[회사법무 스타트업] 클라우드서비스 계약 체결

금융보안원 2019. 1. 제공

계약체결 시 요구사항을 적극 반영하기 위해서는 기업계약서 작성(Enterprise Agreement) 방식이 유리하며, 클라우드서비스 제공자 약관 형태 계약(Click-through Agreement)은 비즈니스 시급성이 잠재적 리스크보다 우위일 때만 제한적으로 이용할 필요가 있다.

▶ 감독규정 [별표 2의3] 업무위탁 운영기준 보완사항 中 5. 위수탁 계약서 주요 기재사항 ∙ 클라우드컴퓨팅서비스가 제공되는 물리적 위치 ∙ 재위탁 또는 재위탁의 변경 등 금융회사 또는 전자금융업자의 동의가 필요한 사항 ∙ 위탁하는 업무, 데이터에 관한 사항 ∙ 위수탁 계약 및 재위탁 관련 중요 변경사항이 있는 경우 등 금융회사 또는 전자금융업자에 대한 통보가 필요한 사항 ∙ 감독당국 또는 내외부 감사인의 조사･접근(현장방문 포함) 수용 의무 ∙ 계약의 파기 또는 종료, 기타 위탁업무의 원활한 이행이 어려운 경우 해당 위탁업무의 이전 및 반환 등에 관한 사항 ∙ 위탁 및 위탁업무 관련 준거법 준수의무 및 자율규제에 대한 협조 ∙ 비상대응훈련(재해복구전환훈련 포함), 취약점 분석･평가, 침해사고대응훈련 등의 협조에 관한 사항 ∙ 위탁업무 모니터링 지원에 관한 사항 ∙ 전송 정보에 대한 정보보호 의무 및 서비스 연속성 보장 등의 보안 요구사항 ∙ 재위탁 관련 클라우드서비스 제공자의 관리･감독 의무에 관한 사항 ∙ 재위탁 또는 재위탁 변경에 따른 보안리스크 증가 등 서비스에 악영향을 미칠 수 있는 경우 원위탁자의 계약해지 권한 보유에 관한 사항 ▶ 금융기관의 업무위탁 등에 관한 규정 [별표3] 업무 위수탁 기준 中 7. 위수탁 계약서 주요 기재사항 ∙ 위수탁업무의 범위(공급주기, 내용, 형태 등) ∙ 업무수행의 수단 ∙ 정보제공 책임(수탁자 내부의 영업상 중요정보 포함) ∙ 수탁자에 대한 감사 권한 ∙ 업무위수탁에 대한 수수료 및 보상금 ∙ 위탁업무에서 발생하는 자료에 대한 위탁금융회사의 소유권과 당해 금융회사의 물적설비 및 지적재산권 등의 이용조건 ∙ 고객정보의 보호 및 비밀유지에 관한 사항 ∙ 업무의 연속성을 확보하기 위한 백업시스템 확보 등 비상계획 ∙ 면책조항, 보험가입, 분쟁해결(중재, 조정 등) 방법 ∙ 수탁자의 책임한계 ∙ 계약의 파기 또는 종료(위탁금융회사의 계약해지권, 자료의 복구방법 등)에 관한 규정 ∙ 감독당국의 검사 수용의무 ∙ 재위탁시 발생한 손해에 대해 원위탁자의 연대배상책임에 대한 내용 ∙ 수탁자가 업무 재위탁시 원계약 준수 명시 ∙ 준거법 및 관할법원(업무위수탁 상대방이 외국에 소재하는 경우) ∙ 기타 업무위수탁에 따른 리스크관리 등을 위하여 필요한 사항 등 ▶ 금융회사의 정보처리 업무 위탁에 관한 규정 제4조(정보처리의 위탁) 中 ③ 금융회사는 제1항에 따른 정보처리 위탁계약을 체결할 경우 데이터에 대한 접근통제, 전산사고 등에 따른 이용자 피해에 대한 위･수탁회사간의 책임관계, 수탁회사에 대한 감독당국의 감독･검사 수용의무, 수탁회사의 분쟁해결 과정에서의 재판관할 등을 계약 내용에 반드시 포함하여 위탁에 따라 발생할 수 있는 책임관계를 명확히 하여야 한다.

