2024. 5. 29. 00:30ㆍ정보보호 및 개인정보보호
- 무상으로 제공하더라도 광고를 통해 수익을 올리는 등 상업용으로 제공 중인 클라우드서비스
- 자체적으로 구축하거나 협회, 단체, 계열사 등이 구축한 클라우드시스템이라도 서비스의 전부 또는 일부를 소속 구성원 이외를 대상으로 상용으로 제공하고 있다면 그 범위 내에서 대상에 포함
미적용 대상 클라우드(예시)
- 금융지주, 금융IT 회사, 협회 등이 소속 구성원 전용(구성원 이외 사용자와 물리적으로 분리되어 공유되지 않음)으로 구축한 클라우드서비스(소속 구성원만을 대상으로 서비스 제공하면서 감독규정을 모두 준수하고, 서비스 제공에 따른 최소한의 대가를 받는 경우도 非상용 클라우드로 인정 가능)
※ 단, 금융지주, 금융IT 회사 등에서 감독규정 제11조제11호 및 제12호, 제15조제1항 제5호를 준수하면서 非상용 프라이빗 클라우드서비스 등을 구축・운영하여 금융 계열사 내에서 사용하는 경우에만 해당 - 기업홍보 등의 목적으로 유튜브(Youtube) 및 페이스북(Facebook)과 같은 클라우드 기반의 웹서비스를 단순 이용하는 경우
[ 적용 범위 관련 법령해석 회신문 및 비조치의견서 ]
▶ 법령해석 회신문(190042, ’ 19.3.20.)
: 전자금융업자의 클라우드 서비스 이용 관련 질의
< 질의요지 >
1. 전자금융업자가 국내에 전산센터를 둔 해외 클라우드 사업자의 서비스를 이용하는 것이 가능한지?
2. 전자금융업자가 개인신용정보를 처리하는 경우에도 국내에 전산센터를 둔 해외 클라우드 사업자의 서비스를 이용할 수 있는지?
< 회답 >
□ 전자금융업자가 개인신용정보를 클라우드 서비스를 통해 처리하고자 할 경우 국내에 이미 전산센터를 갖춘 해외 클라우드의 사업자의 서비스를 이용하는 것이 가능합니다.
* 다만, 개인신용정보는 국내(전산센터)에서 처리되어야 함
ㅇ 또한, 고유식별정보, 개인신용정보를 제외한 비중요정보를 클라우드를 통해 처리하는 경우에는 해외 소재 클라우드도 이용할 수 있습니다(질의 1, 2에 대한 답변)
<이유 >
□ 현행 규정은 전자금융업자가 개인신용정보를 클라우드 서비스를 통해 처리하는 경우에는 해당 정보 처리시스템을 국내에 설치토록 하고 있음(전자금융감독규정 제14조의 2 제8항)
ㅇ 동 규정은 개인신용정보 보호, 감독가능성 확보를 위해 정보시스템의 위치를 국내로 제한한 것이므로, 전자금융업자는 국내에 이미 전산센터를 갖춘 해외 클라우드의 사업자의 서비스도 이용할 수 있음
ㅇ 한편, 고유식별정보, 개인신용정보를 포함하지 않은 비중요정보 시스템에 한정된 클라우드 서비스를 이용할 경우에는 해외 소재 클라우드도 이용할 수 있음
|
전자금융감독규정 제14조의2(클라우드컴퓨팅서비스 이용절차 등)
⑧ 제1항의 절차를 거친 클라우드컴퓨팅서비스 제공자의 정보처리시스템이 위치한 전산실에 대해서는 제11조제11호 및 제12호, 제15조제1항제5호를 적용하지 아니한다. 다만, 금융회사 또는 전자금융업자(전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미치지 않는 외국금융회사의 국내지점, 제50조의2에 따른 국외 사이버몰을 위한 전자지급결제대행업자는 제외한다)가 고유식별정보 또는 개인신용정보를 클라우드컴퓨팅서비스를 통하여 처리하는 경우에는 제11조제12호를 적용하고, 해당 정보처리시스템을 국내에 설치하여야 한다. <단서신설 2018. 12. 21., 개정 2022. 11. 23.> |
< 질의요지 >
3. 전자금융업자와 클라우드제공자 간에 VPN을 사용하여 접속하는 것이 가능한지 여부
< 회답 >
□ 전자금융업자가 클라우드 서비스에 연결해야 할 경우 VPN을 이용하는 것이 가능합니다(질의 3에 대한 답변)
<이유 >
□ 전자금융업자의 업무용 단말기, 내부망 정보처리시스템을 클라우드서비스 제공자 구간에 위치한 내부망 정보처리시스템에 연결하거나, 관리용 단말기를 클라우드 서비스에 연결해야 하는 경우 VPN을 이용하는 것이 가능함(전자금융감독규정 제14조의 2 제8항)
|
전자금융감독규정 제14조의2(클라우드컴퓨팅서비스 이용절차 등)
⑧ 제1항의 절차를 거친 클라우드컴퓨팅서비스 제공자의 정보처리시스템이 위치한 전산실에 대해서는 제11조제11호 및 제12호, 제15조제1항제5호를 적용하지 아니한다. 다만, 금융회사 또는 전자금융업자(전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미치지 않는 외국금융회사의 국내지점, 제50조의2에 따른 국외 사이버몰을 위한 전자지급결제대행업자는 제외한다)가 고유식별정보 또는 개인신용정보를 클라우드컴퓨팅서비스를 통하여 처리하는 경우에는 제11조제12호를 적용하고, 해당 정보처리시스템을 국내에 설치하여야 한다. <단서신설 2018. 12. 21., 개정 2022. 11. 23.> |
< 질의요지 >
4. 클라우드서비스제공자 선정 시 정보보호위원회에서 심의해야 하는 평가항목은?
