22.10.25_금융 클라우드 이용보고(CSP) 한방에 뽀개기!

금융 클라우드 이용보고(CSP) 한방에 뽀개기!

 

-------------------------------------------------------------------------------------------

오늘의 주제

🤔 (Q1) 클라우드 이용 보고(CSP)란? 얼마나 준비해야 하는지?

🤔 (Q2) 클라우드 이용 보고(CSP)는 무엇을 준비하면 되는지? 실제 CSP 보고를 위해 뽑아내야 할 Output은?

📘 <클라우드 이용 보고 관련 제출 서류 체크리스트>

🤔 (Q3) Q2의 클라우드 이용 보고서(CSP)를 다 작성했는데, 이제 어떻게 보고하면 되는지?

👨‍💻 글을 마치며...

------------------------------------------------------------------------------------------

 

🤔 (Q1) 클라우드 이용 보고(CSP)란? 얼마나 준비해야 하는지?

✅ 클라우드 이용 보고란?

• 금감원/금융위로부터 인가받은 금융업, 전자금융업을 IDC와 같은 전통적인 인프라망이 아닌, AWS, Azure와 같은 클라우드로 금융 서비스를 신규 구축 또는 이관할 때 금융 감독기관에 보고하는 행위로, 해당 금융 서비스를 안전하게 구축 or 이관했다.라는 것을 보고하는 것을 말한다.
• 여기서 금융 감독기관에서 보고/평가하고자 하는, 금융 서비스의 안전성은 크게 2가지로,

1. 클라우드서비스 제공자(Cloud Service Provider) 즉, AWS와 같은 클라우드 회사 자체의 기술적 안전성과 재무 건전성 등을 평가하는 것과
2. 이 클라우드 환경에 본인의 서비스를 구축/운영하고자 하는 서비스 환경의 기술적 안전성, 출구 전략 등을 평가하고자 하는 것이다.

 

✅ CSP 보고는 언제까지 해야 되는지? 대략적으로 어느 정도 시간이 걸리는지?

• 법령상 클라우드 서비스 이용 7일 전으로 나와 있지만, 회사마다 클라우드에 대한 기술력, 가용 인력, 금감원의 보완 요청 등이 다르기 때문에 정확한 일정은 산정하기 어렵다.
• 기존에 CSP 평가를 통과한 회사들을 보면 짧게는 6개월, 길게는 1년 이상 준비한 회사도 있다 (아래에 CSP 보고를 위해 고려해야 될 요소를 간략히 기술하니 참고해 주세요)

 

<CSP 보고를 위한 주요 Task 및 일정>

1. 클라우드 인프라/보안/개발 등 설계 및 구축 : 약 3개월 ~ 6개월
2. 클라우드 이용 보고를 위한 설계/평가 및 보고서 작성 : 약 3개월 ~ 6개월
3. (위 인프라 구축/보고서가 완료된 후) 금감원에 보고 및 보완 요청 회신/수정 기간 : 약 3개월 이상 ~

*(TIP-1) 1/2번의 CSP 환경 구축과 보고서 작성이 완료됐더라고, 금감원 보완 요청에 따라 기간이 늘어날 수 있다는 점을 꼭 유의해야 하며, CSP 보고는 넉넉히 1년 정도로 잡는 것이 좋음

**(TIP-2) CSP 보고는 현재 금감원에 사전 보고해야 하지만, 내년부터 사후 보고로 제도가 바뀔 예정으로 가능하다면 내년에 사후보고를 하는 것을 추천함

 

 

 

🤔 (Q2) 클라우드 이용 보고(CSP)는 무엇을 준비하면 되는지? 실제 CSP 보고를 위해 뽑아내야 할 Output은?

(Q1)에도 언급했지만 CSP 보고는 아래와 같이 크게 2가지 분류할 수 있다.

1. ✅ (실제 구현 업무) 클라우드 인프라/보안/개발 등 설계 및 구축 : 약 3개월 ~ 6개월
   1. 클라우드 인프라/보안/개발 구축 Task는 회사마다 구현 방식이 조금씩 다르고, 해당 내용이 보안상 크리티컬한 내용이 많아 이 글에서는 스킵하겠습니다.
   2. 단, 기존에는 고려하지 않아도 됐었는데 CSP 평가를 함에 따라 고려해야 될 Agenda는 간단히 기재합니다.

