메뉴

문서정보

목차

금융 서비스를 클라우드에 올리기 위해서 필요한 것들에 대해서 살펴봐야 겠다. 내용이 방대하다. 현재 정리 중이다.

클라우드 관련 법률 개정

2019년 1.1일 부터 시행된 개정 전자금융감독규정에 따라서 금융 산업에서의 클라우드 활용 범위를 확대할 수 있게됐다 .

전통적으로 금융산업은 클라우드의 활용에 매우 보수적이었다. 기존에 금융회사와 전자금융업자는 "비중요정보"의 처리에만 클라우드를 활용(비금융분야는 클라우드 이용제한이 없다.) 할 수 있었다. 예를들어 고유식별정보 또는 개인신용정보를 처리하는 시스템은 클라우드로 구축할 수 없었다. 고유식별정보 & 개인신용정보는 개인정보보호법 제 24조 및 시행령 제 19조에 정한 정보로서 주민등록번호, 여권번호, 면허번호, 외국인등록번호등이 해당된다. 개인정보 비식별 조치 가이드라인을 준수하여 비식별화해서 사용 할 수는 있다. 결과적으로 금융 산업에서의 클라우드는 보조적으로 사용 할 수 밖에없었다. 중요정보를 포함하지 않는 대량의 데이터를 처리하기 위한 빅데이터 분석을 위해서 사용하는게 대표적이다.

금융위원회는 2018년 7.13일 제도개선을 위한 금융분야 클라우드 이용 확대방안을 제시했다. 문서의 내용을 요약정리했다.

  1. 클라우드 이용범위의 확대 : 클라우드이용 제한으로 금융회사의 서비스 적용/개발이 제한되며, 핀테크기업등 새로운 산업의 진입장벽으로 작용하고 있다. 금융회사와 핀테크 기업의 비용 절감, 새로운 서비스의 개발 및 혁신을 위해서 클라우드의 이용범위를 확대할 필요가 있다.
  2. 개인정보보호에 대한 유연한 접근 : 개인정보를 외부에 저장해서는 안된다는 보수적인 시각이 있지만, 어차피 클라우드는 IT 자원을 빌려서 사용하며, 저장/활용만 할 뿐이지 제공/유통하지는 않는다. 게다가 개인정보보호 법령은 클라우드 활용을 금지하고 있지 않으며, 다른 분야는 제한없이 클라우드를 활용하고 있다.
  3. 관리.감독 측면 : 금융회사의 내부통제 절차를 강화하여 금융회사가 클라우드의 기술적/관리적 보호조치를 평가하여 안정성이 확보된 클라우드를 이용하도록 한다. 대부분의 퍼블릭 클라우드는 금융시장도 타겟으로 하고 있으며, 금융회사와 정부의 보안요구사항을 충족하기 하기 위한 장치들을 마련하고 있다. 국내외 클라우드 서비스 제공자를 막론하고 정부와 금융회사의 보안요구사항은 만족하고(국내에서 제시하는 보안인증 심사와 같은 절차적인 것들만 남았다고 보면 되겠다.) 있다.
2019.1.1일 부터 시행되는 개정된 전자금융감독 규정은 금융보안원에서 다운로드 할 수 있다.

금융 클라우드의 향후 전망

클라우드의 도입으로 산업 전반의 혁신의 속도가 빨라졌다. 혹자는 클라우드를 "비용"의 관점에서 접근을 하는데, 실제 클라우드의 파워는 유연성과 탄력성에 있다. 클라우드가 도입되면서 기업들은 빅 데이터, AI, 대규모의 자원이 필요한(그리고 위험한) 서비스와 새로운 기술들은 신속하게 탐색 할 수 있게 됐다.

다른 산업의 IT 대응 속도가 빨라지면서 보수적인 금융의 보안규제로는 빨라진 시장변화에 대응 할 수 없는 상황에 직면했다. 인터넷 전문 은행과 핀테크(인터넷 전문은행의 핀테크의 한 분야로 봐야 할 것이다.)의 성장과 정부의 정책적 배려 등도 클라우드 도입의 필요성에 영향을 준 주요한 원인들이다.

2018년을 기점으로 금융권에서의 클라우드를 겨냥한 IT 전략이 본격화되고 있는데, 클라우드 환경전환을 위해서 필수적이라 할 수 있는 Unix To Linux 사업이 늘어나고 있다. 2018년과 2019년 발주된 차세대 시스템 사업에는 U2L 전환이 대거 포함되고 있다. 아직은 대형 금융회사들 보다는 트랜잭션 부담이 상대적으로 적은 중견 금융회사에서 논의가 활발하긴 하지만 x86기반으로 점진적으로 넘어갈 것은 명확해 보인다. 예를들어 2020년부터 차세대시스템 구축에 착수할 예정인 우체국금융은 클라우드 도입을 감안한 x86 기반으로 주전산시스템을 구현하겠다는 방침을 밝혔다.