< 회답 >
□ 전자금융업자는 클라우드서비스를 이용할 경우 중요도 평가 결과, 자체 업무 위수탁 운영기준, 클라 우드서비스 제공자 건전성 및 안전성 평가 결과에 대해 정보보호위원회를 개최하여 심의・의결하여야 합니다(질의 4에 대한 답변)
<이유 >
□ 전자금융업자는 중요도 평가 결과, 자체 업무 위수탁 운영기준, 클라우드서비스 제공자 건전성 및 안전성 평가 결과에 대해 정보보호위원회를 개최하여 심의・의결하여야 함(전자금융감독규정 제14 조의 2 제2항)
|
전자금융감독규정 제14조의2(클라우드컴퓨팅서비스 이용절차 등)
② 금융회사 또는 전자금융업자는 제1항 각 호에 따른 평가결과, 업무연속성 계획 및 안전성 확보조치에 대하여 제8조의2에 따른 정보보호위원회의 심의ㆍ의결을 거쳐야 한다. |
< 질의요지 >
5. 전자금융업자의 시스템과 분리된 별도의 망에 구성된 시스템 간에 데이터/보안 암호키를 공유할 수 있는지?
< 회답 >
□ 전자금융업자의 시스템과 타 시스템 간 정보 공유가 필요할 경우 해당 정보와 관련한 암호키를 공유할 수 있으나, 이 경우에도 해당 암호키는 접근통제 정책을 통해 안전하게 관리할 필요가 있습니다 (질의 5에 대한 답변)
<이유 >
□ 현행 규정은 전자금융업자로 하여금 암호 및 인증시스템에 적용되는 키에 대하여 주입・운용・갱신・ 폐기에 대한 절차 및 방법을 마련하여 안전하게 관리토록 하고 있음(전자금융감독규정 제31조)
ㅇ 암호키에 대해 비인가접근을 방지하기 위해 암호키에 대한 접근제어 정책을 수립하여야 함
ㅇ 즉, 암호화 키는 접근이 통제된 보안네트워크에 저장하고, 클라우드서비스 제공자의 직원이나 동일 클라우드서비스를 이용하는 외부 기관이 접근할 수 없도록 조치가 필요
ㅇ 전자금융업자의 시스템과 타 시스템 간 정보 공유가 필요할 경우 해당 정보와 관련한 암호키를 공유할 수 있으나, 이 경우에도 해당 암호키는 접근통제 정책을 통해 안전하게 관리할 필요
|
전자금융감독규정 제31조(암호프로그램 및 키 관리 통제)
① 금융회사 또는 전자금융업자는 암호프로그램에 대하여 담당자 지정, 담당자 이외의 이용 통제 및 원시프로그램(source program) 별도 보관 등을 준수하여 유포 및 부당 이용이 발생하지 않도록 하여야 한다. <개정 2013. 12. 3.> ② 금융회사 또는 전자금융업자는 암호 및 인증시스템에 적용되는 키에 대하여 주입ㆍ운용ㆍ갱신ㆍ폐기에 대한 절차 및 방법을 마련하여 안전하게 관리하여야 한다. <개정 2013. 12. 3.> |
< 질의요지 >
6. 클라우드의 경우 논리적 망분리가 허용되는 것인지?