 

<TIP - (AWS 기준의) 클라우드 인프라 구성 시, 고려해야 될 사항>

1. AWS Console 접속은 기본적으로 인터넷이 연결되어야 하는데, “Console 접속 허용” = “인터넷을 허용”로 망분리 위배가 됨, 이를 어떻게 구현하는 게 좋은지?
   1. (클라우드 로직 자체가 인터넷을 연결해야 되는 구조로 기존 망분리 요건을 위배할 수밖에 없는 구조이며, 금융 감독기관의 담당자별로 각기 다른 피드백을 주고 있는 게 현재 상황이다.)
   2. 폐쇠망의 물리PC(법령 기준의 전산센터 PC = 개발/운영용PC)에서 AWS Console 접속은 망분리 위배 + 보안상으로 취약할 수 있음에 따라, (가장 합리적인 방법으로) 기존 인터넷PC에서 Block list로 접속 도메인을 통제하여 AWS Console에 접속시키는 방법 or (컨플라이언스 + 보안상 가장 좋은 방법이긴 하지만 생산성, 합리성이 떨어지는) AWS Console 접속을 위한 전용 인터넷PC를 두는 방법도 있다.
2. (회사마다 다르겠지만) 망분리 위배가 되지 않는 기준으로, 기존 회사의 내부망에 존재하는 서비스와 내부망에 위치한 신규 금융 서비스를 어떻게 연계할 것인지?
   1. 망분리 요건상 서로 다른 서비스의 내부망을 연동하는 것도 망분리 위배임에 따라, 직접 연결은 불가하며 Proxy를 통해서 연결해야 함, 이 Proxy에 연결되는 리소스들도 SG 등을 통해 접근 통제를 해야 한다.
3. CSP 평가를 위한 AWS 인프라 구성 시, 항상 이슈가 되는 것은 “망분리 위배”에 관한 것이다. AWS 인프라 구성 시 사전에 개발 부서/인프라 부서 등에게 앞으로 모든 업무는 폐쇠망으로 구성한다.라는 것은 못 박고, 걸리는 것이 없는지 체크를 해야 뒤늦게 관련 부서와 논쟁이 없게 만들 수 있다.라는 것을 꼭 기억하기 바란다. 아래에 관련된 몇 가지만 간단히 키워드로 기재한다.
   1. aws 리소스 구성, 배포 등 외부 리소스를 받아와야 되는 것을 어떻게 구성할지, 폐쇠망에서 패치 등을 어떻게 구현할지, aws 환경의 백업/소산은 어떻게 할지, aws account, vpc 등을 어떻게 구성할지, 폐쇠망에서 alert을 어떻게 구성할지 등

 

2. ✅ (보고서 작성 업무) 클라우드 이용 보고를 위한 설계/평가 및 보고서 작성 : 약 3개월 ~ 6개월

1. 금감원 클라우드 이용 보고(CSP)를 해야 할 문서는 아래와 같으며, 제출해야 될 문서 리스트는 금감원 디지털금융총괄팀에 문의를 하면 관련 자료를 보내주니 먼저 연락하기 바란다.(본인은 이걸 몰라서 요건 하나하나를 분석하는 노가다를 했음 ㅡㅡ)
2. CSP 평가에 대한 전체적인 가이드는 아래의 첨부 파일을 참고하면 된다.

2. 210311 클라우드 이용 사전 보고 제출서류 및 관련 법규(금융회사 안내용).hwp

0.03MB

 

 

📘 <클라우드 이용 보고 관련 제출 서류 체크리스트>

• 양식상 총 16개의 문서이나, 별첨 등을 다 넣으면 실제 20개 이상의 문서가 나오게 됨
• CSP 문서는 크게 2가지로 분류되어,
  • (메인 보고서인) “1.0 클라우드컴퓨팅서비스 이용대상 정보처리시스템 지정 보고서”와
    • 보고서 표준 양식은 첨부된 자료를 기준으로 작성하면 된다.