클라우드서비스 제공자와 계약 시 아래 분야별 명시사항을 계약서 등에 포함하되, 업무 중요도 평가 결과에 따라 중요도가 낮은 업무의 경우 금융회사가 선택적으로 포함할 수 있다.

1. 서비스 위탁 관련 명시사항

가. 서비스 범위 및 물리적 위치에 관한 사항

클라우드서비스를 이용하는 업무, 처리되는 데이터, 데이터가 처리되는 물리적 위치(시･군 단위까지 기재하고, 금융당국 요청 시 세부 위치 별도 제출) 명시. 고유식별정보 또는 개인신용정보를 처리하는 경우, 해당 정보를 처리하는 모든 시스템(해당 정보가 일시적으로 처리되는 시스템 포함, 해당 정보가 처리되는 경우 관리시스템도 포함됨)을 국내에 설치하여야 하고, 해당 전산실 내에 무선통신망이 설치되어있지 않아야 함.

금융회사의 데이터가 국외에서 처리되는 경우(고유식별정보･개인신용정보 이외) 정보 처리, 보안 관리 등에 대한 해당 국가의 법적 의무사항에 대해 사전에 파악하여 통지할 것. 관련 법적 의무사항이 신규 발생되거나 개정되는 경우 이를 파악하여 통지할 것.

나. 접근권 및 감사권 수용 의무에 관한 사항

금융당국, 침해사고대응기관, 금융회사 사내･사외 감사(정보보호담당자 포함) 및 금융회사가 임명한 제3자(이하 ‘금융당국 및 내외부 감사인’)는 데이터센터 등 현장방문을 포함한 조사･접근을 수행할 수 있음. 금융회사가 지정한 제3자의 감사보고서 검토로 내외부 감사인(금융당국, 침해사고대응기관 이외)의 조사･접근을 일부 대체할 수 있음. 클라우드서비스 제공자는 이를 수용하며, 현장방문, 관련 자료 제출 요구 및 검사에 적극 협조하여야 함.

금융당국 및 내외부 감사인은 클라우드서비스에 이용되는 모든 범위의 장치, 시스템, 네트워크 및 데이터에 접근할 수 있음. 금융당국은 클라우드서비스 제공자를 대상으로 감독･검사를 수행할 수 있고, 내외부 감사인은 클라우드서비스 제공자를 대상으로 감사를 수행할 수 있으며, 필요 시 다수 금융회사가 연합하여 합동(또는 합동 수행을 임명 받은 제3자를 통해)으로 감사를 수행할 수도 있음.

금융당국 및 내외부 감사인은 클라우드서비스 제공자에게 제3자 인증 또는 내부 감사 보고서의 제출을 요구할 수 있고, 금융회사 업무와 관련된 대상에 대해 내부 감사 보고서의 보완을 요구 할 수 있음. 금융당국 및 내외부 감사인은 감독･검사 및 감사 수행 또는 인증･감사 보고서 검토 결과 지적된 사항에 대해 지체 없이 조치할 것을 요구

할 수 있음.

다. 재위탁 관리에 관한 사항

클라우드서비스 제공자가 일부 업무를 재위탁할 경우 재위탁 업무의 범위 및 수탁자 내역 등을 명확하게 제공할 것. 클라우드서비스 제공자는 업무 재위탁 시 수탁자가 원계약을 준수하도록 하고, 재위탁 계약서에 본 가이드의 계약서 명시사항 중 관련 부분을 포함할 것.

재위탁 업무가 신규로 발생되거나 중요 변경 사항이 발생할 경우 금융회사에 사전 동의를 받아야 하며, 금융회사는 이에 따른 보안리스크 등 서비스 영향을 고려하여 동의하지 않거나 계약을 해지할 수 있음. 클라우드서비스 제공자는 정보기술부문의 정보보호와 관련된 업무를 위탁받은 경우, 해당업무를 제3자에게 재위탁할 수 없음(전자금융거래법 제40조제6항).

