‘전자금융감독규정’ 개정 등 법제도 이슈에 따른 클라우드 보안시장 전망

 

클라우드 이용절차 합리화 및 망분리 규제 완화를 위해 금융위원회에서 의결한 ‘전자금융감독규정’ 개정안이 2023년 1월 1일부터 시행된다. 이번 개정안은 금융업무의 디지털 전환이 가속화됨에 따라 클라우드, 인공지능(AI) 등 디지털 신기술에 대한 금융권 수요를 반영했다.

 

개정안의 주요 내용은

 

첫째, 클라우드 이용 업무의 중요도 평가 기준이 마련됐다.

둘째, 클라우드서비스제공자(CSP)의 건전성 및 안전성 평가항목이 정비됐다.

셋째, 클라우드 이용 시 사전보고를 사후보고로 전환하고, 제출서류를 간소화했다.

넷째, 연구·개발 분야의 망분리 규제가 완화됐다.

 

비중요 업무에 대한 소프트웨어 형태의 클라우드(SaaS)를 내부망에서 이용할 수 있도록 규제 샌드박스를 통한 망분리 규제 완화를 2023년 상반기에 검토할 예정이다.

 

‘금융 분야 클라우드컴퓨팅서비스 이용 가이드’ 개정

‘전자금융감독규정’ 개정에 따라 ‘금융 분야 클라우드컴퓨팅서비스 이용 가이드’도 2022년 11월 23일 개정됐다. 클라우드 이용 규제가 완화됨에 따라 금융권의 클라우드 서비스 이용이 늘면서 클라우드 보안은 매우 중요해지고 있다. 클라우드 서비스 제공사에선 기본적인 보안을 제공할 뿐 금융사에서 각자 도입한 클라우드는 이용 환경에 따라 보안을 강화해야 하기 때문이다.

 

클라우드 보안, 업무 연속성과 안전성 확보조치로 보안 강화

 

1. 업무 연속성 계획 수립

 

이번에 개정된 ‘금융 분야 클라우드컴퓨팅서비스 이용 가이드’에서 안내하고 있는 클라우드 보안수준 확보는 업무 연속성 계획 및 안정성 확보조치 방안 수립이다.

 

업무 연속성 계획 수립은

 

첫째, 데이터 백업 등 장애 대비

둘째, 이중화 또는 예비장치 확보 등

셋째, 훈련 및 사고 관리

넷째, 비상대책 수립이다.

1) 데이터 백업 등 장애 대비

 

데이터 백업 등 장애 대비를 위한 전자금융감독규정 요구사항은

 

△비상시에 대비해 보조 기억매체 등 전산 자료에 대한 안전지출 및 긴급파기 계획을 수립·운용(제13조제1항제6호)

△중요도에 따라 전산자료를 정기적으로 백업해 원격 안전지역에 소산하고 백업 내역을 기록·관리(제13조제1항제8호)

△주요 백업 전산자료에 대해 정기적으로 검증(제13조제1항제9호)

△정보처리시스템의 장애 발생 시 장애일시, 장애 내용 및 조치사항 등을 기록한 장애 상황기록부를 상세하게 작성·보관(제14조제3호)

△시스템 통합, 전환 및 재개발 시 장애 등으로 인해 정보처리시스템의 운영에 지장이 초래되지 않도록 통제 절차를 마련해 준수(제14조제5호)

△중요도에 따라 정보처리시스템의 운영체계 및 설정 내용 등을 정기 백업 및 원격 안전지역에 소산하고 백업자료는 1년 이상 기록·관리(제14조제8호)

△시스템 장애, 가동중지 등 긴급사태에 대비해 백업 및 복구 절차 등을 수립·시행(제15조제2항제6호)

△전산 장애 발생 시 전산 자료 손실에 대비한 백업(Backup)장치를 구비해야 한다(제50조제1항제3호).

2) 이중화 또는 예비장치 확보 등

 

이중화 또는 예비장치 확보 등을 위한 전자금융감독규정 요구사항이다.

△금융회사는 제1항의 규정에 따른 업무지속성 확보대책의 실효성·적정성 등을 매년 1회 이상 점검해 최신상태로 유지하고 관리(제23조제3항)해야 한다.

△금융회사는 중앙처리장치, 데이터저장장치 등 주요 전산장비에 대해 이중화 또는 예비장치를 확보해야 한다(제23조제7항).