4. [별지 6] 클라우드컴퓨팅서비스 이용대상 정보처리시스템 지정 보고.hwp

0.01MB

• • (그 외 첨부 문서인) 2.1~6.0까지의 문서로 나눠진다.
    • 위탁과 관련된 궁금한 사항은 첨부된 문서를 참고하면 좋다.

3. 정보처리위탁 관련 FAQ.pdf

0.35MB

• (TIP) 아래 양식에 기재된 문서는 하나의 단일 문서로 작성해야 한다. 만약 특정 문서에 다른 문서를 포함하여 작성할 경우, 감독기관에서 별도로 쪼개서 다시 제출하라고 한다.
• 각 문서별로 “필자의 가이드(경험담)”을 기재하였으니 두 번 고생하지 않으려면 미리 해당 내용을 참고하여 CSP 평가를 하기 바란다.

 

<클라우드 이용 보고 관련 제출 서류 체크리스트>

구분	문서 번호	문서명	문서 안에 꼭 들어가야 할 내용 및 중점 사항(감독기관 가이드)	필자의 가이드(경험담)
클라우드컴퓨팅서비스 이용대상 정보처리시스템 지정 보고서	1.0	클라우드컴퓨팅서비스 이용대상 정보처리시스템 지정 보고서	-시스템명 -업무 개요 -업무처리 절차(단계별 이용자 및 데이터 흐름 표시) -시스템 개요(용도, 처리 데이터, 이용자, 타 시스템 연계성, 시스템 및 정보통신망 구성도 -클라우드컴퓨팅서비스 계약관련(제공자명, 고유식별정보 또는 개인신용정보 처리여부, 계약체결일) -시스템 책임자(소속, 직위, 이름, 담당업무, 연락처, 이메일)	본 문서는 좌측의 금감원 가이드에 따라 시스템명, 업무 개요 등을 하나의 목차로 만들어서 작성해야 되며, 관련 양식은 위에 첨부된 표준 양식을 사용하면 됨
「금융회사의 정보처리 업무위탁에 관한 규정」 제7조제1항 각 호에 관한 서류	2.1	위탁계약서(안) 사본	-	사용하고자 하는 클라우드 회사와 맺은 계약서 사본을 첨부하면 되고, 계약서가 영문일 경우 한글 계약서도 함께 첨부해야 되니 이점 잊지 않아야 됨
	2.2	「금융기관의 업무위탁 등에 관한 규정」 제3조의2에 따라 금융기관이 마련하고 준수하여야 할 업무위수탁 운영기준 + 감독규정 별표2의3에서 정하는 사항을 반영	-	업무위수탁 기준은 아래 3개의 관련 규정을 모두 매핑한, 본인의 회사의 규정 or 가이드를 만들면 된다. 또한 CSP 별첨 문서에 관련 규정을 준수했는지 항목 하나 하나를 체크하는 문서가 있으니 꼭 아래 규정들을 매핑해서 업무위수탁 가이드를 만들어야 함 *업무위수탁과 관련된 전자금융 규정 1. 금융회사의 정보처리 업무 위탁에 관한 규정 2. 금융기관의 업무위탁 등에 관한 규정 3. 전자금융감독규정, 제14조의2(클라우드컴퓨팅서비스 이용절차 등)의 ①항 3호의 사항 3. <별표 2의3>에서 정하는 사항을 반영한 자체 업무 위수탁 운영기준의 마련 및 준수
	2.3	업무위탁 계약이 이 규정 등 관련법령에 위배되지 아니한다는 준법감시인의 검토의견 및 관련자료 사본	-	본 문서는 위 2.2의 업무위수탁과 관련된 전자금융 규정과 + 이를 도태로 만든 회사의 업무위수탁 규정을 기준으로, 신규 계약하는 클라우드 회사의 위탁계약서를 서로 매칭해서 각 요건을 잘 준수하여 클라우드 위수탁 계약을 했는지 검증하는 보고이며, 별도로 해당 내용을 하나 하나 체크하는 문서를 금감원에 제출해야 하여, 꼭 “3개의 감독기관의 업무위수탁 규정 + 회사의 업무위수탁 규정 + 클라우드 위수탁 계약서를 매핑”하여 작업을 해야 함. 그렇지 않으면 다시 해당 작업을 해야 되니 유의해야 함
	2.4	위탁의 필요성 및 기대효과	-	“2.4 위탁의 필요성 및 기대효과”은 1.0 메인 보고서에 포함해서 작성해도 괜찮음
	2.5	위탁에 따른 업무처리절차의 주요 변경내용	-	금융망 자체의 변경, 시스템상/보안상/배포 환경 상 등의 위탁 환경이 바뀜에 따라 변경되는 업무 절차를 작성하면 됨
	2.6	정보처리업무 운영에 대한 감독기관의 실질적 감독가능성을 확인할 수 있는 서류	-	해당 문서는 해당 클라우드에 문제가 생겼을 때, 감독기관에서 (이런 상황에 비협조적인)아마존과 같은 글로벌 기업에게 공식적인 문서를 받아서 필요시 방문/감사 등을 하기 위해 미리 공식 문서를 받아 놓기 위함이며, 이 자료는 해당 클라우드 회사에서 공식 문서를 요청하면 받을 수 있음
	2.7	위탁계약 상대방(재위탁 예정시 재위탁계약 상대방 포함)에 관한 사항(상호, 자본금 규모, 소재지, 주된 업종, 개인의 경우 대표자 인적사항 등)	-	본 문서는 클라우드 회사의 1)사업자등록증과 2)해당 회사의 지리적 위치가 표기된 공식 문서를 해당 클라우드 회사에 요청하면 받을 수 있음, 나머지 자본금 규모 등도 동일함
