딜라이트닷넷

금융보안원 클라우드 도입으로 본 클라우드 도입 A-Z

통신방송 19.10.13 09:10
금융보안원이 클라우드 컴퓨팅 도입에 나선다. 금융권의 클라우드 활성화를 위해 ‘금융권 클라우드 서비스 가이드라인’은 지난해 8월~12월에 개정됐고, ‘전자금융감독규정’ 개정안의 시행은 지난 1월 1일부터 시행됐다.

현재 많은 금융사들이 클라우드 도입을 위한 준비에 나서고 있다. 하지만 세부적인 내용 및 업무 적용 범위 등에 대해서 아직도 혼선이 많은 상황이다. 클라우드 도입에 있어 보안적합성 등의 업무를 담당하고 특히 금융 클라우드 보안 가이드라인을 제작, 배포한 주인공인 금융보안원의 클라우드 사업은 그래서 주목받고 있다. 

다만 금융보안원은 이번 사업에 대해 자세히 밝히지는 않고 있다. 금융보안원 관계자는 “앞서 발표된 클라우드 도입 가이드라인을 우리도 그대로 적용, 제안서에 담았다”고 밝혔다. 

금융보안원으로선 금융권의 보안을 담당하는 최전선에 있는 만큼 클라우드 도입에 있어 신중함을 취하고 있다. 하지만 제안서를 통해 클라우드컴퓨팅서비스 관련 주요 계약 조건을 담았는데 이것이 상당히 일목요연하게 정리돼 있다. 

앞서 농협 등이 클라우드 보안을 위한 가이드라인을 자체적으로 만들어 계열사들이 클라우드 도입 시 준용할 수 있도록 하고 있다. 이에 대해 농협 측은 은행이나 계열사가 클라우드를 도입할 때 처음 찾는 곳이 보안부서일 수 있어 클라우드에 대한 가이드라인을 자체 준비한 것이라고 설명한다.

마찬가지로 금융보안원 역시 클라우드 도입에 있어 금융사들이 거쳐가야 하는 곳인 만큼 그들 스스로 구축하는 클라우드 사업 방향은 주목될 수 밖에 없다. 금융보안원의 클라우드 사업 계약 조건을 정리해봤다. 

▲입찰과정에서 진행한 안전성평가 결과는 타 금융회사에 공유될 수 있으며,공유범위 및 방식 등은 평가주체의 동의 및 정하는 바에 따라 상이할 수 있다. 

▲클라우드컴퓨팅서비스가 제공되는 물리적 위치를 도로명 주소를 기반으로 명시할 것(시ㆍ군 단위까지 기재하고, 금융당국 요청 시 세부 위치 별도 제출)

▲클라우드컴퓨팅서비스가 제공되는 물리적 위치는 국내에 설치되어야 함.

▲클라우드컴퓨팅서비스가 제공되는 전산실 내에 무선통신망이 설치되어있지 않음을 증명할 수 있는 서류를 제출해야 함.

▲클라우드컴퓨팅서비스 업무의 재위탁 또는 재위탁 변경에 대해 금보원의 사전 동의를 받을 것.

▲금보원의 감독당국 혹은 금보원의 내외부 감사인에 의한 조사ㆍ접근(현장방문 포함)을 수용할 것.

▲금융당국은 계약업체(클라우드사업자 포함)를 대상으로 감독ㆍ검사를 수행할 수 있다.

▲금융당국 및 금보원이 정한 내ㆍ외부 감사인은 계약업체(클라우드사업자 포함)에게 내부 감사 보고서 제출을 요구할 수 있고, 계약업체(클라우드사업자 포함)는 이에 응해야 함.

▲금융당국 및 금보원이 정한 내ㆍ외부 감사인은 감독ㆍ검사 및 감사 수행 또는 인증ㆍ감사 보고서 검토 결과 지적된 사항에 대해 지체 없이 조치할 것을 요구할 수 있다.

▲계약의 파기 또는 종료, 기타 위탁업무의 원활한 이행이 어려운 경우에 대비해 해당 위탁업무의 이전 및 반환 등에 관한 사항을 명기.

▲위탁 및 위탁업무 관련 준거법을 준수하고 자율규제에 대해 적극 협조할 것.

▲금보원이 수립한 업무 연속성계획 및 안전성 확보 조치 방안의 이행을 위해 적극 협조 및 지원해야 함.

▲금보원의 비상대응훈련(재해복구전환훈련 포함), 취약점 분석ㆍ평가, 침해사고 대응훈련 수행 시, 적극 지원할 것.

▲계약업체(클라우드사업자 포함)는 관리하는 영역(인프라 등)에 대해 매년 제3자로부터 취약점 분석ㆍ평가를 수행하고 조치했음을 금보원에 통지할 것(금융당국 요청 시 세부 수행 결과를 제출)

▲금보원은 보안사고 발생 등 필요 시 계약업체(클라우드사업자 포함)에 추가적인 취약점 점검수행 등을 요구할 수 있다. 

▲제공하는 클라우드컴퓨팅서비스를 모니터링할 수 있도록 지원할 것.

▲클라우드컴퓨팅서비스를 통해 전송되는 정보에 대한 정보보호의 의무는 계약업체에 있으며, 모든 정보 전송 시 암호화 기술을 적용하여야 함. 

