금융분야 클라우드컴퓨팅서비스 이용 가이드
1. 클라우드컴퓨팅서비스 이용 절차
- 2025년 기준, 금융분야 클라우드 컴퓨팅 서비스 이용에 있어 기존 ‘열거식 규제’는 종료되었으며, ‘목표 기반 자율보안체계’로 전환되었습니다.즉, 금융회사는 클라우드 도입 시 개별 항목 점검이 아닌 ‘목표 달성 및 위험 기반 판단’에 따라 절차 및 보안통제를 구성하고, 그에 대한 책임을 자율적으로 증명해야 합니다.
1. 업무 중요도 평가
- 클라우드 서비스 이용 대상 업무의 중요도를 사전에 평가해야 합니다.
- 고객에게 미치는 영향도, 업무 중단 시 리스크, 데이터 민감도 등을 고려하여 평가하며, 중요 업무로 판단되는 경우에는 강화된 보안 및 심의 절차를 거쳐야 합니다.
- 중요도 평가 결과에 따라 CSP 선정 기준과 보안조치 수준이 달라집니다.
- 중요업무 판단은 자율보안체계 하에서 금융회사가 스스로 정의하며, 변경된 기준에 따라 논리적 망분리도 허용됩니다.
2. 클라우드 서비스 제공자(CSP) 보안 인증 여부 확인
- 중요 업무로 분류된 경우, 클라우드 제공자의 보안 인증 보유 여부를 반드시 확인해야 합니다.
- CSAP, ISO 27001, ISMS 등 공신력 있는 인증을 기준으로 검토하며, 인증 수준과 항목 충족 여부를 평가합니다.
- 일부 항목은 업무 중요도에 따라 생략 가능하나, 필수 항목은 반드시 포함되어야 합니다.
- 2025년부터 금융보안원에서 CSP 대표평가제를 도입하여, 별도 항목 평가 대신 통합 인증자료(대표평가서 54개 항목) 활용이 가능합니다.
- 필수항목(16개): 모든 클라우드 도입 시 반드시 평가해야 하는 핵심 항목입니다. 비중요업무의 경우에는 이 16개 필수항목만 평가해도 됩니다.
- 대체항목(38개): 중요업무 등에서 추가적으로 평가할 수 있는 항목입니다. 업무 중요도와 특성에 따라 필수항목 외에 대체항목 중 일부 또는 전부를 평가할 수 있습니다.
- 필수항목(16개): 모든 클라우드 도입 시 반드시 평가해야 하는 핵심 항목입니다. 비중요업무의 경우에는 이 16개 필수항목만 평가해도 됩니다.
3. 업무 연속성 계획(BCP) 수립 및 안전성 확보 대책 마련
- 장애, 재해, 서비스 중단 상황에 대비한 계획을 수립합니다.
- 백업 정책, 재해복구(RTO/RPO), 클라우드 사업자 장애 시 대응 시나리오 등을 포함합니다.
- CSP 변경, 계약 종료 시에도 업무 연속성을 유지할 수 있도록 출구 전략(Exit Strategy)을 반드시 문서화해야 합니다.
4. 정보보호위원회 사전 심의 및 내부 승인 절차
- 중요 정보처리시스템을 클라우드에 도입하려면 정보보호위원회의 사전 심의 및 의결이 필수입니다.
- 클라우드 도입 배경, CSP 평가 내용, 중요도 평가, 보안조치 계획 등이 포함된 보고서를 위원회에 제출해야 하며, 회의록도 남겨야 합니다.
5. 금융감독원 보고
- 중요 정보 또는 중요 업무를 처리하는 시스템을 클라우드에 도입할 경우, 금융감독원에 사전 보고해야 합니다.
- 보고 시점은 정보보호위원회 심의 후, 클라우드 도입 전입니다.
- 보고 문서에는 시스템 개요, 중요도 평가 결과, 보안조치 이행계획, 위원회 심의 결과가 포함되어야 하며, 양식은 금융감독원 또는 금융보안원 가이드에 따릅니다.
- 중요 업무 도입 시 사후보고가 원칙이며, 3개월 이내 보완보고 제출 의무가 있습니다. ( 클라우드 이용계약을 신규로 체결하거나, 계약 내용에 중대한 변경이 발생한 날을 기준으로 산정 )
- 보고 대상은 중요도 평가 결과와 정보보호위원회 심의 여부를 기준으로 결정됩니다.