< 회답 >
□ 전자금융업자가 클라우드컴퓨팅서비스 이용 절차에 따라 클라우드서비스를 이용하는 경우에는 물리적 망분리의 예외가 인정됩니다(전자금융감독규정 제14조의 2 제8항).
<이유 >
□ 전자금융업자가 클라우드컴퓨팅서비스 이용 절차(전자금융감독규정 제14조의 2)에 따라 클라우드서비스를 이용하는 경우에는 물리적 망분리의 예외가 인정됨(전자금융감독규정 제14조의 2 제8항)
* 망분리 예외와 관련한 구체적 사항은 전자금융감독규정 시행세칙상 망분리 대체 정보보호통제 수칙 (전자금융감독규정 시행세칙 제2조의 2), 금융분야 클라우드 이용가이드라인을 참조 9
|
전자금융감독규정 제14조의2(클라우드컴퓨팅서비스 이용절차 등)
① 금융회사 또는 전자금융업자는 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제2조제3호에 따른 클라우드컴퓨팅서비스를 이용하고자 하는 경우 다음 각 호의 절차를 수행하여야 한다. <개정 2018. 12. 21.> 1. 다음 각 목의 기준에 따른 이용업무의 중요도 평가 <개정 2022. 11. 23.> 가. 규모, 복잡성 등 클라우드컴퓨팅서비스를 통해 처리되는 업무의 특성 <신설 2022. 11. 23.> 나. 클라우드컴퓨팅서비스 제공자로부터 제공받는 서비스가 중단될 경우 미치는 영향 <신설 2022. 11. 23.> 다. 전자적 침해행위 발생 시 고객에게 미치는 영향 <신설 2022. 11. 23.> 라. 여러 업무를 같은 클라우드컴퓨팅서비스 제공자에게 위탁하는 경우 해당 클라우드컴퓨팅서비스 제공자에 대한 종속 위험 <신설 2022. 11. 23.> 마. 클라우드컴퓨팅서비스 이용에 대한 금융회사 또는 전자금융업자의 내부통제 및 법규 준수 역량 <신설 2022. 11. 23.> 바. 그 밖에 금융감독원장이 정하여 고시하는 사항 <신설 2022. 11. 23.> 2. 클라우드컴퓨팅서비스 제공자의 건전성 및 안전성 등에 대한 평가(단, 제1호의 평가를 통해 비중요업무로 분류된 업무에 대해서는 <별표 2의2>의 평가항목 중 필수항목만 평가할 수 있다.) <개정 2022. 11. 23.> 3. 클라우드컴퓨팅서비스 이용과 관련한 업무 연속성 계획 및 안전성 확보조치의 수립ㆍ시행(단, 제1호의 평가를 통해 비중요업무로 분류된 업무에 대해서는 <별표 2의3> 및 <별표 2의4>의 필수 사항만 수립ㆍ시행할 수 있다.) <개정 2022. 11. 23.> ⑧ 제1항의 절차를 거친 클라우드컴퓨팅서비스 제공자의 정보처리시스템이 위치한 전산실에 대해서는 제11조제11호 및 제12호, 제15조제1항제5호를 적용하지 아니한다. 다만, 금융회사 또는 전자금융업자(전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미치지 않는 외국금융회사의 국내지점, 제50조의2에 따른 국외 사이버몰을 위한 전자지급결제대행업자는 제외한다)가 고유식별정보 또는 개인신용정보를 클라우드컴퓨팅서비스를 통하여 처리하는 경우에는 제11조제12호를 적용하고, 해당 정보처리시스템을 국내에 설치하여야 한다. <단서신설 2018. 12. 21., 개정 2022. 11. 23.> |
|
전자금융감독규정시행세칙 제2조의2 (망분리 적용 예외)