3) 훈련 및 사고 관리

 

훈련 및 사고 관리를 위한 전자금융감독규정 요구사항이다.

 

△금융회사는 해킹 등 전자적 침해행위로 인한 피해 발생 시 즉시 대처할 수 있도록 적절한 대책 마련(제15조제4항).

△악성코드 감염에 대비해 복구 절차 마련(제16조제1항제3호)

△금융회사는 악성코드 감염이 발견된 경우 악성코드 확산 및 피해 최소화를 위해 필요한 조치로 신속하게 대응(제16조제2항).

△금융회사는 장애, 재해, 파업, 테러 등 긴급한 상황이 발생하더라도 업무가 중단되지 않도록 업무지속성 확보방안을 수립·준수(제23조제1항) 해야 한다.

△또한 업무 지속성 확보대책이 반영(제23조제6항)돼야 하고

△금융회사 비상대책에 따라 연 1회의 비상 대응 훈련을 실시해 그 결과를 금융위원회에 보고해야 한다. 이때, 재해복구전환훈련을 포함해 실시할 수 있다(제24조제1항).

△금융위원회는 금융분야의 비상대응능력을 강화하기 위해 금융회사를 선별해 금융분야 합동비상대응훈련을 실시할 수 있다(제24조제2항).

△금융위원회는 합동비상대응훈련을 실시할 때 국가정보원, 경찰청 등 금융위원회가 필요하다고 인정하는 기관에 지원을 요청할 수 있다(제24조제3항).

△금융회사는 의무의 이행을 위해 전자금융보조업자에게 협조를 요청할 수 있다(제24조제4항).

4) 비상대책 수립

 

비상대책 수립을 위한 전자금융감독규정 요구사항이다.

 

△금융위원회가 별도로 지정하지 않은 금융회사는 자연 재해, 인적 재해, 기술적 재해, 전자적 침해 등으로 인한 전산시스템의 마비 방지와 신속한 복구를 위한 비상대책을 수립·운영해야 한다(제23조제5항).

 

2. 안전성 확보조치 방안 수립

 

1) 계정관리

 

보안수준 확보를 위한 안전성 확보조치 방안 수립의 첫 번째 필수사항은 계정관리다. 전자금융감독규정 요구사항에 따르면

 

△사용자 계정과 비밀번호를 개인별로 부여하고 등록·변경·폐기를 체계적으로 관리해야 한다(제13조제1항제1호).

△사용자 계정의 공동 사용이 불가피한 경우에는 개인별 사용 내역을 기록·관리해야 한다(제13조제2항).

△외부사용자에게 사용자 계정을 부여하는 경우 최소한의 작업 권한만 할당하고 적절한 통제장치를 갖춰야 한다(제13조제1항제2호).

△사용자가 전출·퇴직 등 인사 조치가 있을 때에는 지체없이 해당 사용자 계정 삭제, 계정 사용 중지, 공동 사용 계정 변경 등 정보처리시스템에 대한 접근을 통제해야 한다(제13조제1항제14호).

△정보처리시스템의 운영체제 계정으로 로그인할 경우 계정 및 비밀번호 이외에 별도의 추가인증 절차를 의무적으로 시행해야 한다(제14조제9호).

△정보처리시스템 운영체제 계정에 대한 사용 권한, 접근 기록, 작업 내역 등에 대한 상시 모니터링체계를 수립하고, 이상 징후 발생 시 필요한 통제 조치를 즉시 시행해야 한다(제14조제10호).

△공개용 웹서버에 접근할 수 있는 사용자 계정은 업무관련자만 접속할 수 있도록 제한하고 아이디, 비밀번호 이외에 추가 인증수단을 적용(제17조제1항제2호)해야 한다.

2) 접근 통제

 

안전성 확보조치를 위한 방안 수립의 두 번째 필수사항은 접근 통제다. 전자금융감독규정 요구사항은

 

△전산자료의 보유 현황을 관리하고 책임자를 지정·운영(제13조제1항제3호).

△전산자료 및 전산장비의 반출·반입을 통제(제13조제1항제5호)

△정보처리시스템 접속 시 5회 이내의 범위에서 미리 정한 횟수 이상의 접속 오류가 발생하는 경우 정보처리시스템의 사용 제한(제13조제1항제12호)

△금융회사는 단말기와 전산 자료의 접근 권한이 부여되는 정보처리시스템 관리자에 대해 적절한 통제장치를 마련·운용해야 한다. 다만, 정보처리 시스템 관리자의 주요 업무 관련 행위는 책임자가 제28조 제2항에 따라 이중확인 및 모니터링을 해야 한다(제13조제5항).

