Your browser does not support JavaScript!

금융 클라우드 보안의 핵심 기준 설명

일반 리포트 2024년 12월 01일
goover

목차

  1. 요약
  2. 금융 클라우드 보안 관리 설명회 개요
  3. 금융분야 상용 클라우드컴퓨팅서비스 보안 관리 참고서
  4. 보안 관리 기준의 세부 사항
  5. 클라우드 보안 관리의 중요성
  6. 결론

1. 요약

  • 이 리포트는 금융보안원이 주최한 '금융 클라우드 보안 관리 설명회'에 대한 내용을 상세히 다룹니다. 설명회에서는 클라우드 서비스 이용이 증가하는 금융권에서의 보안 관리 필요성이 강조되었으며, 이를 위한 '금융분야 상용 클라우드컴퓨팅서비스 보안 관리 참고서'가 소개되었습니다. 이 참고서는 5개 분야의 32개 보안 관리 기준을 제공하며, 특히 가상자원 관리, 네트워크 관리, 계정 및 권한 관리 등 세부적인 측면에서 금융회사가 즉시 활용할 수 있는 구체적인 보안 관리 방법을 제시합니다. AWS, 마이크로소프트, 구글 클라우드 등 다양한 클라우드 서비스 제공자들이 참여하여 각사의 협조 방안과 보안 준수 방안을 설명했습니다.

2. 금융 클라우드 보안 관리 설명회 개요

  • 2-1. 설명회 개최 일시 및 장소

  • 금융보안원은 10월 29일 오후 1시 30분에 여의도 금융투자협회 불스홀(3F)에서 금융 클라우드 보안 관리 설명회를 개최하였습니다.

  • 2-2. 설명회 목적 및 배경

  • 이번 설명회는 금융당국의 금융권 망분리 개선 로드맵에 따라 클라우드 서비스의 보안 관리를 지원하기 위해 마련되었습니다. 최근 금융 서비스 산업에서 클라우드 서비스의 이용이 대폭 증가할 것으로 예상되며, 이에 따른 보안 관리의 필요성이 강조되고 있습니다.

  • 2-3. 참여 클라우드 서비스 제공자(CSP)

  • 이번 설명회에는 AWS, 마이크로소프트, 구글 클라우드, 오라클, 네이버 클라우드, KT 클라우드, 삼성SDS, NHN 클라우드, 카카오엔터프라이즈 등 총 9종의 클라우드 서비스 제공자가 참여하였습니다. 각 CSP는 자사의 서비스와 관련한 참고서 활용 방안 및 보안 준수를 위한 협조·지원 방안을 설명하였습니다.

3. 금융분야 상용 클라우드컴퓨팅서비스 보안 관리 참고서

  • 3-1. 참고서의 주요 내용

  • 금융보안원이 발간한 ‘금융분야 상용 클라우드컴퓨팅서비스 보안 관리 참고서’는 금융당국의 망분리 개선 로드맵에 따라 클라우드 서비스의 보안 관리를 지원하기 위해 마련되었습니다. 이 참고서는 총 5개 분야, 32개 보안 관리 기준으로 구성되어 있으며, 각 분야별로 세부적인 보안 설정 방법과 사례가 포함되어 있어 금융회사들이 클라우드 보안 관리 기능을 쉽게 이해하고 즉시 활용할 수 있도록 돕고 있습니다.

  • 3-2. 보안 관리 기준의 구성

  • 참고서는 다음의 5개 분야로 구성되어 있습니다: 1. 가상자원 관리: 가상자원(시스템) 계정 및 권한 관리에 관한 사항 2. 네트워크 관리: 네트워크 구성 및 보안 통제에 관한 사항 3. 계정 및 권한 관리: 클라우드 관리자 및 계정 관리에 관한 사항 4. 암호키 관리: 암호화 및 암호키 관리에 관한 사항 5. 로깅 및 모니터링 관리: 행위추적성 확보 및 모니터링에 관한 사항 이와 같은 형식으로 각 보안 관리 기준은 구체적인 내용을 포함하고 있습니다.

  • 3-3. 각 CSP에 대한 지원 방안

  • 설명회에서는 국내외 주요 클라우드 서비스 제공자(CSP)와 협력하여 특화된 참고서를 배포하고, 각 CSP는 자사 서비스와 관련해 참고서 활용 방안 및 보안 준수를 위한 지원 방안을 설명하였습니다. 발표된 CSP 목록에는 AWS, 마이크로소프트, 구글 클라우드, 오라클, 네이버 클라우드, KT 클라우드, 삼성SDS, NHN 클라우드, 카카오엔터프라이즈가 포함되어 있습니다. 이를 통해 금융회사들이 클라우드 보안 관리 기준을 효과적으로 운영할 수 있도록 지원하고자 하였습니다.