① 규정 제15조제1항제3호나목에서 금융감독원장의 확인을 받은 경우란 다음 각 호와 같다. <개정 2020. 11. 6., 2022. 12. 29.> 1. 내부 통신망에 연결된 단말기가 업무상 필수적으로 외부기관과 연결해야 하는 경우(다만, 이 경우 필요한 서비스번호(port)에 한하여 특정 외부기관과 연결할 수 있다). 2. 규정 제12조의 보안대책을 적용한 단말기에서 전용회선과 동등한 보안수준을 갖춘 통신망을 이용하여 외부망으로부터 내부 업무용시스템으로 원격접속 하는 경우 ② 규정 제15조제1항제5호나목에서 금융감독원장이 인정하는 경우란 다음 각 호와 같다. <개정 2022. 12. 29.> 1. 「금융회사의 정보처리 업무 위탁에 관한 규정」에 따라 정보처리 업무를 국외 소재 전산센터에 위탁하여 처리하는 경우(다만, 해당 국외 소재 전산센터에 대해서는 물리적 방식 외의 방법으로 망을 분리하여야 하며, 이 경우에도 국내 소재 전산센터 및 정보처리시스템 등은 물리적으로 망을 분리하여야 한다) 2. 업무상 외부통신망과 연결이 불가피한 다음의 정보처리시스템(다만, 필요한 서비스번호(port)에 한하여 연결할 수 있다) 가. 전자금융업무의 처리를 위하여 특정 외부기관과 데이터를 송수신하는 정보처리시스템 나. DMZ구간 내 정보처리시스템과 실시간으로 데이터를 송수신하는 내부통신망의 정보처리시스템 다. 다른 계열사(「금융회사의 정보처리 업무 위탁에 관한 규정」 제2조 제3항의 "계열사"를 말한다)와 공동으로 사용하는 정보처리시스템 3. 규정 제23조의 비상대책에 따라 원격 접속이 필요한 경우 4. 전산실 내에 위치한 정보처리시스템의 운영, 개발, 보안 목적으로 직접 접속하는 단말기와 외부통신망과의 연결 구간, 규정 제15조제1항제3호의 내부 업무용 시스템과의 연결 구간을 각각 차단한 경우 <신설 2016. 5. 12.> ③ 제1항 및 제2항의 규정은 금융회사 또는 전자금융업자가 자체 위험성 평가를 실시한 후 <별표 7>에서 정한 망분리 대체 정보보호통제를 적용하고 정보보호위원회가 승인한 경우에 한하여 적용한다. |
클라우드서비스 이용 절차
|
업무 선정 및 중요도 평가 (제3장)
|
||||||
|
|
이용 대상 정보처리 업무 선정
|
금융회사는 정보처리 업무 중 정보처리의 규모, 클라우드서비스 이용에 따른 비용절감, 업무 효율성 증가 등을 종합적으로 검토하고, 클라우드 서비스 이용 여부를 결정하여야 한다.
- 예시 ) 자체 시스템 구축에 비하여 클라우드서비스 이용이 유리 ① AI, 빅데이터 등 신기술 활용으로 대량의 컴퓨팅 자원이 단기간에 요구되는 경우 ② 신규 또는 파일럿 서비스를 구축하여야 하나, 시스템 사용량 규모에 대한 사전 예측이 어려운 경우 ③ 시스템 사용량의 변동이 매우 큰 서비스인 경우 ④ 짧은 시간 안에 구축이 필요하거나 기술 변화에 대한 민첩한 대응이 요구되는 경우 ⑤ 사전 테스트 등 임시적으로 대용량의 시스템이 필요한 경우 ⑥ 클라우드서비스 도입 또는 전환에 필요한 초기 투자비용보다 클라우드서비스 이용에 따른 운영 비용 절감이 더 크다고 판단되는 경우 ⑦ 자체 시스템을 안전하게 보유・운영할 역량이 부족하나, 내부 운영 인력 등이 클라우드서비스 이용에 필요한 역량을 충분히 갖추고 있는 경우 ⑧ 기타 금융회사의 전략 이행을 위해 필요하다고 판단되는 경우 |
||||
|
|
이용 대상 정보처리 업무 중요도 평가
|
금융회사는 해당 업무가 취급하는 정보의 중요도*, 클라우드서비스 이용이 전자금융거래의 안전성 및 신뢰성에 미치는 영향 등을 바탕으로 중요도 평가를 수행하여야 한다.
