금융 회사를 위한 클라우드 이용 가이드

금융 회사를 위한 클라우드 이용 가이드 정리 사항

 

참고 URL
http://play.vidyard.com/fVtdXynNR41yBqgaY8geWt.html?

이 내용은 2020년 11월 12일 AWS CLOUD WEEK 에서 진행된 금융 및 핀테크 분야의 금융 회사를 위한 클라우드 이용 가이드 영상을 보고 두서 없이 정리한 내용이므로 반드시 참고 용으로 봐주시고 자세한 내용은 위에 링크된 동영상을 확인 부탁 드립니다.

 

클라우드 이용에 있어서 적용되는 관련 규제의 종류 및 구조

  • 상위규제(법적의무 유) : 전자금융거래법, 전자금융거래법 시행령, 전자금융감독규정(해설서 존재), 전자금융감독규정 시행 세칙
  • 하위규제(법적의무 무) : 금융분야 클라우드컴퓨팅 서비스 이용 가이드, 금융분야 클라우드컴퓨팅 서비스 제공자(CSP) 안전성 평가 안내서
  • 새 개정안 발표 예정 되있음
  • 전자금융감독규정 14조의2 (2항, 3항, 8항 중요)
  • 7영업일 이전에 금융감독원에 클라우드 이용보고

 

CSP 안전성 평가

  • 취지 : 금융회사 및 전자금융업자가 클라우드서비스 제공자(CSP)가 제공하는 서비스에 관한 보안 수준의 적정성 여부를 점검하고 확인하기 위함
  • 평가 주체 : CSP 평가는 기본적으로 금융회사가 수행 주체이며, 금융회사 요청 시 침해대응기관(금융보안원)이 평가를 지원
  • 평가 대상 : 상용 클라우드컴퓨팅 서비스 (비 상용 CSP 는 평가 대상에서 제외)
    • 상용 : 서비스 모델(Public, Private, Hybrid 등) 및 구축 모형(? 모델?)(Iaas, Paas, Saas) 에 관계없이 모두 평가 (fsdc.co.kr 같은 FSDC 이용한 Private 클라우드 구축도 해당하는건가? 아는 분 댓글 좀..)
    • 비 상용 : 금융회사가 자체 기술로 클라우드컴퓨팅서비스를 구축한 경우, 금융회사가 비 상용 클라우드컴퓨팅서비스를 이용하는 경우 등 (오픈스택이나 k8s 등을 말하는건가? 아는 분 댓글 좀..)
  • 평가 항목 :
    109개 기본 보호조치 + 32개 금융 부문 추가 보호조치 (총 141개 항목)
    기본 보호조치의 경우 CSP 가 획득한 국내/외 보안 인증 여부에 따라 생략 가능
    AWS 의 경우 서울 리전에 대해 MTCS 인증을 획득했으므로 기본 보호조치 평가 면제 가능
  • 평가 결과 공유 :
    [현행] CSP 평가를 마친 금융사가 타 금융사에 해당 CSP 평가결과를 공유 가능
      • 금융회사 요청 시 금융보안원이 평가를 지원해 준다고 되어 있지만 해당참가기관 즉, 회원사를 우선으로 지원해줌으로 중소기업이나 스타트업 핀테크 업체에서는 CSP 평가에 대한 어려움이 있음
      • AWS 경우 금융보안원을 통한 CSP 평가가 완료되었고 AWS 에서 평가 결과를 공유 해줌
    [추후] 금융보안원이 CSP에 대한 대표평가 시행하여 금융보안원이 평가 결과 공유 예정

 

금융감독원 클라우드 이용보고 (중요 업무/비 중요 업무의 금감원 보고 의무)

중요 정보

  • 개인신용정보 및 고유식별 정보(주민번호, 여권번호, 개인의 신용도 등)
  • 전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미치는 경우
  • 전자금융감독규정 제14조의2에 따라 금융사는 실제 클라우드를 이용하려는 날의 7영업일 이전에 금융감독원 디지털금융감독국에 [클라우드 이용보고] 를 해야 함