라. 서비스 중지 등 서비스 수준에 관한 사항

클라우드서비스 제공자가 시스템 업데이트 등 불가피한 사유로 일정기간 동안 서비스를 중지해야 할 경우 사전에 금융회사와 협의할 것. 해킹, 천재지변 등 예상하지 못한 사유로 정상적인 서비스 제공이 중단되는 경우 지체 없이 금융회사에 통지할 것.

또한, 서비스 중단 등 장애가 10분 이상 지속된 경우, 진행 상황 파악 등을 위한 연락 담당자를 지정하고 정확한 장애원인 분석 및 재발방지 대책을 마련하여 금융회사에 제공할 것. 클라우드컴퓨팅법에서는 중단 기간을 지정하고 있으나, 금융회사 중요 서비스의 경우 기간과 무관하게 중단 발생 시 통지할 필요.

▶ 클라우드컴퓨팅법 제25조제1항제3호 및 동법 시행령 제16조 클라우드컴퓨팅서비스 제공자는 사전예고 없이 다음 각 호의 어느 하나에 해당하는 기간(당사자 간 계약으로 기간을 정하였을 경우에는 그 기간을 말한다) 이상 서비스 중단이 발생한 때 지체 없이 그 사실을 해당 이용자에게 알려야 한다. 1. 클라우드컴퓨팅서비스의 중단 기간이 연속해서 10분 이상인 경우 2. 클라우드컴퓨팅서비스의 중단 사고가 발생한 때부터 24시간 이내에 클라우드컴퓨팅서비스가 2회 이상 중단된 경우로서 그 중단된 기간을 합하여 15분 이상인 경우

클라우드서비스 제공자는 장애･재해･파업･테러 등으로 서비스 지연 또는 중단이 발생할 경우 신속하게 복구하고 대응할 수 있는 절차 및 체계를 마련하여 금융회사에 통지하고, 이를 준수할 것. 특히, 중요정보를 클라우드서비스를 통하여 처리하는 경우, 장애, 보안사고 등 유사 시 신속한 대응을 위해 필요한 시스템 운영 관련 상주 인력을 국내에 확보하고, 원활한 사고 대응을 위해 해당 인력의 관리시스템 접근권한 등을 확보할 것. 그 외, 클라우드서비스 가용성, 연속성, 성능 요건, 금융회사 지원 사항 등을 사전에 합의하여 명시할 것.

계약의 파기 또는 종료, 기타 위탁업무의 원활한 이행이 어려운 경우 해당 위탁업무의 이전 및 반환 등에 관한 사항을 명시할 것. 클라우드서비스 제공자와 금융회사 간에 분쟁으로 소송이 제기되는 경우에는 민사소송법이 정한 법원을 관할 법원으로 하고, 당사자 일방이 외국사업자인 경우에는 대한민국 법원이 국제재판관할권을 가짐. 계약의 성립, 효력, 해석 및 이행과 관련하여서는 대한민국법을 적용.

2. 보안 관련 명시사항

가. 데이터 관리 및 보호에 관한 사항

클라우드서비스 이용 관련 모든 정보(서비스 위탁 규모 등 포함)는 금융회사가 위탁한 업무 범위 내에서만 처리되어야 함. 수사목적, 법적 분쟁 발생 등에 따른 해외 관계당국 또는 해외의 제3자에 대한 정보 제공 관련 법령에 대해서 사전에 파악하여 금융당국 및 금융회사에 보고할 것(추가, 변경사항 포함). 정보 제공 시 정보 주체 통지를 금지하는 조항이 있을 경우 해당 조항도 포함되어야 함 (해당 조항에 따라 실제로 정보제공이 요구되었으나 정보 주체 통지가 불가한 경우에는 금융당국에 별도 통지할 것). 해당 법령에 따라 정보제공이 요구되는 경우 실제로 정보를 제공하기 전에 금융당국 및 금융회사에 통지하고, 관계국의 법령, 국가간 상호협정 등에서 정한 적법한 절차에 따라 처리할 것. 단, 원칙적으로 정보주체의 동의를 받도록 하는 「개인정보보호법」, 「신용정보의 이용 및 보호에 관한 법률」 등을 준수할 것.

