느슨해진 금융보안 규제…‘금융권 클라우드 이용 가이드’ 나왔다

클라우드를 이용하려는 금융사들이 참고해야 할 ‘금융권 클라우드 서비스 이용 가이드’가 나왔다.

F_Cloud guide금융보안원(원장 허창언)은 금융회사들이 안전한 클라우드 서비스를 이용할 수 있도록 지원하기 위해 클라우드 서비스 활용 및 관련 보안대책 등을 담은 이 가이드를 금융사들에게 배포한다. 이달 중 관련설명회도 개최한다.

이 가이드는 개인의 고유식별정보·개인신용정보 등 고객정보 처리시스템을 제외한 전산시스템에 대해 금융회사가 자율적으로 클라우드 서비스를 이용할 수 있도록 개정, 지난 5일 시행된 전자금융감독규정에 따라 마련됐다.

가이드에는 ‘클라우드컴퓨팅 서비스 이용시 준수해야 할 사항을 권고함으로써 금융이용자 보호 및 금융시스템 안전성을 유지·강화’하기 위해 발간한다는 목적이 명시돼 있다.

최근 개정, 고시된 전자금융감독규정은 금융사가 자체 수립한 정보자산 중요도 평가기준에 따라 전자금융거래 안전성, 신뢰성에 미치는 영향이 낮은 비중요 정보처리시스템을 자율적으로 지정해 클라우드를 이용할 수 있도록 허용했다.

금융회사는 비중요 정보처리시스템을 지정하려면 내부 ‘정보보호위원회’의 심의·의결을 거쳐야 한다. 또 지정한 날부터 7일 이내에 관련 보고서를 금융감독원에 제출해야 한다. 금융감독원은 보고서에 대한 개선·보완을 요구할 수 있다.

‘금융권 클라우드 서비스 이용 가이드’는 클라우드 서비스 이용이 가능한 시스템(비중요 정보처리시스템)을 지정하기 위한 기준, 보안 고려사항과 절차를 제시하고 있다. 아울러 금융회사가 참고할 수 있는 예시를 수록했다.

가이드에 따르면, 전산실, 외부주문관리, 정보처리시스템 보호대책, 망분리 등의 전자금융감독규정을 모두 준수하는 클라우드를 이용하는 경우엔 비중요 정보처리시스템 지정 절차 없이 클라우드를 이용할 수 있다.

이 가이드에는 클라우드 서비스 도입, 이용, 관리 등 단계별로 금융회사가 준수해야 할 보안대책과 클라우드 서비스 수준 관리, 침해사고대응 등 클라우드 서비스 제공업체가 준수해야 할 사항도 담겨 있다.

특히 클라우드 서비스 이용시 보안위협에 대비하기 위해 금융회사 내부 시스템과 클라우드 시스템 간 연계 시 고려해야 할 보안대책도 포함하고 있어 클라우드 서비스를 이용하고자 하는 금융회사에게 실질적인 활용이 되도록 했다.

전자금융감독규정에 따르면, 클라우드 이용처럼 정보보호시스템의 원격관리가 불가피한 경우 원격관리가 허용된다. 물리적 망분리, 무선통신망 설치 금지 규제도 예외 적용된다. 다만 해킹 등 외부공격을 방지하기 위해 전용회선 또는 동등한 수준의 가상 전용회선(VPN 등)을 사용해야 한다. 접근통제 등 원격 접속 보안 대책도 수립·운영해야 한다.

F Cloud전자금융감독규정 개정으로 인한 규제 완화, 이용 가이드 발간으로 앞으로 금융사들의 클라우드 도입이 확대될 것으로 예상된다.

금융감독원이 지난 6월, 국내 105개 금융사를 대상으로 클라우드 컴퓨팅 서비스 이용 현황을 조사한 결과 조사대상 중 9%, 9개사가 17개 업무에 클라우드를 적용한 것으로 나타났다. 은행은 단 1곳만 이용하고 있었고, 증권사는 3곳, 보험사 2곳, 카드사 3곳이 이용하고 있다. 전체 금융사의 13%인 14개사는 17개 업무에 클라우드를 도입할 예정이다.

금융사들은 현재도 개인식별정보 등 중요정보를 포함하지 않는 단순 업무 처리에만 클라우드 서비스를 이용하고 있다. 후선업무, 전자금융서비스 접속채널 등에 주로 사용됐다.

허창언 금융보안원 원장은“금번 금융권 클라우드 서비스 이용 가이드 발간을 계기로 금융권의 클라우드 서비스 도입이 본격화될 것으로 예상된다. 금융회사가 클라우드 서비스 활용 시 도움이 될 수 있도록 교육 및 기술 지원 등 지속적인 노력을 아끼지 않을 것”이라고 밝혔다.

글. 바이라인네트워크
<이유기 기자>yjlee@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다