- 업무 중요도, 취급 정보의 민감도, 경영전략 등 다양한 요소를 종합적으로 고려 「전자금융감독규정」 제14조의2(클라우드컴퓨팅서비스 이용 절차 등) 제1항제1호 1. 다음 각 목의 기준에 따른 이용업무의 중요도 평가 가. 규모, 복잡성 등 클라우드컴퓨팅서비스를 통해 처리되는 업무의 특성 나. 클라우드컴퓨팅서비스 제공자로부터 제공받는 서비스가 중단될 경우 미치는 영향 다. 전자적 침해 행위 발생시 고객에게 미치는 영향 라. 여러 업무를 같은 클라우드컴퓨팅서비스 제공자에게 위탁하는 경우 해당 클라우드컴퓨팅서비스 제공자에 대한 종속 위험 마. 클라우드컴퓨팅서비스 이용에 대한 금융회사 또는 전자금융업자의 내부통제 및 법규 준수 역량 바. 그 밖에 금융감독원장이 정하여 고시하는 사항 |
||||
|
|
||||||
|
클라우드서비스 제공자 평가 (제4장)
|
||||||
|
|
이용 목적, 업무 중요도, 현재 위수탁 현황 등을 고려하여 업체를 선정
|
|
|
|
||
|
|
클라우드서비스 제공자 건전성* 및 안전성 평가** 수행
|
* 건전성 평가의 경우 금융회사 또는 전자금융업자에서 자체적으로 수행
** 침해사고대응기관의 대표평가 결과를 공유받는 경우 활용 가능 |
* 중요 업무
이용영역에 대해 필수, 대체 항목을 모두 평가해야 하나, 지정된 클라우드 보안인증을 클라우드서비스 제공자가 보유・유지 하는 경우 대체 항목 생략 가능(필수 항목 생략 불가) |
* 비중요 업무
이용 영역에 대해, 필수 항목 평가필요(대체 항목 생략 가능) |
||
|
업무 연속성 계획 및 안전성 확보조치 방안 수립 (제5장)
|
||||||
|
|
업무 연속성 계획(출구전략 포함) 및 안전성 확보조치 방안 수립
|
금융회사는 클라우드서비스 이용에 따른 업무연속성 계획, 안전성 확보조치 방안 등을 수립하여야 한다
|
중요 업무)
감독규정 별표 필수, 추가사항모두 준수 필요 <별표 2의3> https://law.go.kr/LSW//admRulInfoP.do?admRulSeq=2100000216177&chrClsCd=010201#J2500975 클라우드컴퓨팅서비스 이용과 관련한 업무 연속성 계획 <별표 2의4> https://law.go.kr/LSW//admRulInfoP.do?admRulSeq=2100000216177&chrClsCd=010201#J2500977 클라우드컴퓨팅서비스 이용과 관련한 안전성 확보조치 |
비중요 업무)
업무 연속성 계획, 안전성 확보조치에서 필수 사항 준수 필요(추가 사항 생략 가능) |
||
|
정보보호위원회 심의・의결 (제6장)
|
||||||
|
|
정보보호위원회 심의・의결*을 통해 계약 추진 및 클라우드서비스 이용 여부를 최종 결정
|
* 중요도 평가 결과
* 클라우드서비스 제공자 평가 결과 * 업무 연속성 계획 및 안전성 확보조치 방안 |
||||
|
계약 체결 (제7장)
|
||||||
|
|
본 가이드 제7장의 내용을 참고하여 계약 체결
|
|
중요 업무)
감독규정 <별표 2의5> https://law.go.kr/LSW//admRulInfoP.do?admRulSeq=2100000216177&chrClsCd=010201#J2500979 클라우드컴퓨팅서비스 위수탁 계약서 주요 기재사항 에서 기본 포함사항, 추가 포함사항 모두 포함 필요 |
비중요 업무)
기본 포함사항 기재 필요(추가 포함사항 생략 가능) |
||
|
이용 및 보고 (제8장)
|
||||||
|
|
관련 서류 구비, 최신성 유지 및 금융감독원장 요청 시 지체 없이 제공
|
|
||||
|
|
감독규정 제14조2의제4항 각 호의 사유가 발생하는 경우 사유가 발생한 날로 부터 3개월 이내에 보고
|
|
||||
|
|
‘다. 업무 연속성 계획 및 안전성 확보조치 방안 수립’ 단계에서 수립된 업무 연속성 계획 및 안전성 확보조치를 준수하여 클라우드 이용 관련 보안 관리 실시
|
|
||||
|
이용 종료 (제9장)
|
||||||
|
|