4. 보안 관리 기준의 세부 사항

  • 4-1. 가상자원 관리

  • 가상자원 관리는 가상자원(시스템) 계정 및 권한 관리에 관한 사항을 포함하며, 금융권의 클라우드 서비스 이용에 따른 기본적인 보안 관리 절차를 구축하는 데 필수적입니다.

  • 4-2. 네트워크 관리

  • 네트워크 관리에서는 네트워크 구성 및 보안 통제에 관한 사항이 다루어지며, 클라우드 서비스 환경 내에서 안전한 데이터 전송과 연결을 유지하기 위한 정책과 절차를 설정합니다.

  • 4-3. 계정 및 권한 관리

  • 계정 및 권한 관리는 클라우드 관리자 및 계정 관리에 관한 사항을 포함하여, 각 계정의 접근 권한을 통제하고 관리하는 방법에 대해 다루고 있습니다.

  • 4-4. 암호키 관리

  • 암호키 관리는 암호화 및 암호키 관리에 관한 사항을 포함하여, 데이터 보호를 위한 안전한 암호키의 생성, 저장 및 관리 방법에 대해 논의합니다.

  • 4-5. 로깅 및 모니터링 관리

  • 로깅 및 모니터링 관리에서는 행위추적성 확보 및 모니터링에 관한 사항을 다루며, 클라우드 환경에서 발생하는 모든 중요한 활동을 기록하고 분석하는 절차를 설정합니다.

5. 클라우드 보안 관리의 중요성

  • 5-1. 망분리 규제 개선의 필요성

  • 금융당국이 금융회사의 글로벌 경쟁력 강화를 위해 망분리 규제를 개선하고 있습니다. 이로 인해 금융권에서 클라우드 서비스의 이용이 대폭 증가할 것으로 예상되고 있으며, 클라우드 보안 관리를 위한 기준과 체계가 필요합니다. 금융보안원은 이러한 필요성을 인지하고, 2024년 10월 29일 금융투자협회에서 ‘금융 클라우드 보안 관리 설명회’를 개최하였습니다. 설명회에서는 ‘금융분야 상용 클라우드컴퓨팅서비스 보안 관리 참고서’의 주요 내용을 발표했습니다.

  • 5-2. 제3자 리스크 관리의 중요성

  • 금융 산업 내 제3자 리스크 관리 필요성이 대두되고 있습니다. 클라우드 서비스를 제공하는 제3자와의 협업에서 정보 보안과 관련된 위험이 증가하며, 이에 대한 관리와 대책 마련이 중요해지고 있습니다. 금융보안원 김철웅 원장은 제3자 리스크 관리 측면에서 클라우드 보안 관리의 중요성이 증대되고 있다고 밝히며, 안전한 클라우드 활용을 위한 가이드라인을 제공하고 있습니다. 참고서는 클라우드 서비스 제공자(CSP)별로 특화된 5개 분야와 32개 보안 관리 기준으로 구성되어 있어, 금융회사들이 이러한 기준을 바탕으로 클라우드 보안을 효과적으로 관리할 수 있도록 도움을 주고 있습니다.

결론

  • 이번 설명회는 금융 클라우드 서비스의 보안 강화 필요성을 인식시키며, 주요 클라우드 서비스 제공자들과의 협력으로 구체화된 보안 관리 참고서를 통해 금융회사의 안전한 클라우드 사용을 도모하고 있습니다. 금융보안원에서 발간한 참고서는 5개 분야, 32개 보안 기준을 통해 클라우드 보안 관리의 기초를 제공하며, 이는 특히 가상자원, 네트워크, 계정 관리 등에서 실질적으로 적용 가능한 지침을 제공합니다. 이러한 자료는 망분리 규제 개선과 제3자 리스크 관리의 중요성이 부각되는 현재 금융권에 필수적입니다. 다만, 이러한 기준이 실제 적용에서 발생할 수 있는 한계점에 대한 지속적인 검토와 보완이 필요합니다. 향후 금융 클라우드 보안은 제도 개선과 기술 발전에 따라 더욱 발전된 형태로 나아갈 것이며, 금융회사는 이를 기반으로 경쟁력을 강화할 수 있을 것입니다.

용어집

  • 금융보안원 [기관]: 금융보안원은 금융권의 사이버 보안 및 클라우드 보안 관리 강화를 위해 다양한 정책과 가이드를 제공하는 기관으로, 이번 설명회를 주최하여 클라우드 보안 관리의 중요성을 알리고 있습니다.
  • AWS, 마이크로소프트, 구글 클라우드 등 [클라우드 서비스 제공자(CSP)]: 주요 클라우드 서비스 제공자들은 금융 클라우드 보안 관리의 기준을 준수하며 금융권의 안전한 클라우드 활용을 지원하기 위해 협력하고 있습니다.

출처 문서