2. 보안성 검토 기준표
2.1 법적 조항 기반 정리
2.1.1. 법적 근거 및 일반 원칙
| 항목 | 내용 |
|---|---|
| 관련 규정 | 전자금융감독규정 제13조, 제14조의2, 제28조 |
| 핵심 원칙 | 엄격한 접근통제, 역할 분리, 암호화, 이중승인, MFA 적용을 통한 보안 조치 (필수) |
2.1.2. 업무용 단말기 및 내부망 시스템의 클라우드 연결 조건
제14조의2 제8항
제14조의2 제8항 전문 보기
| 구분 | 요건 |
|---|---|
| 내부망 → 클라우드 연결 | VPN 등 안전한 방식으로만 연결 (필수) |
| 관리용 단말기 → 클라우드 접근 | 지정된 단말기에서 VPN 경로만 허용 (필수) |
2.1.3. 시스템 관리자 통제
제13조 제5항, 제28조 제2항
제13조 및 제28조 전문 보기
| 항목 | 내용 |
|---|---|
| 접근권한 통제 | 역할 기반 최소 권한 설정 및 운영 (필수) |
| 업무 행위 이중 승인 | 중요 작업 시 이중확인 및 로그 기록 유지 (필수) |
2.1.4. 접근 절차 및 단말기 관리
제14조의2 제8항
제14조의2 제8항 전문 보기
| 항목 | 내용 |
|---|---|
| 접근 절차 문서화 | 승인 절차 문서화, 주기적 점검 (필수) |
| 관리 콘솔 전용 단말기 접근 | 전용 단말기에서만 콘솔 접속 허용 |
| 특별 권한 계정 관리 | 전용 단말기·네트워크에서만 접근 허용 |
2.1.5. 단말기 및 계정 관리
제14조의2 제8항
제14조의2 제8항 전문 보기
| 구분 | 내용 |
|---|---|
| 접근 통제 | 사용자/단말기/IP 기반 접근 통제 (필수) |
| 계정 관리 | 개인 계정 금지, MFA 필수 (필수) |
| 암호화 및 채널 보안 | HTTPS, IPsec 등 전 구간 암호화 (필수) |
| 외부망 접근 통제 | 사전 승인된 인원만 외부 연결 가능 (필수) |
2.1.6. 클라우드 보안 통제 및 문서화
제14조의2 제14항, 제79항
제14조의2 전체 보기
| 항목 | 설명 |
|---|---|
| 업무 중요도 평가 | 제1항 – 업무 중요도 평가 수행 및 기록 |
| CSP 안전성 평가 | 제2항 – 기술/물리/관리 보안 평가 및 인증 확인 |
| 보안조치 문서화 | 제3항 – 접근통제, 암호화, 로깅 등 조치 문서화 |
| 업무 연속성 계획(BCP) | 제4항 – 백업·복구 계획 수립 및 훈련 수행 |
| 위수탁 계약 요건 | 제7항 – 책임·권한·금감원 접근권 등 계약서 명시 |
| 고유식별정보 처리 위치 | 제9항 – 국내 전산설비에서만 처리해야 함 |
2.1.7. 정보보호위원회 심의 및 내부 승인
제14조의2 제5항
제14조의2 제5항 전문 보기
| 항목 | 설명 |
|---|---|
| 위원회 심의 요건 | 금융회사 내부 정보보호위원회 사전 심의 및 의결 필수 |
| 심의 항목 | 중요도 평가, 보안조치, 계약 사항 등 종합 보고 |
| 회의록 보관 | 심의 결과 및 의결 사항 문서화 및 보관 (필수) |
| 위원회 구성 | CISO, 감사, 준법감시인 등 관련 부서 구성 포함 권장 |
2.1.8. 금융감독원 보고 및 제출 문서
제14조의2 제6항
제14조의2 제6항 전문 보기
| 항목 | 설명 |
|---|---|
| 보고 대상 | 중요 정보·중요 업무 수행 클라우드 시스템 도입 시 |
| 보고 시점 | 클라우드 도입 전 및 위원회 심의 완료 직후 |
| 보고 내용 | 시스템 개요, 중요도 평가, 보안조치, 심의 결과 등 포함 |
2.1.9. 변경 시 재심의 및 재보고 절차
제14조의2 제10항
제14조의2 제10항 전문 보기
| 항목 | 설명 |
|---|---|
| 재심의 필요 조건 | CSP 변경, 아키텍처 변경, 중요정보 처리범위 변경 등 주요 변경 발생 시 |
| 금감원 재보고 요건 | 중대한 변경 시 금융감독원에 재보고 필요 |