클라우드서비스 제공자 파산, 서비스 중단, 서비스 품질 저하, 규제 환경 변화 또는 기타 금융회사의 필요에 따른 클라우드서비스 전환・종료 시 기 수립한 출구 전략에 의거 데이터 이전 및 파기 등 실시
|
|
|
|
||
[부록 1] 업무중요도 평가 방법
금융회사는 클라우드서비스를 이용하고자 하는 경우 감독규정 14조의 2 제1항 중요도 평가 기준에 따라 클라우드 이용업무 중요도 평가를 진행해야 하며, 본 부록은 금융회사의 이해를 돕기 위한 예시로서 의무 준수 대상이 아니며, 관련 중요도 평가 기준, 평가방법 및 배점 등은 세부 내용은 각 금융회사가 내부 업무 사정에 따라 수립하여 적용하여야 함
(1단계 : 처리정보 분류)
처리정보를 고유식별정보, 개인신용정보, 금융정보, 업무정보, 공개정보로 분류
(2단계 : 업무 영향 평가)
평가항목별 평가 결과에 따른 점수 가중치*를 반영한 점수를 합산
* 평가항목 별 결과에 따른 점수 가중
|
평가기준
|
배점
|
|
규모, 복잡성 등 클라우드를 통해 처리되는 업무의 특성
|
20점
|
|
클라우드컴퓨팅서비스 제공자로부터 제공받는 서비스가 중단될 경우 미치는 영향
|
30점
|
|
보안 침해 발생시 고객에게 미치는 영향
|
30점
|
|
여러 업무를 같은 클라우드컴퓨팅 제공자에게 위탁하는 경우 해당 클라우드 컴퓨팅서비스 제공자에 대한 종속 위험
|
10점
|
|
) 클라우드컴퓨팅서비스 이용에 대한 금융회사 및 전자금융업자의 내부통제 및 법규 준수 역량
|
10점
|
(평가기준) 규모, 복잡성 등 클라우드를 통해 처리되는 업무의 특성 (배점 : 20점)
(평가기준) 클라우드컴퓨팅서비스 제공자로부터 제공받는 서비스가 중단될 경우 미치는 영향 (배점 : 30점)
(평가기준) 보안 침해 발생 시 고객에게 미치는 영향 (배점 : 30점)
(평가기준) 여러 업무를 같은 클라우드컴퓨팅 제공자에게 위탁하는 경우 해당 클라우드 컴퓨팅서비스 제공자에 대한 종속 위험 (배점 : 10점)
(평가기준) 클라우드컴퓨팅서비스 이용에 대한 금융회사 및 전자금융업자의 내부통제 및 법규 준수 역량 (배점 : 10점)
(3단계 : 최종 판단)
처리정보 유형에 따른 판단기준에 따라 중요업무 여부를 최종 판단
SaaS 서비스 이용 시 고려사항
금융회사 등에서 SaaS 서비스 이용 시 아래 같은 사항에 대해 검토하는 것을 권고함
|
구분
|
판단 기준 예시(아래 요건을 모두 만족할 경우 감독규정 제14조의2 적용)
|
|
금융회사의 정보처리위탁
|
금융회사가 자신의 정보처리 업무를 제3자로 하여금 계속적으로 처리하는지 여부(정보 처리위탁규정 제2조제6항)
- 금융회사의 업무 관련 정보가 처리되지 않는 것이 분명한 경우는 제외 가능 - 금융회사에서 수행하는 정보처리 업무에 해당되지 않는 경우는 제외 가능 (금융회사의 업무 목적이 아닌 사적 목적의 단순 웹사이트 방문, 검색 등) - 제3자를 통한 계속적 정보처리가 아닌 경우는 제외 가능(일회성 처리 등) |
|
클라우드 서비스
|
이용자 요구 등에 따라 IT자원을 신축적으로 이용(클라우드컴퓨팅법 §2・1)
|
|
가상화 기술, 분산처리 기술 등의 적용(클라우드컴퓨팅법 §2・2)
- 클라우드컴퓨팅기술(멀티테넌시 등)이 적용되지 않는 경우는 미해당 |
|
|
소프트웨어 개발・배포・운영・관리 등을 위한 환경을 상용으로 제공하는 서비스 (클라우드컴퓨팅법 §2・3)
- 불특정 다수가 웹을 통해 무료로 활용 가능하며, 소프트웨어 기반의 서비스가 아닌 일반적인 웹 기능만을 제공하는 웹사이트 등은 예외 |
금융회사의 정보처리업무위탁에 관한 규정 (law.go.kr)
|
정보 처리위탁규정 제2조
⑥ "정보처리의 위탁"이라 함은 금융회사가 자신의 정보처리 업무를 제3자로 하여금 계속적으로 처리하도록 하는 행위를 말한다. |
|
전자금융감독규정 제14조의2(클라우드컴퓨팅서비스 이용절차 등)