△담당업무 외에는 열람 및 출력을 제한할 수 있는 접근자의 비밀번호를 설정해 운영(제32조제1호)해야 한다.

△비밀번호는 이용자 식별부호(아이디), 생년월일, 주민등록번호, 전화번호를 포함하지 않은 숫자와 영문자 및 특수문자 등을 혼합해 8자리 이상으로 설정하고 분기별 1회 이상 변경해야 한다(제32조제2호가).

△시스템마다 관리자 비밀번호를 다르게 부여(제32조제2호다)

△비밀번호 입력 시 5회 이내의 범위에서 미리 정한 횟수 이상의 입력 오류가 연속해 발생한 경우 즉시 해당 비밀번호를 이용하는 접속을 차단하고 본인 확인절차를 거쳐 비밀번호를 재부여하거나 초기화 해야 한다(제32조제3호).

3) 네트워크 보안

 

클라우드 환경의 안전성 확보조치 세 번째 필수사항은 네트워크 보안이다.

 

△내부통신망과 연결된 내부 업무용시스템은 인터넷(무선통신망 포함) 등 외부통신망과 분리·차단 및 접속을 금지해야 한다(제15조제1항제3호).

△규정 제15조제1항제3호에서 시행세칙 2조의2제1항에 따라 내부통신망에 연결된 단말기가 업무상 필수적으로 외부기관과 연결해야 하는 경우 등은 금융감독원장의 확인을 받아 연결할 수 있다.

△무선통신망 이용 업무는 최소한으로 국한하고 정보보호 최고책임자의 승인을 받아 사전에 지정해야 한다(제15조제6항제1호).

△공개용 웹서버를 내부통신망과 분리해 내부통신망과 외부통신망 사이의 독립된 통신망(DMZ구간)에 설치하고 네트워크 및 웹 접근제어 수단으로 보호해야 한다(제17조제1항제1호).

△금융회사는 정보제공자 주소(이하 ‘IP주소’라 한다)의 안전한 사용을 위해 적절한 대책을 수립·운용해야 한다(제18조).

4) 금융회사 내부시스템과 클라우드 시스템 연계

 

안전성 확보조치 네 번째 필수사항은 금융회사 내부시스템과 클라우드 시스템 연계다.

 

△업무담당자 이외의 사람이 단말기를 무단으로 조작하지 못하도록 조치(제12조제1호)

△정보유출, 악성코드 감염 등을 방지할 수 있도록 단말기에서 보조 기억매체 및 휴대용 전산장비에 접근 통제(제12조제4호)

△전산실 내에 위치한 정보처리시스템의 운영, 개발, 보안 목적으로 직접 접속하는 단말기에 대해서는 인터넷 등 외부통신망으로부터 물리적으로 분리(제15조제1항제5호)

△전화 등 거래수단 성격상 암호화가 불가능한 경우를 제외한 전자금융거래는 암호화 통신을 사용. 단, 전용선을 사용하는 자체 보안성 심의를 실시한 경우는 제외(제34조제1호)

△금융회사와 전자금융보조업자 간의 접속은 전용회선(전용회선과 동등한 보안수준을 갖춘 가상의 전용회선을 포함한다) 사용(제60조제1항제5호).

△전자금융업무의 처리를 위해 클라우드 내 정보처리시스템과 데이터 송수신이 불가피한 정보처리시스템의 경우, 필요한 서비스번호(포트 Port)에 한해 연결 가능(시행세칙 제2조의2제2항제2호).

△자체 위험성 평가를 실시하고, 감독규정 시행세칙에서 정한 망분리 대체 정보보호통제를 적용하고 정보보호위원회 승인 후 이용해야 한다(시행세칙 제2조의2제3항).

5) 암호화 및 키 관리

 

안전성 확보조치 다섯 번째 필수사항은 암호화 및 키관리다.

 

△금융회사는 암호프로그램에 대해 담당자 지정, 담당자 이외의 이용 통제 및 원시프로그램(Source Program) 별도 보관 등을 준수해 유포 및 부당 이용이 발생하지 않도록 해야 한다(제31조제1항).