| 문서화 | 변경 사유, 영향도 분석, 재심의 결과 포함한 변경관리 문서 작성 (필수) |
2.1.10. 핵심 요건 요약표
| 영역 | 주요 통제 항목 및 조항 |
|---|---|
| 내부망 연결 | VPN 통한 보안 연결 (제8항) |
| 관리자 통제 | 역할 분리, 이중승인 (제13조, 제28조) |
| 접근 절차/계정 통제 | 단말기·IP·계정 기반 접근 통제 및 MFA (제14조의2 제8항) |
| 중요도 평가 | 업무 중요도 평가 및 대응 조치 (제14조의2 제1항) |
| 위원회 심의 | 사전 심의 및 의결 (제14조의2 제5항) |
| 금감원 보고 | 도입 전 보고 의무 (제14조의2 제6항) |
| 변경 시 재심의 | 중요 변경 발생 시 재심의 및 재보고 (제14조의2 제10항) |
전체 규정 보기:
전자금융감독규정 전체 보기 (금융감독원)
2.2 기준/의무/권고 분리 구조 (실무 체크리스트 중심)
2.2.1. 외부 단말기 보안 관리
| 보안 기준 항목 | 의무사항 | 권고사항 |
|---|---|---|
| 백신 및 보안패치 적용 | 백신 프로그램 설치 및 최신 보안 패치 적용 | 화면 캡처 방지, 워터마크 적용 |
| 로그인 보안 설정 | 비밀번호 설정, 일정 시간 미사용 시 화면 잠금 | 중요 파일 암호화 저장 |
2.2.2. 통신 회선 보안
| 보안 기준 항목 | 의무사항 | 권고사항 |
|---|---|---|
| VPN 및 암호화 통신 적용 | VPN을 통한 안전한 통신 구성 / 외부망과의 직접 연결 차단 | 공용 와이파이 사용 제한 |
| 통신 채널 암호화 | HTTPS, IPsec 등 구간 암호화 적용 | ExpressRoute, 전용선 등 암호화 채널 사용 |
2.2.3. 내부망 접근 통제
| 보안 기준 항목 | 의무사항 | 권고사항 |
|---|---|---|
| 인터넷 차단 및 전용망 구성 | 내부망 접속 단말은 타 인터넷 연결 차단 | 인터넷 연결 우회 방지를 위한 전용망 분리 구성 |
| 포트/IP 접근 제한 설정 | 최소한의 포트/허용 IP만 접근 가능하도록 구성 | 접근 정책 정기 검토 및 통제 강화 |
| 원격 접속 기록 저장 | 최소 1년 이상 접속 기록 보존 | 로그 수집 시스템 통합 및 이상 행위 탐지 연계 |
2.2.4. 인증 및 계정 보안
| 보안 기준 항목 | 의무사항 | 권고사항 |
|---|---|---|
| MFA(다단계 인증) 적용 | 관리자 및 중요 계정은 OTP 등 MFA 필수 적용 | 생체 인증(지문, 안면 등) 적용 |
| 인증 실패 차단 | 일정 횟수 인증 실패 시 계정 잠금 | 지리 기반 접속 차단, 시간대 기반 인증 강화 |
| 개인 계정 사용 제한 | 클라우드 관리 콘솔에 개인 계정 로그인 금지 | 역할 기반 계정 분리 및 책임 추적 로그 설정 |
2.2.5. 데이터 보안 및 암호화
| 보안 기준 항목 | 의무사항 | 권고사항 |
|---|---|---|
| 저장 데이터 암호화 | 저장되는 모든 데이터는 암호화 적용 (AES-256 등) | BYOK, 고객 관리 키 적용 |
| 전송 데이터 암호화 | TLS 1.2 이상 적용, 모든 경로 암호화 | Private Link, 전용선 + 암호화 적용 |
| 암호키 수명 주기 관리 | 키 생성, 회전, 폐기 절차 수립 및 자동화 | 키 접근권한 최소화, HSM 연동 |
2.2.6. 로그 및 모니터링
| 보안 기준 항목 | 의무사항 | 권고사항 |
|---|---|---|
| 통합 로그 수집 및 저장 | 접근기록, 관리이력, 보안이벤트 로그 최소 1년 이상 보존 | 장기보존(5년), S3 Glacier 등 장기저장 활용 |
| 이상행위 탐지 시스템 운영 | 자동 경고 및 탐지 체계 구축 (SIEM, IDS 연계) | AI 기반 위협 탐지, 실시간 대응 자동화 |
2.2.7. 업무 연속성 및 출구 전략
