략 이행에 대한 성공 기준을 사전에 정의할 것. (예) 서비스 제공 또는 규제 체제 준수에 부정적 영향을 미치지 않으며 서비스 제공의 연속성과 품질에 지장을 주지 않고 클라우드서비스 위탁 계약을 종료

나. 출구 전략 이행 절차 정의

출구 전략 이행 절차에 대한 전사적인 기본 방향 및 정책을 수립하고, 이행에 필요한 조직별 역할 및 책임을 사전에 정의할 것. 개별 정보처리시스템에 대한 출구 전략 세부 이행 절차를 정의하고, 이행에 필요한 인적･물적 자원과 예상 소요시간을 정의할 것.

※ 출구 전략 세부 이행 절차 내 필수 포함 사항 ∙ 출구 전략 방법(이전, 대체, 재개발 등) ∙ 대체 사업자 또는 솔루션 ∙ 기존 클라우드서비스 제공자 시스템에서 데이터를 복구할 수 없도록 파기하는 절차 및 방법 ∙ 업무 연속성을 유지하면서 기존 업무 및 데이터를 대체 시스템에 이전하는 절차 및 방법 ∙ 이전 시점 및 소요시간, 인력 및 비용

다. 출구 전략 수립 관련 고려사항

중요도가 높은 정보처리시스템에 대해서는 출구 전략을 보다 정밀하게 수립하고, 대안을 충분히 마련할 것. 중요도가 높은 정보처리시스템에 대해서는 출구 전략 이행이 용이한 구현방식을 고려할 것.

※ 구현 방식에 따른 출구 전략 이행 용이성 ∙ (IaaS) 컨테이너 방식 이용 시 출구 전략 이행이 용이하고, 클라우드서비스 제공자의 관리 서비스 등에 의존도가 높으면 이행 용이성이 떨어짐 ∙ (PaaS, SaaS) 클라우드서비스 제공자가 자체 인프라가 아닌 제3의 IaaS 제공자 인프라를 이용하여 서비스를 제공하는 경우 상대적으로 출구 전략 이행 용이

출구 전략 관련 훈련 및 이행을 위해 클라우드서비스 제공자의 지원을 충분히 받을 수 있도록 계약서에 관련 내용을 명시할 것. 출구 전략 이행을 위해 필요한 계약서 명시사항은 ｢제6장 계약 체결｣ 참조.

3. 안전성 확보조치 방안 수립

클라우드서비스 관련 보안사고의 예방을 위해 계정관리, 접근통제 등 필수 보안 통제가 구현되도록 안전성 확보조치 방안을 수립하여 이행하여야 한다.

▶ 감독규정 제14조의2(클라우드컴퓨팅서비스 이용절차 등) 中 ④ 제3항에 따라 금융감독원장에게 보고할 경우 첨부해야 하는 서류는 다음 각 호와 같다. 3. 클라우드컴퓨팅서비스 이용 관련 업무 연속성 계획 및 안전성 확보조치에 관한 사항

다만, 업무 중요도 평가 결과에 따라 수행 범위를 조정할 수 있다.

가. 계정 관리

각 관리자 및 이용자에 대한 개별 계정을 생성할 것. 기능과 역할에 따라 그룹을 구분하고, 적절한 권한을 그룹별로 할당하여 관리할 것.

특별 권한이 있는 계정(이하, 특권 계정)을 정의하고 집중 관리를 실시할 것. (집중 관리 예시) 사용 이력･접근 기록 로깅 및 주기적 검토, 멀티팩터 인증, 설정 변경 요청･승인 절차 공식화, 특권 계정 관리자와 일반 사용자 계정 관리자 분리 등.

나. 접근 통제

클라우드서비스 제공자 구간에 위치한 정보처리시스템에 대해 동일 클라우드서비스를 이용하는 외부기관의 통신망과 분리･차단하고 접속을 금지할 것. 내부망 정보처리시스템이 클라우드서비스 제공자 구간에 위치한 경우, 인터넷 등 외부통신망과도 분리･차단하고 접속을 금지할 것. 금융회사 전산실 내 물리적 망분리 구조를 논리적으로 구현.

보안관리 등 모든 시스템 원격 접근 절차를 문서화하여 관리하고, 정기적으로 검토할 것. 특권 계정은 금융회사 내 별도로 분리된 관리용 단말기에서만 접근 가능하도록 할 것.  금융회사 단말기와 클라우드서비스 시스템 간 연결 관련 세부 내용은 ｢다. 금융회사 내부시스템과의 연계｣ 참조.

관리서비스 이용 등으로 클라우드서비스 제공자가 시스템 또는 소프트웨어에 접근 권한이 있는 경우 클라우드서비스 제공자의 관리 기록을 로깅하고, 주기적으로 검토할 것.

다. 내부 시스템･단말기와의 연계

업무용 단말기 및 내부망 정보처리시스템을 클라우드서비스 제공자 구간에 위치한 내부망 정보처리시스템에 연결하거나, 관리용 단말기를 클라우드서비스에 연결해야 하는 경우 다음 사항을 준수할 것. 감독규정 시행세칙의 망분리 대체 정보보호통제 수칙. 전용회선 또는 전용회선과 동등한 보안수준을 갖춘 가상의 전용회선(VPN 등) 사용.