① 금융회사 또는 전자금융업자는 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제2조제3호에 따른 클라우드컴퓨팅서비스를 이용하고자 하는 경우 다음 각 호의 절차를 수행하여야 한다. <개정 2018. 12. 21.> 1. 다음 각 목의 기준에 따른 이용업무의 중요도 평가 <개정 2022. 11. 23.> 가. 규모, 복잡성 등 클라우드컴퓨팅서비스를 통해 처리되는 업무의 특성 <신설 2022. 11. 23.> 나. 클라우드컴퓨팅서비스 제공자로부터 제공받는 서비스가 중단될 경우 미치는 영향 <신설 2022. 11. 23.> 다. 전자적 침해행위 발생 시 고객에게 미치는 영향 <신설 2022. 11. 23.> 라. 여러 업무를 같은 클라우드컴퓨팅서비스 제공자에게 위탁하는 경우 해당 클라우드컴퓨팅서비스 제공자에 대한 종속 위험 <신설 2022. 11. 23.> 마. 클라우드컴퓨팅서비스 이용에 대한 금융회사 또는 전자금융업자의 내부통제 및 법규 준수 역량 <신설 2022. 11. 23.> 바. 그 밖에 금융감독원장이 정하여 고시하는 사항 <신설 2022. 11. 23.> 2. 클라우드컴퓨팅서비스 제공자의 건전성 및 안전성 등에 대한 평가(단, 제1호의 평가를 통해 비중요업무로 분류된 업무에 대해서는 <별표 2의2>의 평가항목 중 필수항목만 평가할 수 있다.) <개정 2022. 11. 23.> 3. 클라우드컴퓨팅서비스 이용과 관련한 업무 연속성 계획 및 안전성 확보조치의 수립ㆍ시행(단, 제1호의 평가를 통해 비중요업무로 분류된 업무에 대해서는 <별표 2의3> 및 <별표 2의4>의 필수 사항만 수립ㆍ시행할 수 있다.) <개정 2022. 11. 23.> ② 금융회사 또는 전자금융업자는 제1항 각 호에 따른 평가결과, 업무연속성 계획 및 안전성 확보조치에 대하여 제8조의2에 따른 정보보호위원회의 심의ㆍ의결을 거쳐야 한다. <개정 2018. 12. 21., 2022. 11. 23.> ③ 금융회사 또는 전자금융업자는 제1항제2호의 평가를 직접 수행하거나 제37조의4제1항의 침해사고대응기관이 수행한 평가 결과를 활용할 수 있다. <개정 2018. 12. 21, 2022. 11. 23.> ④ 금융회사 또는 전자금융업자는 다음 각 호의 어느 하나에 해당하는 사유가 발생한 날로부터 3개월 이내에 발생 사유, 관련 자료 및 대응계획을 첨부하여 금융감독원장에게 보고하여야 한다.<신설 2018. 12. 21., 개정 2022. 11. 23.> 1. 클라우드컴퓨팅서비스 이용계약을 신규로 체결하는 경우 <신설 2022. 11. 23.> 2. 클라우드컴퓨팅서비스 제공자의 합병, 분할, 계약상 지위의 양도, 재위탁 등 중대한 변경사항이 발생한 경우 <개정 2022. 11. 23.> 3. 클라우드컴퓨팅서비스 제공자가 서비스품질의 유지, 안전성 확보 등과 관련한 중요 계약사항을 이행하지 아니한 경우 <개정 2022. 11. 23.> 4. 제1항제2호 또는 제3호에 관한 중대한 변경사항이 발생한 경우 <개정 2022. 11. 23.> ⑤ 제4항에 따라 금융감독원장에게 보고할 경우 첨부해야 하는 서류는 다음 각 호와 같다.<신설 2018. 12. 21., 개정 2022. 11. 23.> 1. 「금융회사의 정보처리 업무 위탁에 관한 규정」 제7조제1항 각 호에 관한 서류 2. 제1항제1호에 따른 업무의 중요도 평가 기준 및 결과 <개정 2022. 11. 23.> 3. 제1항제2호에 따른 클라우드컴퓨팅서비스 제공자의 건전성 및 안전성 등에 대한 평가 결과 <신설 2022. 11. 23.> 4. 제1항제3호에 따른 업무 연속성 계획 및 안전성 확보조치에 관한 사항 <개정 2022. 11. 23.> 5. 제2항에 따른 정보보호위원회 심의ㆍ의결 결과 <개정 2022. 11. 23.> 6. <별표 2의5>의 계약서 주요 기재사항을 포함한 클라우드컴퓨팅서비스 이용계약서 <신설 2022. 11. 23.