| 보안 기준 항목 | 의무사항 | 권고사항 |
|---|---|---|
| BCP 수립 및 모의훈련 | 장애 시 업무 복구계획 수립 및 연 1회 이상 훈련 | 복수 CSP 확보, DR 시나리오 시뮬레이션 진행 |
| 출구 전략 문서화 | CSP 종료, 재계약 종료 대비한 이전 계획 문서화 | 데이터 이관 자동화 계획 수립, 고객 통지 방안 포함 |
3. 클라우드컴퓨팅서비스 이용 세부 절차 안내
근거 규정: 전자금융감독규정 제14조의2 및 금융보안원 「망분리/클라우드 규제 개선 FAQ」(2023.02.07 개정 포함)
적용 대상: 금융회사 및 전자금융업자
목적: 클라우드 서비스 도입 시 보안성 확보, 업무 연속성 유지 및 감독기관 보고 체계 준수
3.1. 업무 중요도 평가
근거 조항: 전자금융감독규정 제14조의2 제1항
- 클라우드 도입 예정인 업무의 중요도를 사전 평가
- 고객 정보 포함 여부
- 업무 중단 시 금융 서비스 제공에 미치는 영향
- 서비스 복구 가능성 및 대체수단 여부
- 결과는 내부 심의 및 금감원 보고 시 필수 자료로 활용
3.2. 클라우드 제공자(CSP)의 보안성 평가
근거 조항: 제14조의2 제2항, 제7항
- 다음 항목에 대해 객관적인 보안성 평가 실시:
- CSAP, ISO 27001, ISMS-P 등의 인증 보유 여부
- CSP의 사고 대응 체계, 감사 로그 제공 체계
- 고객 정보 물리적 위치 및 운영 주체 검토
- 중요 업무가 포함될 경우, 필수 항목 생략 불가
3.3. 정보보호위원회 사전 심의
근거 조항: 제14조의2 제5항
- 업무 중요도 평가 및 CSP 평가 결과를 정보보호위원회에 사전 보고
- 심의 항목:
- 보안조치 계획, 계약상 책임 분담, 데이터 위치
- 심의 결과는 문서화하여 보관하고 금감원 보고 시 첨부
3.4. 업무 연속성 계획(BCP) 수립
근거 조항: 제14조의2 제4항
- 클라우드 장애, CSP 서비스 중단 등 위기 상황 대비:
- 백업 체계, 재해 복구 방안, 다중화 구성
- 연 1회 이상 BCP 훈련 시행
3.5. 금감원 보고
근거 조항: 제14조의2 제6항
- 다음 조건에 해당할 경우 사전 보고 의무:
- 중요 정보 또는 중요 업무를 클라우드에 처리/저장/운영
- 보고 시기: 내부 정보보호위원회 심의 완료 후 즉시
- 보고 항목:
- 시스템 개요, 중요도 평가 결과, CSP 평가 자료, 보안조치 계획 등
3.6. 변경 시 재심의 및 재보고
근거 조항: 제14조의2 제10항
- 다음 변경 발생 시 재심의 및 필요 시 재보고:
- CSP 변경, 아키텍처 변경, 중요도 변경
- 변경 사유와 보안 영향도 분석 포함한 문서화 필수
3.7. 절차 흐름 요약
| 단계 | 활동 내용 |
|---|---|
| 1단계 | 업무 중요도 평가 |
| 2단계 | CSP 보안성 평가 |
| 3단계 | 정보보호위원회 심의 및 의결 |
| 4단계 | 금감원 보고 (해당 시) |
| 5단계 | 기술 구현 및 보안 통제 적용 |
| 6단계 | 운영 모니터링 및 변경 시 재심의 |
3.8. 참고 자료
금융분야 클라우드컴퓨팅서비스 이용 가이드(2025 개정).pdf
2.00MB
'Cloud' 카테고리의 다른 글
| [보안참고] 2024 클라우드 보안가이드 발간 (AWS, AZURE, GCP) - SK쉴더스 (1) | 2025.06.18 |
|---|---|
| [보안] 금융보안원 - 금융분야 상용 클라우드서비스 보안 관리 참고서 (1) | 2025.06.12 |
| [정리(Network)] DNS Public/Private DNS 구성법 - 기초 (0) | 2025.06.03 |
| Azure, AWS, OCI 가격 할인 정책 비교 (1) | 2025.05.30 |
| WebtoB + JEUS + Windows Server + DB (JDK/JDBC) 호환성 & EOS (1) | 2025.05.29 |