비중요 정보

  • 개인신용정보 및 고유식별 정보가 아닌 정보(금융사 직원들의 HR 정보 등)
  • 정보처리위탁규정 제7조에 따라 금감원 각 금융기관 담당부서에 [정보처리 위수탁 보고] 를 해야함
  • 금융거래의 내용이 누구의 것 인지를 알 수 없는 금융거래정보를 포함한 경우, 실제 클라우드 이용 10 영업일 이내 금융감독원 보고(제3항)
  • 금융거래정보를 포함하지 않은 경우, 반기별로 보고(제4항) (다만, 전자금융업자가 위탁하는 경우는 제외)

 

아래는 금융회사에서 보다 안전한 AWS 클라우드를 구성하기 위해 확인해야 할 사항들에 대해 간략히 정리한 내용입니다. 동영상에 있는 내용을 직접 확인 하는 것이 이미지도 있고 훨씬 보기도 좋고 이해하기도 좋습니다.

사실 금융회사 뿐 아니라 모든 회사에서 쓰일 수 있는 웰 아키텍쳐라고 보시면 됩니다.

  • 강력한 계정 관리 체계 수립
    AWS Organizations, IAM, AWS SingleSign-On, MFA, AWS Secrets Manager

    1. Root 계정의 사용제한
    2. 용도별 계정 생성
    3. 최소 권한 부여 원칙
    4. 임시 보안 자격증명의 사용
    5. VPC Endpoint 정책
    6. 기존 계정 시스템과의 연동
  • 책임 추적성 확보
    위협 탐지 및 규정 준수 – CloudTrail, AWS Config, CloudWatch
    1. CloudTrail의 활성화
    2. 관리/데이터 이벤트 수집
    3. 로그 무결성 확보
    4. 로그 수집 통합
    5. 시스템 로그 수집
    6. 자동화된 분석
  • 각 계층별로 보안을 구성
    Route53, CloudFront, WAF, Shield
    1. Security Group
    2. NACL
    3. AWS WAF
    4. 서브넷 및 라우팅 정책
    5. VPC Endpoint
    6. DDoS 방어 아키텍쳐
  • 모범 사례를 자동화하여 구현
    시스템 및 서비스 관리 – CloudFormation, Event
    EC2 취약점 검사 – Inspector
    1. AWS WAF Automation
    2. Service Catalog
    3. Step Function
    4. IAM 정책 설정 위임
    5. Security Group 감사
    6. AWS Config
  • 전송 중/저장 시 데이터 보호
    인프라 및 데이터 보호 – ACM, KMS
    1. TLS/SSH 암호화
    2. AWS Encryption SDK
    3. 봉투 암호화 적용
    4. EBS 암호화
    5. 버킷 암호화
    6. Client Side 암호화
  • 사용자의 개입을 최소화
    시스템 및 서비스 관리 – AWS Systems Manager, AWS Code Services
    1. System Manager Automation
    2. 보안 위협 탐지 자동화
    3. 침해 사고 대응 자동화
    4. DevSecOps
    5. Golden Image 관리
    6. CI/CD
  • 보안 사고에 대한 대응 체계 수립
    인프라 및 데이터보호 – AWS Security Hub, Amazon Macie
    위협 탐지 및 규정 주수 – Amazon GuardDuty
    사고 대응 – IR Playbooks, IR Tools, 접근 제어
    1. 침해 사고 대응 훈련
    2. 주요 보안 위협에 대한 플레이북
    3. 클라우드 위협 탐지 서비스
    4. 저장 데이터에 대한 분류
    5. 보안 위협 정보 통합
    6. 자동화된 대응 체계

 

잘못 이해하고 있거나 추가해야 할 사항 등이 있으면 댓글 부탁 드립니다.

You may also like...

Subscribe
Notify of
guest

이 사이트는 스팸을 줄이는 아키스밋을 사용합니다. 댓글이 어떻게 처리되는지 알아보십시오.

0 Comments
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x