항목 : 2.10.2 클라우드 보안
■ 인증기준 : 클라우드 서비스 이용 시 서비스 유형(SaaS, PaaS, IaaS 등)에 따른 비인가 접근, 설정 오류 등에 따라 중요정보와 개인정보가 유·노출되지 않도록 관리자 접근 및 보안 설정 등에 대한 보호대책을 수립·이행하여야 한다.
■ 주요 확인사항
- 클라우드 서비스 제공자와 정보보호 및 개인정보보호에 대한 책임과 역할을 명확히 정의하고 이를 계약서(SLA 등)에 반영하고 있는가?
- 클라우드 서비스 이용 시 서비스 유형에 따른 보안위험을 평가하여 비인가 접근, 설정오류 등을 방지할 수 있도록 보안 구성 및 설정 기준, 보안설정 변경 및 승인 절차, 안전한 접속방법, 권한 체계 등 보안 통제 정책을 수립·이행하고 있는가?
- 클라우드 서비스 관리자 권한은 역할에 따라 최소화하여 부여하고 관리자 권한에 대한 비인가 접근, 권한 오·남용 등을 방지할 수 있도록 강화된 인증, 암호화, 접근 통제, 감사기록 등 보호대책을 적용하고 있는가?
- 클라우드 서비스의 보안 설정 변경, 운영 현황 등을 모니터링하고 그 적절성을 정기적으로 검토하고 있는가?
금융분야 추가확인사항
- 클라우드 서비스를 이용하고자 하는 경우 법령에서 정한 절차를 수행하고 있는가?
- 클라우드 서비스를 이용・변경하는 경우 실제 이용하려는 날 또는 변경사항이 발생된 날로부터 7영업일 이내에 금융감독원에 보고하고 있는가?
- 클라우드 서비스 제공자는 클라우드 서비스 제공을 위해 법령에서 정한 사항을 준수하고 있는가?
금융분야 추가확인사항
■ 관련 법규
- 전자금융감독규정 제14조의2(클라우드컴퓨팅서비스 이용절차 등) 제1항, 제2항
- 전자금융감독규정 [별표 2의2] 금융분야 클라우드컴퓨팅서비스 제공기준, [별표 2의3] 업무위탁 운영기준 보완사항
- 전자금융감독규정 제14조의2(클라우드컴퓨팅서비스 이용절차 등) 제3항, 제4항, 제5항, 제6항
- 금융회사의 정보처리업무 위탁에 관한 규정 제7조(보고) 제1항
- 전자금융감독규정 제14조의2(클라우드컴퓨팅서비스 이용절차 등)
■ 세부 설명
금융분야 추가확인사항
① 금융회사 또는 전자금융업자가 「클라우드컴퓨팅법」에 의거 클라우드 서비스를 이용하고자 하는 경우 다음 절차를 수행하여야 한다.
- 자체적으로 수립한 기준에 따른 이용대상 정보시스템의 중요도 평가
- 금융분야 클라우드컴퓨팅서비스 제공기준을 포함한 클라우드 서비스 제공자의 건전성 및 안전성 등 평가(※전자금융감독규정 별표2의2 참조)
- 업무위탁 운영기준 보완사항을 반영한 자체 업무 위수탁 운영기준의 마련 및 준수
(※전자금융감독규정 별표2의3 참조)
- 평가결과 및 자체 업무 위수탁 운영기준에 대해 정보보호위원회의 심의・의결 수행
② 클라우드 서비스 제공자와 정보보호 및 개인정보보호에 대한 책임과 역할을 명확히 정의하고, 이를 계약서(SLA 등)에 반영하여야 한다.
- 클라우드 서비스 유형에 따른 역할 및 책임(예시)
③ 클라우드 서비스 이용 시 서비스 유형에 따른 보안위험을 평가하여 비인가 접근, 설정오류 등을 방지할 수 있도록 보안 구성 및 설정 기준, 보안설정 변경 및 승인 절차, 안전한 접속방법, 권한 체계 등 보안 통제 정책을 수립·이행하여야 한다.
- 외부 클라우드 서비스 이용에 따른 위험 평가 : 서비스 품질 및 연속성, 법적 준거성, 보안성 측면 등 고려
- 클라우드 서비스에 대한 위험평가 결과를 반영한 보안통제 정책 수립·이행
④ 클라우드 서비스 관리자 권한은 역할에 따라 최소화하여 부여하고, 관리자 권한에 대한 비인가 접근, 권한 오·남용 등을 방지할 수 있도록 강화된 인증, 암호화, 접근통제, 감사기록 등 보호대책을 적용하여야 한다.