	2.8	전산사고 및 정보유출 등 발생시 피해자 구제절차	-	본 문서는 1)전산사고 및 정보유출 등이 발생했을 때 피해자 구제 절차가 기술된 문서와 2)회사가 가입한 전자금융거래/개인정보 유출 배상책임보험 증서를 제출하면 됨
클라우드컴퓨팅서비스 이용대상 정보처리시스템 중요도 평가 기준 및 평가결과	3.0	클라우드컴퓨팅서비스 이용대상 정보처리시스템 중요도 평가 기준 및 평가결과	Q. 고유식별정보 또는 개인신용정보의 처리 여부 및 향후 처리 가능성 판단? Q. 정보의 종류, 시스템 용도, 사용자 수 등을 종합적으로 고려?	본 문서는 좌측 가이드의 내용을 포함해서 먼저 1)클라우드 올리고자 하는 대상 업무 서비스와 시스템을 정의하고 2)해당 업무 서비스가 처리하는 개인신용정보를 디테일하게 정의한다. 3)마지막으로 해당 시스템의 중요도 평가 기준과 절차를 만들어서 평가를 하게 된다. 이때 고유식별정보나 개인신용정보를 처리하게 되며 무조건 감독기관에 보고해야 하며, 만약 중요 업무로 평가되지 않을 시, CSP 평가는 하되 감독기관에 보고하지 않을 수 있음 (중요도 평가 기준/가이드는 https://datadrivencoin.tistory.com/9에 “금융분야 클라우드컴퓨팅서비스 제공자(CSP) 안전성 평가 가이드 (21년 12월 버전)”에 첨부된 가이드를 참고하면 됨
클라우드컴퓨팅서비스 이용관련 업무 연속성 계획 및 안전성 확보조치에 관한 사항	4.1	업무 연속성 계획	출구 전략 / 데이터 이중화 및 소산(데이버백업) / 비상대응훈련 및 재해복구전환 훈련 / 전환 적시 이행 불가능시 대책	본 문서는 좌측 가이드의 내용을 포함해서 업무 연속성 계획 문서를 작성해야 되며, 추가적으로 본 문서는 별도 첨부하지 않았지만 “(감독원에서 추가 제출을 요청하는 문서의 양식에 있는 문서)업무연속성 계획 및 안전성 확보조치 관련 자체 적정성 검토결과(감독원에 요청하면 별도 양식으로 제공해줌)”에 서명해서 추가로 제출해야 됨
	4.2	안전성 확보조치(입증 자료 포함)	-	본 문서는 https://datadrivencoin.tistory.com/9에 “금융분야 클라우드컴퓨팅서비스 제공자(CSP) 안전성 평가 가이드 (21년 12월 버전)”를 참고하여 작성해야 되며, 각 항목별로 입증 자료를 별첨으로 추가 제출해야 함
클라우드컴퓨팅서비스 이용대상 정보처리 시스템 중요도와 클라우드컴퓨팅서비스 제공자의 건전성·안전성 등 평가결과 및 자체 업무 위수탁 운영기준에 대한 정보보호위원회 심의·의결 결과(회의록 포함)	5.1	정보보호위원회 회의록 및 의사록 (아래 사항에 대한 논의 여부가 확인가능하여야 함) - 자체 중요도 평가 결과 - 클라우드컴퓨팅서비스 제공자의 건전성 및 안전성 평가 결과 - 자체 업무 위수탁 기준	-	본 문서는 좌측 가이드의 내용을 포함한 정보보호위원회 회의록/의사록을 작성하여 제출하면 됨
	5.2	정보보호위원회 심의·의결 결과	-	위 “정보보호위원회 회의록 및 의사록”과 별개로 “정보보호위원회 심의·의결 결과”를 별도로 작성/첨부해야 됨
	5.3	정보보호위원회 안건 자료	-	위 “정보보호위원회 심의·의결 결과”와 별개로 “정보보호위원회 안건 자료”를 별도로 작성/첨부해야 됨
클라우드컴퓨팅서비스 제공자의 건전성 및 안전성 등 평가	6.0	별표 2의2에서 정하는 사항을 반영 - CSP 건전성 평가 결과 - CSP 기본 보호조치 평가 결과(보안인증 취득 증명서 사본으로 갈음 가능) - CSP 금융부문 추가 보호조치 평가 결과	Q. 재무건전성, 신용평가 등급 양호? Q. 기본 보호 조치 이행여부 평가? Q. CSP의 지원 및 협조 필수 사항들 체계 갖춤?	본 문서는 크게 3가지 별첨으로 별도 작성해야 되며, 1. ”CSP 건전성 평가 결과”는 -해당 클라우드 회사의 재무 건전성, 신용등급 평가 등을 해야하며, 해당 평가를 위한 기본 데이트는 해당 클라우드 회사에 요청하면 관련 자료를 줌 2. “CSP 기본 보호조치 평가 결과”도 해당 클라우드 회사에 요청하면 관련 자료를 보내줌 3. “CSP 금융부문 추가 보호조치 평가 결과”는 클라우드 회사가 제공해주는 것과 회사 자체에서 작성해야 될 부분이 있음