> ⑥ 클라우드컴퓨팅서비스를 이용하는 금융회사 또는 전자금융업자는 제4항에 따른 보고의무와 관계없이 제5항 각호에 따른 서류를 최신상태로 유지하여야 하며, 금융감독원장의 요청이 있을 경우 이를 지체 없이 제공하여야 한다.<신설 2018. 12. 21., 개정 2022. 11. 23.> ⑦ 금융감독원장은 제4항에 따라 제출한 보고 서류가 누락되거나, 중요도 평가 또는 업무연속성계획ㆍ안전성 확보조치 등이 충분하지 않다고 판단하는 경우에는 금융회사 또는 전자금융업자에 대하여 개선ㆍ보완을 요구할 수 있다. <개정 2018. 12. 21., 2022. 11. 23.> ⑧ 제1항의 절차를 거친 클라우드컴퓨팅서비스 제공자의 정보처리시스템이 위치한 전산실에 대해서는 제11조제11호 및 제12호, 제15조제1항제5호를 적용하지 아니한다. 다만, 금융회사 또는 전자금융업자(전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미치지 않는 외국금융회사의 국내지점, 제50조의2에 따른 국외 사이버몰을 위한 전자지급결제대행업자는 제외한다)가 고유식별정보 또는 개인신용정보를 클라우드컴퓨팅서비스를 통하여 처리하는 경우에는 제11조제12호를 적용하고, 해당 정보처리시스템을 국내에 설치하여야 한다. <단서신설 2018. 12. 21., 개정 2022. 11. 23.> ⑨ 그 밖에 금융회사 또는 전자금융업자의 클라우드컴퓨팅서비스 이용에 대해서는 「금융회사의 정보처리 업무 위탁에 관한 규정」에 따른다. <신설 2018. 12. 21.> |
금융분야 망분리 및 클라우드 규제개선 관련 FAQ
2. 금융규제 샌드박스란?
금융규제
은행 등 금융기관의 경제적 활동이나 금융제도 전반에 적용되는 일종의 제약
규제샌드박스(Regulatory Sandbox)
아이들이 한정된 공간에서 자유롭게 모래놀이를 하는 놀이터 모래밭처럼
신기술, 신산업 분야에서 새로운 제품, 서비스가 시작할 때
일정 기간 또는 일정 지역 내에서 규제를 면제해 주는 제도
규제로 인해 신산업 분야의 제품 출시가 어려워지는 일이 없도록 해주는 장치
금융규제샌드박스
혁신적인 신금융서비스에 대해 얼마간 복잡하고 까다로운 규제를 풀어주는 제도
시범사업 등을 통해 그 가능성을 마음껏 펼칠 수 있도록 해 글로벌 경쟁에 선도적으로 나설 수 있게 하는 것
금융혁신지원특별법 (law.go.kr) (약칭 : 금융혁신법)
규제혁신 3종세트 ① 규제 신속확인, ② 임시허가, ③ 실증특례
기존 규제는 메뉴판식 규제특례(201개)를 열거하고 해당 지역이 필요한 규제특례를 자율적으로 선택 확정하여 적용
법령 미비 등 규제 공백 영역의 경우에는 규제샌드박스 적용
① 규제 신속확인
규제적용 여부를 문의 시 30일 이내 신속하게 회신 → 미회신시 규제가 없는 것으로 간주
② 임시허가
허가등의 근거가 되는 법령이 없거나, 법령의 기준 등을 적용하는 것이 맞지 않는 경우에도, 안전성 확보된 경우 임시허가 부여 → 시장출시 가능
※ 유효기간은 2년 + 2년 원칙, 다만 법령정비 완료 시까지 연장
③ 실증특례
허가등의 근거가 되는 법령이 없거나, 법령의 기준 등을 적용하는 것이 맞지 않는 경우 등에 안정성 검증을 위해 새로운 서비스와 제품의 시험 검증(실증)을 허용
※ 2년+(규제자유특구 지정기간 내 1회 연장), 안정성 입증 시 소관 법령정비 등 조치
'정보보호 및 개인정보보호' 카테고리의 다른 글
| 개인정보보호법 신용정보보호법 비교 (용어정의) (0) | 2024.06.21 |
|---|---|
| 다양한 피싱(Phishing) 공격 (스피어피싱, 스미싱, 타이포스쿼팅, 웨일링, 팝업형피싱) (2) | 2024.06.02 |
| KISA ISMS-P 플랫폼 서비스 (ISMS-P, ISMG, CSAP) (0) | 2024.05.27 |
| 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증기준 및 인증제도 (0) | 2024.05.25 |
| 개인정보보호책임자(CPO) 정보보호최고책임자(CISO) (0) | 2024.05.14 |