업무용 단말기 및 내부망 정보처리시스템을 클라우드서비스 제공자 구간에 위치한 외부망 정보처리시스템에 연결해야 하는 경우 감독규정 시행세칙의 망분리 대체 정보보호통제 수칙을 준수할 것. 단말기 및 정보처리시스템을 클라우드서비스 제공자 구간에 위치한 외부망 정보처리시스템에 연결해야 하는 경우 암호화된 통신채널을 사용할 것.

라. 암호화 및 키 관리

고유식별정보, 개인신용정보 등 민감 데이터를 암호화하고, 암호화 키의 생성부터 폐기까지 전 단계 관리를 위한 세부 정책을 마련할 것. 필요 시 HSM(Hardward Security Modules)을 이용하여 키 관리를 강화할 것.

암호화 키는 접근이 통제된 보안네트워크에 저장하고, 클라우드서비스 제공자의 직원이나 동일 클라우드서비스를 이용하는 외부 기관이 접근할 수 없도록 할 것. (예) 금융회사 내부 시스템, 클라우드서비스 제공자의 보안네트워크 서비스 등.

마. 로깅

접근기록, 가동기록 및 보안로그 등을 기록･유지하여, 추후 사고 발생 시 조사(포렌식 조사 포함) 및 대응이 가능하도록 하고, 증거 수집 또는 획득 방법 등을 수립할 것.

▶ 감독규정 제13조(전산자료 보호대책) 中 ④ 제1항제11호의 정보처리시스템 가동기록의 경우 다음 각 호의 사항이 접속의 성공여부와 상관없이 자동으로 기록･유지되어야 한다. 1. 정보처리시스템에 접속한 일시, 접속자 및 접근을 확인할 수 있는 접근기록, 2. 전산자료를 사용한 일시, 사용자 및 자료의 내용을 확인할 수 있는 접근기록 3. 정보처리시스템내 전산자료의 처리 내용을 확인할 수 있는 사용자 로그인, 액세스 로그 등 접근기록

로그데이터를 위한 적절한 접근통제를 실시하고 관련 법령에 따라 암호화 등 적절한 보호조치를 취할 것. 특히, 보안로그의 경우 독립적인 시스템에 보관하는 등 무결성 및 가용성이 보장될 수 있도록 관리할 것.

바. 가상 환경 보안

클라우드서비스 하드웨어, 가상 이미지, 가상화 관리 소프트웨어(하이퍼바이저 등)에 대한 잠재적 위협을 고려하여 취약점 점검, 보안 모니터링 등을 실시할 것. 가상 네트워크, 컨테이너 등 활용 시 표준 이미지, 개별 서비스별 보안설정을 체계적으로 관리하고 모니터링 할 것. 이 때, 가상 이미지 템플릿 등을 최신 상태로 유지하고, 현재 이미지 구성, 패치 상태, 이미지 무결성 등을 주기적으로 점검할 것.

사. 보안 모니터링 및 취약점 분석･평가

중요 로그를 실시간으로 모니터링하고 주기적으로 분석할 것. 침입 탐지/방지 시스템, 웹 방화벽, DDoS 대응 장비 등 보안 시스템을 적절한 위치에 배치하여 공격을 탐지･대응할 것. 연 1회 이상(홈페이지는 6개월에 1회 이상) 실시하는 취약점 분석･평가 수행 시 클라우드서비스를 이용하는 전자금융기반 시스템을 포함하여야 하며, 필요 시 클라우드서비스 제공자에 협조를 요청할 것. 이 때, 일반 취약점뿐만 아니라 클라우드 컴퓨팅 고유의 위협을 고려하여 수행할 것.

▶ 감독규정 제37조의2(전자금융기반시설의 취약점 분석･평가 주기, 내용 등) ①∼⑤ (생략) ⑥ 금융회사 또는 전자금융업자는 제1항 또는 제3항에 따른 의무의 이행을 위하여 전자금융보조업자에게 협조를 요청할 수 있다.

아. 인적 보안

금융회사 내 클라우드서비스 이용자 및 관리자를 대상으로 주기적인 클라우드서비스 보안 교육을 실시하고, 클라우드서비스 제공자의 직원 보안 교육계획 및 결과(대상 직원 수, 이수 시간 등) 등을 공유 받아 검토할 것.

4. 업무 위수탁 운영기준 마련

금융회사는 클라우드서비스 이용 시 자체 업무 위수탁 운영기준을 마련하고 준수해야한다.

▶ 감독규정 제14조의2(클라우드컴퓨팅서비스 이용절차 등) 中 ① 금융회사 또는 전자금융업자는 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제2조제3호에 따른 클라우드컴퓨팅서비스를 이용하고자 하는 경우 다음 각 호의 절차를 수행하여야 한다. 3. <별표 2의3>에서 정하는 사항을 반영한 자체 업무 위수탁 운영기준의 마련 및 준수

금융회사는 업무 중요도 평가 결과 중요도가 높은 업무를 위탁하는 경우 관련 규정에 따라 기 수립･운영 중인 자체 업무 위수탁 운영기준에 <감독규정 [별표 2의3]> 업무위탁 운영기준 보완사항을 반영하고 이를 준수해야 한다. 또한, 중요도가 낮은 업무를 위탁하는 경우 금융회사 필요에 따라 자체적으로 판단하여 반영한다. ｢자본시장법｣ 제42조제7항 또는 ｢금융기관의 업무위탁 등에 관한 규정｣ 제3조의2.

정회목 변호사