대략 2020년을 기점으로 금융권은 메인프레임과 유닉스 시대를 거쳐서 x86기반의 클라우드 시대로 넘어가는 변곡점을 맞이하게 될 것으로 보인다. 물론 치명적인 클라우드 보안사고가 발생 할 경우 금융권 클라우드 전환이 예상보다 늦어질 가능성도 있다. 아래 "클라우드에서 발생한 주요 보안 사고 사례와 대응 방안" 문서를 보면 아직까지는 클라우드 자체의 치명적인 보안사고는 없는 것 같다.

전자금융거래법 개정을 통한 금융 클라우드의 변화

출처 : "금융권 클라우드 이용 확대방안"

 금융 클라우드의 변화

확대전 그러니까 2019.1.1일 전에는 중요정보를 클라우드에서 저장/처리 할 수 없었기 때문에 실질적인 서비스 개발이 불가능 했다. 그러나 중요정보를 활용 할 수 있게 되면서 클라우드에서 거의 모든 서비스를 개발 할 수 있게 됐다.

클라우드서비스 관련 보안 위협

아래는 클라우드위에 금융 서비스를 구축할 경우 고려해야 할 위협요소들이다. "금융분야 클라우드 컴퓨팅서비스 이용 가이드"에 있는 내용을 참고 했다.

 클라우드 금융 보안

일반 보안 위험 : 금융회사를 대상으로 발생할 수 있는 일반적인 보안 위협 중 클라우드서비스 이용시 그 영향이 큰 위협이 있을 것이다. 클라우드 컴퓨팅 이용 가이드 문서에는 이렇게 정의하고 있다. 여기에 있는 접근, 취약점 공격 등의 위협이 굳이 클라우드 컴퓨팅을 이용한다고 해서 위협이 증가 한다고 볼 수 있을지에 대한 논의는 필요한 것 같다.

클라우드에서의 기술적 측면의 위험은 아래와 같다. 기술외적 측면의 위협은 아래와 같다. 클라우드 서비스 제공자와 관련 정부 기관들은 클라우드 환경에 맞는 인증 프로그램을 제 3자가 인증하는 방식으로 위의 보안 위협에 대해 충분히 대응하고 있음을 고객이 신뢰할 수 있도록 하고 있다.

클라우드 기반 금융 서비스 보안 제도

ISO 27xxx

K-ISMS

한국 정보보호 관리체계(K-ISMS)는 한국 정부가 도입한 인증제도로 인증제도로 한국인터넷진흥원(KISA)한국 과학기술정보통신부(MSIT)에서 주관한다.

K-ISMS는 2002년 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 47조(ISMS 인증)에 의거하여 한국 내 법적 요건을 충족하고 ICT 환경을 지원하기 위해 도입되었다.

ISO 27001이 국제 표준화 기구인 ISO에서 시행하고 인증하는 국제 표준 인증제도라고 하면, ISMS는 KISA에서 수행하는 국내 인증제도라는 차이가 있다. 2013년에 의무 시행되도록 법이 개정됐다.

MTCS

MTCS(Multi-Tier Cloud Security)는 싱가포르의 현행 보안 관리 표준(SPRING SS 584:2013)으로 ISO 27001/27002 정보 보안 관리 시스템(ISMS) 표준을 기반으로 한다. CSP(Cloud Service Provider)를 위한 클라우드 보안사례와 규제 항목을 제공함으로써 클라우드 컴퓨팅을 위한 강력한 위험 관리 및 보안 사례의 도입을 장려하여 CSP가 클라우드 환경에서 보안 규제 항목을 강화하고 실현 할 수 있도록 한다.

MTCS의 목적은 아래와 같다. MTCS는 3개 Tier를 가지고 있다. 1은 일반적인 지침을 담고 있으며 3은 가장 엄격한 지침을 담고 있다.

CSAP

클라우드 서비스 보안인증(CSAP)는 KISA에서 관리하는 인증서비스다. 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률 제 23조 제 2항에 따라 정보보호 기준의 준수여부 확인을 인증기관이 평가/인증하여 이용자들이 안심하고 클라우드 서비스를 이용할 수 있도록 지원한다.