- 클라우드 서비스 관리자 권한 세분화 : 최고관리자, 네트워크 관리자, 보안관리자 등
- 업무 및 역할에 따라 관리자 권한 최소화 부여
- 클라우드 관리자 권한 접속에 대한 강화된 인증 적용 : OTP, 보안키 등
- 원격 접속 구간에 대한 통신 암호화 또는 VPN 적용
- 클라우드 관리자 접속, 권한 설정에 대한 상세 로그 기록 및 모니터링 등
⑤ 클라우드 서비스 보안 설정 변경, 운영 현황 등을 모니터링하고, 그 적절성을 정기적으로 검토하여야 한다.
- 클라우드 서비스에 대한 승인받지 않은 환경설정 및 보안설정 변경을 적발할 수 있도록 알람 설정 및 모니터링
- 클라우드 서비스 보안설정의 적정성 여부를 정기적으로 검토 및 조치
금융분야 추가확인사항
⑥ 금융회사 및 전자금융업자가 클라우드 서비스 이용 또는 변경사항이 발생한 경우 실제 이용하려는 날과 변경사항이 발생된 날로부터 7영업일 이내 금융감독원에게 보고하여야 한다.
- 자체적으로 수립한 기준에 따른 이용대상 정보시스템의 중요도 평가 시
- 다음과 같은 변경사항이 발생한 경우 발생 사유, 관련 자료 및 대응계획 첨부
- 클라우드 서비스 제공자의 합병・분할, 계약상 지위의 양도, 재위탁 등의 사유로 클라우드 서비스 이용계약에 중대한 변경사항이 발생된 경우
- 클라우드 서비스 제공자가 서비스품질의 유지, 안전성 확보 등과 관련한 중요 계약사항을 이행하지 아니한 경우
- 자체 중요도 평가 기준 및 결과, 업무 연속성 계획 및 안전성 확보조치에 관한 사항에 중대한 변경사항이 발생한 경우
⑦ 클라우드 서비스 제공자는 클라우드 서비스를 제공을 하는 경우 「전자금융거래법」 등 관련 법령을 준수하여야 한다.(※금융권 클라우드 이용 확대 관련 Q&A(2018.12. 금융위) 참조)
- 클라우드 이용 관련 소비자 피해 발생 시 금융회사와 클라우드 제공자가 연대하는 손해배상책임에 관한 책임과 절차 마련
- 손해배상, 계약해지, 재판관할 사항 등을 명시하여 법적 책임관계 명확화
- 현장방문을 포함한 클라우드 서비스 제공자의 감독・검사 의무를 계약서에 명시
- 정보기술부문의 정보보호와 관련된 업무를 위탁받은 경우 제3자에게 재위탁 금지
- 금융회사가 수립한 비상대책에 따른 비상대응훈련 및 재해복구전환 훈련 실시에 대한 협조 및 지원 체계 마련 금융사고 발생 예방 등과 관련된 정책 및 체계 마련
- 관리시스템을 포함하여 개인신용정보를 처리하는 경우 모든 시스템을 국내 설치
- 정보시스템이 위치한 전산실의 경우 무선통신망 미설치
■ 증적예시
- 클라우드 서비스 관련 계약서 및 SLA
- 클라우드 서비스 위험분석 결과
- 클라우드 서비스 보안통제 정책
- 클라우드 서비스 관리자 권한 부여 현황
- 클라우드 서비스 구성도
- 클라우드 서비스 보안설정 현황
- 클라우드 서비스 보안설정 적정성 검토 이력
■ 결함사례
- 클라우드 서비스 계약서 내에 보안에 대한 책임 및 역할 등에 대한 사항이 포함되어 있지 않은 경우
- 클라우드 서비스의 보안설정을 변경할 수 있는 권한이 업무상 반드시 필요하지 않은 직원들에게 과도하게 부여되어 있는 경우
- 내부 지침에는 클라우드 내 사설 네트워크의 접근통제 룰(Rule) 변경 시 보안책임자 승인을 받도록 하고 있으나, 승인절차를 거치지 않고 등록·변경된 접근제어 룰이 다수 발견된 경우
- 클라우드 서비스의 보안설정 오류로 내부 로그 파일이 인터넷을 통하여 공개되어 있는 경우
출처 : ISMS-P 인증기준 안내서 (2022.04)
금융권에 적합한 ISMS-P 인증 점검항목(2022.09)
_그사람