▲수사목적, 법적 분쟁 발생 등에 따른 해외 관계당국 또는 해외의 제3자에 대한 정보 제공 관련 법령에 대해서 사전에 파악하여 금융당국 및 금보원에 보고할 것, 또한 해당 법령에 따라 정보제공이 요구되는 경우 실제로 정보를 제공하기 이전에 금융당국 및 금보원에 통지하고, 관계국의 법령, 국가간 상호협정 등에서 정한 적법한 절차에 따라 처리할 것.

▲클라우드컴퓨팅서비스 업무의 재위탁 시 계약업체(클라우드사업자 포함)는 재수탁자에 대한 관리ㆍ감독 의무가 있다.

▲클라우드컴퓨팅서비스 업무의 재위탁 또는 재위탁 변경 시, 보안리스크 증가 등 금보원의 서비스에 악영향을 미칠 수 있는 경우, 금보원은 원위탁자와의 계약을 해지할 수 있다.

▲재위탁 시 발생한 금보원의 손해에 대해서는 계약업체(클라우드 사업자 포함)가 재위탁 받은 업체와 연대배상할 책임이 있음(재위탁 받은 업체의 고의 및 과실은 계약업체(클라우드사업자 포함)의 고의 및 과실로 간주함)

▲금보원의 요청에 따라 계약업체(클라우드사업자 포함)는 정보제공(내부의 영업상 중요정보 포함)의 책임이 있다.

▲금보원은 클라우드컴퓨팅서비스를 통해 발생한 데이터의 소유권 및 지식재산권을 가짐.

▲계약업체(클라우드사업자 포함)는 본 서비스와 관련된 고객정보의 보호 및 비밀유지의 의무가 있다.

▲클라우드컴퓨팅서비스의 업무연속성을 확보하기 위해 백업시스템을 확보하고 비상계획을 수립하여야 함.

▲계약업체(클라우드사업자 포함)는 시스템 업데이트 등 불가피한 사유로 일정기간 동안 서비스를 중지해야 할 경우 사전에 금보원과 협의해야 함.

▲해킹, 천재지변 등 예상하지 못한 사유로 정상적인 서비스제공이 중단되는 경우 지체 없이 금보원에 통지해야 함.

▲해킹, 천재지변 등 예상하지 못한 사유로 장애가 10분 이상 지속된 경우, 진행상황 파악을 위한 연락 담당자를 지정하고 정확한 장애원인 분석 및 재발방지 대책을 마련하여 금보원에 제공하여야 함.

▲계약업체(클라우드사업자 포함)는 장애, 재해, 파업, 테러 등으로 서비스 지연 또는 중단이 발생할 경우 신속하게 복구하고 대응할 수 있는 절차 및 체계를 마련하여 금보원에 통지하고 이를 준수할 것.

▲사고 발생 후, 사고 조사 및 피해 복구에 적극 협조해야 함(사고 원인 분석을 위한 자료 제출, 현장 조사, 인력 지원, 피해 확산 및 재발 방지를 위한 조치 등)

▲분쟁으로 인한 소송이 제기되는 경우 관할 법원은 금보원의 주소지 관할 법원으로 함, 당사자 일방이 외국사업자인 경우에는 대한민국 법원이 국제 재판관할권을 가짐.

▲리스크 관리와 관련해 계약 당사자들 간의 협의로 역할, 책임 범위, 손해배상 및 계약해지 관련 사항을 명시함.

▲금보원의 클라우드서비스 전환 및 종료 관련 절차에 적극협조할 것.

▲계약업체(클라우드 사업자 포함)는 금보원의 클라우드서비스 이전 및 전환, 서비스 종료 시 서비스 중단 없이 정보를 안전하게 금보원에 반환하도록 데이터 이전을 지원할 것.

▲계약업체(클라우드 사업자 포함)는 데이터 이전이 발생할 경우, 충분한 시간을 금보원에 제공하고 데이터 삭제 이전에 금보원의 서면확인을 받아야 함.

▲계약업체(클라우드 사업자 포함)는 데이터 이전이 완료되거나 서비스가 종료될 경우 금보원의 정보를 복구 불가능한 방법으로 완전히 파기하고, 파기 확인서를 제출하여 정보의 파기여부를 확인 받아야 함.

▲계약업체(클라우드 사업자 포함)의 사정에 의해 서비스가 종료되는 경우, 계약업체는 다른 클라우드서비스 제공자로의 이전 등 대안을 마련하여 금보원에 제출해야 함.

▲금보원은 클라우드서비스의 전환 및 종료 절차에 대한 모의훈련을 주기적으로 실시할 것을 요구할 수 있다.

▲계약업체(클라우드 사업자 포함)의 관련 법령, 계약상 의무 위반 등으로 인해 사용자에게 손해가 발생하는 경우, 금보원이 계약업체(클라우드사업자 포함)와 연대하여 배상책임을 부담하며, 계약업체(클라우드사업자 포함)의 귀책사유가 있는 경우에는 금보원이 계약업체(클라우드사업자 포함)에게 구상권을 행사할 수 있다.

▲계약업체(클라우드 사업자 포함)의 관련 법령, 계약상 의무 위반 등의 귀책사유가 있는 경우 금보원은 계약의 해지여부와 관계없이 계약업체(클라우드사업자 포함)에게 손해배상을 청구할 수 있으며 금보원은 위약금 없이 즉시 계약을 해지할 수 있다.

▲본 계약에 포함되지 않은 사항은 금보원에서 2019년 1월 발간한 “금융분야 클라우드컴퓨팅서비스 이용가이드”의 내용을 준용함.