△금융회사는 암호 및 인증시스템에 적용되는 키에 대해 주입·운용·갱신·폐기에 대한 절차 및 방법을 마련해 안전하게 관리해야 한다(제31조제2항).

△비밀번호는 제32조제2호에 따라 이용자 식별부호(아이디), 생년월일, 주민등록번호, 전화번호를 포함하지 않은 숫자와 영문자 및 특수문자 등을 혼합해 8자리 이상으로 설정하고 분기별 1회 이상 변경 등을 준수해야 한다.

△금융회사는 정보처리시스템 및 전산 자료에 보관하고 있는 이용자의 비밀번호를 암호화해 보관하며 동 비밀번호를 조회할 수 없도록 해야 한다. 다만 비밀번호의 조회가 불가피하다고 인정되는 경우에는 그 조회 사유·내용 등을 기록·관리해야 한다(제33조제1항).

△개인정보보호법, 신용정보보호법, 정보통신망법 등에 따른 중요정보의 저장 및 송수신 시 암호화 조치를 해야 한다.

6) 로깅

 

안전성 확보조치 여섯 번째 필수사항은 로깅이다.

 

△정보처리시스템의 가동기록은 1년 이상 보존(제13조제1항제11호)

△제1항제11호의 정보처리시스템 가동기록의 경우 접속의 성공 여부와 상관없이 자동으로 기록, 유지돼야 한다(제13조제4항).

△내부 IP주소 및 외부 IP주소의 인터넷 접속내용을 1년 이상 별도로 기록·보관(제18조제3호)

△금융회사 또는 전자금융업자는 정보처리시스템의 장애 예방 및 성능 최적화를 위해 정보처리시스템의 사용 현황 및 추이 분석 등을 정기적으로 실시해야 한다(제25조).

7) 보안 모니터링 및 취약점 분석·평가

 

다음으로 보안 모니터링 및 취약점 분석·평가를 위한 전자금융감독규정 요구사항은

 

△주요 정보처리시스템에 대한 구동, 조작 방법, 명령어 사용법, 운용순서, 장애 조치 및 연락처 등 시스템 운영 매뉴얼을 작성해야 한다(제14조제1호).

△데이터베이스 관리시스템(Database Management System : DBMS)·운영체제·웹프로그램 등 주요 프로그램에 대해 정기적으로 유지 보수를 실시하고, 작업일, 작업내용, 작업결과 등을 기록한 유지보수 관리대장을 작성·보관해야 한다(제14조제2호).

△또한 정보처리시스템 책임자를 지정, 운영해야 하고(제14조제6호)

△정보처리시스템의 운영체계, 시스템 유틸리티 등의 긴급하고 중요한 보정(Patch) 사항에 대해서는 즉시 보정작업을 해야 한다(제14조제7호).

△이어 해킹 등 전자적 침해행위로 인한 사고를 방지하기 위한 정보보호 시스템을 설치 및 운영(제15조제1항제1호)해야 하고

△해킹 등 전자적 침해행위에 대비한 시스템프로그램 등의 긴급하고 중요한 보정(Patch) 사항에 대해 즉시 보정작업을 실시(제15조제1항제2호)해야 한다.

△제1항1호의 규정에 따른 정보보호 시스템 설치·운영을 하는 경우 최소한의 서비스번호(Port)와 기능만을 적용하고 업무목적 이외의 기능 및 프로그램을 제거하는 등의 사항을 준수해야 한다(제15조제2항).

△정보보호 시스템에 대해 책임자를 지정, 운영해야 하며, 정보보호 시스템의 운영결과는 1년 이상 보존해야 한다(제15조제3항). 이어

△금융회사는 악성코드 감염을 방지하기 위해 응용프로그램을 사용할 때 악성코드 검색프로그램 등 진단 및 치료 후 사용하는 등을 포함한 대책을 수립·운용해야 한다.

8) 인적 보안

 

마지막으로 안전성 확보를 위한 필수사항은 인적 보안이다. 인적 보안은

 

△외부주문 등에 관한 계약을 체결할 때는 계약 내용의 적정성을 검토하고 자체적으로 통제가 가능하도록 회사 내부에 조직과 인력을 갖춰야 한다(제8조제1항제2호).

△전산인력의 자질향상 및 예비요원 양성을 위한 교육 및 연수프로그램을 운영해야 한다(제8조제1항제3호).