금융회사가 클라우드서비스를 이용하여 처리하는 모든 정보는 금융회사의 소유로서 금융회사는 이 정보에 대해 언제든지 조회, 수정, 삭제할 수 있는 권리를 가짐. 클라우드서비스 제공자는 정보에 대한 어떠한 권리도 주장할 수 없으며, 모든 정보 전송 시 암호화 기술을 적용하여야 함. 그 밖에 클라우드서비스 제공자는 정보의 비인가 접근 및 유출 등을 방지하기 위해 충분한 보호수단을 구현하여야 함. 금융회사에서 수립한 업무 연속성 계획 및 안전성 확보조치 방안의 이행을 위해 협조 및 지원할 것.

나. 사고대응 및 취약점 분석･평가에 관한 사항

클라우드서비스 제공자는 재해 또는 사고 발생 시 신고 절차, 복구 및 대응 절차 등을 마련하고 주기적으로 훈련을 실시할 것. 관련 직원을 모두 포함한 비상 연락 체계를 마련하고, 복구목표시간 및 복구 목표시점 요건을 사전에 합의하여 명시하며, 필요 시 공동 훈련을 실시할 것.

사고 발생 시, 클라우드서비스 제공자는 이를 인지한 즉시 금융회사에 통지(침해사고의 경우 침해사고대응기관에도 통지)하고, 사고 조사 및 피해 복구에 적극 협조할 것. 사고 원인분석을 위한 자료 보전 및 제출, 현장 조사, 인력 지원, 피해 확산･재발 방지 및 복구를 위해 필요한 조치 등. 금융회사는 정보처리시스템 또는 통신회선 등의 장애로 10분 이상 전산업무 중단 또는 지연, 전산자료 또는 프로그램의 조작과 관련된 금융사고, 전자적 침해사고 등 관련 규정에서 정한 사고 발생 시 지체 없이 금융감독원에 보고하여야 하고(감독규정 제73조), 클라우드서비스 제공자는 침해사고 발생･이용자 정보 유출 시 지체 없이 그 사실을 해당 이용자에게 알려야 하며, 특히 이용자 정보 유출 시 과학기술정보통신부장관에게 보고하여야 함(클라우드컴퓨팅법 제25조).

클라우드서비스 제공자는 금융회사 및 침해사고대응기관이 감독규정 제24조, 제37조의3 및 제37조의4에 따라 수행하는 비상대응훈련, 재해복구전환훈련, 통합보안관제, 침해사고대응훈련, 취약점 분석･평가 등을 수행할 수 있도록 지원할 것. 클라우드서비스 제공자는 제공자가 관리하는 영역(인프라 등)에 대해 주기적으로 제3자로부터 취약점 분석･평가를 수행하고 조치하였음을 금융회사에 통지(금융당국 요청 시 세부 수행 결과를 제출). 이용 대상의 중요도에 따라 매년, 중대 변경 시 등 금융회사에서 적정한 주기를 판단하여 구체적으로 명시. 또한, 금융회사는 관련 보안사고 발생 등 필요 시 클라우드서비스 제공자에 추가적인 점검 수행을 요구할 수 있음.

다. 기타 보안요구사항

리스크 관리 등을 위해 필요한 보안 요구사항을 명시하고, 각자의 정보보호 역할과 책임 범위, 손해배상 및 계약해지 관련 사항을 명시할 것. 특히, 클라우드서비스 제공자는 장애사고 발생 방지 등 적절한 서비스품질 수준 보장 및 정보보호 역할과 책임을 다하기 위해 최선의 노력을 기울일 것.