추진근거는
  1. "클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률" 제 5조에 의한 "제 1차 클라우드 컴퓨팅 기본계획(2015)"의 클라우드 보안인증제 시행
  2. "클라우드 컴퓨팅 서비스 정보보호에 관한 기준 고시" 제 7조에 따른 정보보호 기준의 준수여부 확인(과학기술정보 통신부 고시 제 2017-7호)
이다.

14개 통제분야에 대해서 IaaS 표준 117개, SaaS 표준 78개, SaaS 간편 30개 항목에 대한 평가를 수행한다. 자세한 내용은 KISA 정보보호 및 개인정보보호관리체계 인증 문서를 참고하자.

FedRAMP

FedRAMP는 미 연방 클라우드 서비스 보안인증 프로그램이다. 미국 연방정부 CIO, Vivek Kundra가 기존 IT 환경하에서 발생하는 예산 활용의 비효율성과 자원관리 시스템의 취약성, 조달 프로세스의 복잡성을 개선하고자 2009년 5월 연방 CIO 협의외에서 클라우드 컴퓨팅 추진 전략을 발표하고, 미연방 조달청(General Service Administration: GSA)이 SaaS/IaaS 조달에 관한 RFI를 발표하면서 시작되었다.

RedRAMP는 클라우드 제품 및 서비스를 위한 보안평가, 인증 및 지속적인 모니터링에 대한 표준화된 정부 프로그램이다. 기존에 기관별로 수행하던 보안평가 및 인증을 FedRAMP로 통합함으로써 비용, 시간 및 인력 절감이 가능하고, FedRAMP 보안인증을 받은 클라우드 서비스는 별도의 인증절차 없이 다른 기관에 일괄적으로 도입 할 수 있다.

RedRAMP 관리기관에는 미국 관리 예산처(OMB), 미국 총무처(GSA), 미국 국토안전부(DHS), 미국 국방부(DOD), 미국 국립표준기술연구서(NIST)및 연방 최고 정보 책임자 위원회가 참여한다.

FedRAMP의 통제 항목은 아래와 같다.
영향수준 NIST 기준 통제 항목 FedRAMP 추가 통제 항목 총 통제항목
Low 115 1 116
Moderate 252 45 297
소계 367 46 413

CSA STAR

CSA STAR는 CSA(Cloud Security Alliance)에서 수행하는 Security, Trust and Assurance Registry(STAR) 등록 프로그램이다.

CSA는 클라우드 컴퓨팅내에서 보안을 보장하기 위한 관장사항을 장려하여 다른 모든 형태의 컴포팅을 보호할 수 있도록 클라우드 컴퓨팅 사용에 관한 교육제공을 사명으로 하는 비영리 단체다. CSA의 보안, 신뢰, 보증 등록프로그램인 STAR은
  1. 자체평가
  2. CSA STAR 증명 및 인증(제3자 평가 기반 인증)
  3. 지속적 모니터링
의 3개 레벨로 이루어진다.

(2019년 12월)현재 "지속적 모니터링"에 대한 준수여부를 판단할 수 있는 인증은 없는 상태다. AWS와 GCP는 레벨 2인증을 획득한 상태다.

클라우드에서 발생한 주요 보안 사고 사례와 대응 방안

Capital One 개인정보 유출사고 : 2019년 7월 29일 미국의 대형 은행인 Capital One에서 1억 600만명이 넘는 고객 개인정보가 해킹당한 사실이 언론에 공개됐다. 유출된 고객 개인정보 데이터는 AWS에 저장된 것으로 AWS 보안 취약성에 대한 의문이 제기됐다. 수사결과에 따르면 Capital One의 방화벽 취약점을 악용해서 AWS 고객 데이터에 접근한 것으로 클라우드 보안 문제가 아닌 클라우드를 사용하는 기업이 보안설정을 잘못해서 발생한 것으로 조사됐다.

인도 혼다 자동차 민감 정보 유출사고 : 보안 업체 크롬텍 시큐리티 센터(Kormtech Security Center)가 S3버킷에 접근 고객정보가 저장돼있는 걸 확인했다. 이 S3 버킷은 최소 3개월 이상 노출됐으며, "해커가 S3 버킷을 찾아내기 전에 이 버킷의 권한을 제조정하라"라는 poc.txt 파일까지 발견했다고 한다. 혼다 자동차는 해당 버킷에 poc.txt 파일이 추가된 사실조차 알지 못했다. 이 문제는 권한설정과 감사를 소홀히한 사용자의 문제라고 볼 수 있겠으나 "데이터 공유가 쉬운 퍼블릭 클라우드의 특성"으로 인해 발생한 문제이기도 하다. 클라우드라는 새로운 환경의 도입에 따른 "새로운 관리적/기술적 보안정책과 조치"가 필요함을 알 수 있다.