 

 

🤔 (Q3) Q2의 클라우드 이용 보고서(CSP)를 다 작성했는데, 이제 어떻게 보고하면 되는지?

✅ (Q1)에도 간단히 언급했지만, 현재 감독규정상 CSP 보고는 금감원에 사전 보고를 하게끔 되어 있고, 22년 현재 금감원에서 안내하는 CSP 보고 절차를 다음과 같이 공유한다.

 

CSP 보고 문서의 작성이 완료되면,

1. 먼저 금융감독원 디지털금융총괄팀(CSP 평가 담당 부서)에 이메일로 보내서 사전 검토를 받는다 (현재 기준으로 여기서 2개월 이상이 걸린다 ㅜㅡ)
   1. 미흡한 사항이 있으면 금감원에서 보충 자료 등을 요청할 것이며, 사전 검토가 완료되어야 정식으로 아래와 같이 CSP 보고를 할 수 있다.
2. 이후 FEDI 전자문서교환시스템(https://edes.fss.or.kr/main.do) 공문서를 등록/보고하면 CSP 보고가 완료된다.

 

 

👨‍💻글을 마치며…

• 마지막으로 제가 CSP 평가를 주관하면서 느낀 점은 간단히 적어본다.
  • 내년부터 CSP 보고가 사후보고로 변경된다.라고는 하지만 생각보다 CSP 보고의 업무량과 리소스가 많이 소요된다. 최대한 넉넉히 일정을 잡길 바란다.
  • 다음으로 클라우드 환경에서 감독규정의 망분리를 적용하기가 굉장히 까다롭고 어려워 컴플라이언스상의 충돌이나 현업 부서와의 마찰이 많다. 만약 본인이 CSP 평가의 주요 실무자라면 미리 아키텍처 설계, 문서 작업 등을 많이 준비할 것을 추천한다.