금융회사는 클라우드서비스 제공자의 업무수행인력에 대하여 사전 신원조회를 실시(신원보증보험증권 징구로 갈음할 수 있음)하거나 대표자의 신원보증서를 징구할 수 있고, 클라우드서비스 제공자는 업무수행인력 내역 및 인력변경 시 인수인계에 관한 사항 등을 포함한 업무수행인력 관리방안을 제출할 것(감독규정 제60조 제1항제13호). 또한, 클라우드서비스 제공자는 직원 보안 교육을 주기적으로 실시하고, 교육 계획 및 수행 결과를 금융회사에 제출할 것. 특히, 금융회사 관련 업무 수행에 따른 비밀유지 의무 준수 및 위반시 처벌내용 등에 대한 내용을 보안 교육에 포함할 것(감독규정 시행세칙[별표 5의2]).

클라우드서비스 제공자는 위탁 업무 관련 법규 및 자율규제를 준수하고, 금융회사의 위탁 업무 모니터링을 지원할 것. 금융분야 클라우드컴퓨팅서비스 제공기준 내 서비스 제공기준을 만족할 것.

3. 출구 전략 이행을 위한 명시사항

클라우드서비스 제공자는 금융회사의 클라우드서비스 전환 및 종료 관련 절차에 적극적으로 협조할 것. 클라우드서비스 제공자는 클라우드서비스의 전환 및 종료 시 서비스 중단없이 정보를 안전하게 금융회사에 반환하도록 데이터 이전을 지원할 것. 클라우드서비스 제공자는 금융회사에게 데이터 이전을 위한 충분한 시간을 제공하고, 데이터 삭제 이전에 금융회사에 서면으로 확인 받을 것.

클라우드서비스 제공자는 데이터 이전이 완료된 후 금융회사의 정보를 복구 불가능한 방법으로 완전히 파기하고, 파기 확인서를 제출하여 정보의 파기 여부를 확인받을 것. 특히, 개인정보의 경우 ｢개인정보보호법｣ 제21조 등 관계 법령을 준수하여 파기할 수 있도록 지원할 것. 이 때, 재위탁된 정보, 관리 서비스 및 주변 솔루션 내 정보 등도 동일하게 처리할 것.

▶ 개인정보보호법 제21조(개인정보의 파기) ① 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다. ② 개인정보처리자가 제1항에 따라 개인정보를 파기할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다. ③ 개인정보처리자가 제1항 단서에 따라 개인정보를 파기하지 아니하고 보존하여야 하는 경우에는 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여서 저장･관리하여야 한다. ④ 개인정보의 파기방법 및 절차 등에 필요한 사항은 대통령령으로 정한다. ▶ 개인정보보호법 시행령 제16조(개인정보의 파기방법) ① 개인정보처리자는 법 제21조에 따라 개인정보를 파기할 때에는 다음 각 호의 구분에 따른 방법으로 하여야 한다. 1. 전자적 파일 형태인 경우: 복원이 불가능한 방법으로 영구 삭제 2. 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우: 파쇄 또는 소각 ② 제1항에 따른 개인정보의 안전한 파기에 관한 세부 사항은 행정안전부장관이 정하여 고시한다. ▶ 개인정보의 안전성 확보조치 기준 제13조(개인정보의 파기) ① 개인정보처리자는 개인정보를 파기할 경우 다음 각 호 중 어느 하나의 조치를 하여야 한다. 1. 완전파괴(소각･파쇄 등) 2. 전용 소자장비를 이용하여 삭제 3. 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행 ② 개인정보처리자가 개인정보의 일부만을 파기하는 경우, 제1항의 방법으로 파기하는 것이 어려울 때에는 다음 각 호의 조치를 하여야 한다. 1. 전자적 파일 형태인 경우 : 개인정보를 삭제한 후 복구 및 재생되지 않도록 관리 및 감독 2. 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우 : 해당 부분을 마스킹, 천공 등으로 삭제

클라우드서비스 제공자의 사정에 의해 종료할 경우, 클라우드서비스 제공자는 다른 클라우드서비스 제공자로의 이전 등 대안을 마련할 것. 금융회사는 클라우드서비스의 전환 및 종료 절차에 대한 모의훈련을 주기적으로 실시할 것을 요구할 수 있음.