AWS DNS 서버 설정 오류로 인한 접속 불가: 2018년 11월 22일 AWS 서울 리전에서 발생했던 꽤 핫했던 사건이다. AWS의 DNS 서버설정 오류로 인해 약 84분간 DNS가 기능할 수 없었다. AWS 엔지니어가 DNS 설정을 잘못 변경해서 발생한 문제로 밝혀졌는데, 쿠팡, 배달의민족, 이스타항공, 야놀자, 업비트등에서 2시간 가량 접속오류 현상이 발생했다.

위 사례뿐만 아니라 다양한 보안사고들이 클라우드 환경에서 발생하고 있는데, 가트너는 95% 이상의 클라우드보안사고가 사용자의 관리 책임이 원인이라고 보고하고 있다.

책임공유 모델

클라우드의 사용은 거스를 수 없는 시대의 흐름이다. 해커들은 클라우드 서비스 제공자와 클라우스 서비스 사용자 모두의 보안 홀을 노리고있다. 따라서 클라우드를 도입 할 때는 이 이 두 영역의 보안을 모두 생각해야 한다.

AWS는 보안과 규정준수를 위한 "공동 책임 모델"이라는 것을 내 놓았다. 이 공유 모델은 서비스 제공자(AWS)와 고객이 협력해서 주의를 기울일 것을 제안한다.  AWS 책임공유모델

GCP는 "공유 보안 모델", Azure도 "보안 책임 공유"을 가지고 있다. 서비스 제공자와 사용자가 분리되는 클라우드 서비스의 특성상 보안 책임을 공유하는 이런 모델은 당연한 것으로 보인다.

클라우드서비스 이용 절차

금융보안원의 금융분야 클라우드컴퓨팅서비스 이용 가이드를 요약 정리한다.

 클라우드 서비스 이용 절차

금융서비스를 목적으로 클라우드를 사용하는 사용자는 사전준비, 계약체결, 보고 및 이용, 이용 종료각 단계에서 필요한 보안활동 및 조치를 취해야 한다.

사전준비

  1. 클라우드 서비스 이용 여부 결정 : 정보처리의 규모, 클라우드를 이용해서 얻을 수 있는 비용절감, 업무 효율성 증가등을 종합적으로 검토하여 클라우드를 사용할 건지를 결정한다.
  2. 이용 대상 정보처리 업무 중요도 평가 : 처리하는 정보의 중요도, 클라우드 서비스 이용이 전자금융거래의 안전성 및 신뢰성에 미치는 영향을 기준으로 업무 중요도를 평가한다.
  3. 사용자(금융회사)는 업무연속성 계획 및 안전성 확보조치 방안을 수립해야 한다. : 업무연속성 계획(Business Continuity Planning - BCP)는 재난 발생시 비지니스 연속성을 유지하기 위한 방법론으로 9.11 미국 테러사건 이후 급부상하고 있는 개념이다. 재내,재난을 대비한 데이터백업과 복구 뿐만 아니라 고객 서비스의 지속성 보장, 핵심 업무기능이 지속가능한 환경으로 만들어서 기업 가치를 보호하는 활동이다. 클라우드 사용자의 경우 클라우드 서비스의 이용 중단이나 종료시 데이터의 반환 및 파기절차, 위탁계약의 종료, 중단, 변경시 데이터 반환/파기에 관한 계획도 수립해야 한다.
  4. 계약준비 : 사용자는 계약전에 클라우드서비스 제공자의 건전성 및 안정성을 평가해야 한다.
  5. 정보보호위원회 심의/의결

계약체결

  1. 사용자는 데이터 처리 위치, 훈련(비상대응, 침해사고대응) 및 취약점 분석 평가 등에 대한 협조, 위탁업무의 이전/반환 등에 관한 사항이 누락되지 않도록 하고
  2. 금융당국의 조사와 접근(데이터센터 등 현장방문 포함)에 협조할 의무를 반드시 명시해야 한다.

보고 및 이용

...... 정리 중

이용 종료

...... 정리 중

정리

주요 CSP의 인증현황

2019년 12월 정리한 내용이다.
인증 AWS Azure NCP
ISO 27001,27017,27018 O O O
K-ISMS O O O
MTCS O O X
CSAP X X O
FedRAMP O O X
CSA STAR O O O

금융 서비스를 위해서 어떤 클라우드 서비스를 사용해야 하나 ?

참고

G