4. 책임관계 명확화

가. 대외적 책임(금융소비자 피해 발생 시 손해배상 책임)

클라우드서비스 제공자의 관련 법령, 계약상 의무 위반 등으로 인해 금융소비자에게 손해가 발생하는 경우에는 금융회사가 클라우드서비스 제공자와 연대하여 배상책임을 부담. 클라우드서비스 제공자의 귀책사유로 금융회사가 금융소비자에게 손해를 배상한 경우에는 금융회사는 클라우드서비스 제공자에게 구상권을 행사할 수 있음.

나. 계약 당사자간 책임관계(금융회사와 클라우드서비스 제공자간)

- 관련 법령 위반 등에 따른 손해배상 책임

전자금융거래법, 신용정보법, 개인정보보호법 등 관련 법령 및 계약상 의무를 위반한 클라우드서비스 제공자의 귀책사유로 금융회사 또는 금융회사의 고객에게 손해를 끼친 경우 금융회사는 이용계약의 해제･해지 여부와 관계없이 클라우드서비스 제공자에게 손해배상을 청구할 수 있음. 「전자금융거래법」, 「신용정보의 이용 및 보호에 관한 법률」, 「금융기관의 업무위탁 등에 관한 규정」, 「금융회사의 정보처리 업무 위탁에 관한 규정」 등 금융 관련 법령, 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」,「개인정보보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 등. 클라우드서비스 제공자가 전자금융거래 법령을 포함한 관계 법령 또는 이용 계약상의 의무를 미이행･위반한 경우에는 클라우드서비스 제공자의 고의 또는 과실이 있는 것으로 볼 수 있음.

금융회사가 청구할 수 있는 손해배상에는 서비스 중단 및 자료 유출 등으로 인한 직접적인 손해 외에 금융회사의 대외 신뢰도 저하에 따른 손해등 간접적인 손해도 포함될 수 있음. 양 당사자간 서비스 계약의 해제･해지와 관련된 절차･사항을 계약상에 포함하되, 관련 법령 위반, 반복적인 계약상 의무 불이행, 중요 계약사항의 위반(감독당국의 조사･접근권 관련 의무 미이행 등) 등이 있는 경우 금융회사가 위약금 없이 계약을 해제･해지할 수 있도록 명시.

- 서비스 장애･중단 및 품질 수준 저하로 인한 손해배상 책임

클라우드서비스 제공자의 귀책사유로 이용기관이 서비스를 일시 이용하지 못하거나, 계약 당사자간 사전에 협의한 적절한 서비스 품질 수준을 유지･제공하지 못한 경우 클라우드서비스 제공자는 금융회사에게 그 손해를 배상하여야 함.

금융회사는 관련 법령 및 본 가이드에서 제시하는 내용을 바탕으로 클라우드서비스 제공자와 사전 협의를 거쳐 적합한 서비스 수준 협약(SLA), 구체적 손해배상 규정 등을 사전에 명확히 정하여야 함. 불가항력으로 인한 사고 등에 대한 클라우드서비스 제공자의 면책사유･범위 등을 명확히 할 것. SLA(Service Level Agreement): 클라우드서비스 제공자가 금융회사 등 이용자에게 제공하는 서비스의 수준을 정량 기준 등을 통해 명확히 제시하고, 이에 미달하는 경우 손해를 배상토록 하여 서비스의 품질을 보장하기 위한 약정. 클라우드서비스 제공자는 금융회사와 사전에 협의하여 정한 손해배상 규정에 따라 구체적인 손해를 산출하고, 금융회사에게 해당 손해액을 지급토록 함.

- 재위탁 관련 손해배상 책임 등

클라우드서비스 제공자는 재위탁 관련 수탁자가 계약 내용을 준수하도록 관리･감독할 의무가 있음. 재위탁 시 발생한 금융회사 등의 손해에 대해서는 원위탁자 (클라우드서비스 제공자)가 재위탁 받은 업체와 연대배상할 책임이 있음(재위탁 받은 업체의 고의･과실은 클라우드서비스 제공자의 고의･과실로 간주).

정회목 변호사