| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
- 보안체크리스트
- aws
- 클라우드
- 보안서약서
- 금융보안
- 기업보안담당자
- OT보안
- 휴대용컴퓨터사용자
- 퇴직자
- 회사제공pc사용자
- BYOD
- AI보안
- GCP
- 클라우드 보안
- 재직자용
- 보안가이드
- ISO인증심사
- 관리보안
- Azure
- 비밀유지서약서
- 외주업무 수행 시
- 스마트공장
- 위수탁
- it성숙도모델
- usb사용자
- 가이드라인
- 프로젝트 시작 시
- ISO27001
- 혼자쓰는보고서
- siem
- Today
- Total
정보보안핑(✌’ω’)✌
[가이드] 금융분야 클라우드컴퓨팅서비스 이용 가이드(2023.02) - 출처 : 금융보안 본문
https://www.fsec.or.kr/bbs/detail?menuNo=222&bbsNo=11152
금융보안원
금융회사 또는 전자금융업자가 개정된 전자금융감독규정(`23.1.1. 시행) 제14조의2에 따라 클라우드컴퓨팅서비스를 이용하고자 할 경우 요구되는 세부절차를 안내하고 금융시스템 안전성 및 금
www.fsec.or.kr
금융분야 클라우드컴퓨팅서비스 이용 가이드: 기초부터 쉽게 이해하기 ☁️🔐💡
금융분야 클라우드컴퓨팅서비스 이용 가이드는 금융회사와 전자금융업자가 클라우드 컴퓨팅 서비스를 안전하게 이용하기 위한 절차와 보안 기준을 제공하는 중요한 자료입니다. 이 가이드는 금융 시스템의 안전성과 금융소비자 보호를 위해 개정된 전자금융감독규정에 따른 지침을 담고 있어요. 이번 포스팅에서는 이 가이드의 주요 내용을 이해하기 쉽게 풀어 설명할게요! 😊🛡️
1. 클라우드컴퓨팅서비스 이용 절차 📝🌐
클라우드 서비스를 이용하려면 금융회사가 따라야 하는 절차는 아래와 같아요:
1️⃣ 업무 선정 및 중요도 평가: 클라우드 서비스를 사용할 업무를 선정하고, 이 업무의 중요도를 평가합니다. 🔍📊
2️⃣ 클라우드 제공자 평가: 클라우드 서비스 제공자의 안전성과 건전성을 평가해야 합니다. 클라우드 제공자의 보안 인증 여부도 중요한 평가 요소입니다. 👍🔐
3️⃣ 업무 연속성 및 안전성 확보 계획 수립: 클라우드 이용 중 문제 발생 시 대비한 업무 연속성 계획을 마련하고, 안전 대책을 세워요. 🛠️🔄
4️⃣ 정보보호위원회 심의: 정보보호위원회에서 심의를 거쳐 클라우드 서비스를 사용할지 결정합니다. ⚖️🗣️
5️⃣ 이용 및 보고: 클라우드 서비스를 이용하고 그 결과를 금융감독원에 보고해야 해요. 📨✅
이 절차들은 개정된 전자금융감독규정(`23.1.1 시행) 제14조의2에 따라 금융회사가 클라우드 서비스를 안전하게 사용할 수 있도록 돕기 위한 중요한 가이드라인입니다. 📜💼
2. 보안성 검토 기준 📋🔒✨
다음은 클라우드 서비스를 이용할 때 금융회사가 반드시 점검해야 하는 보안성 검토 기준입니다. 이를 의무 사항과 권고 사항으로 나누어 설명할게요.
| 보안영역 | 보안성검토 기준 | 의무사항 | 권고사항 |
| 외부 단말기 보안 관리 💻🔐 | 백신 프로그램 설치 및 보안패치 적용 | 외부 단말기에 백신 프로그램 설치 및 최신 상태 유지 | 화면 캡처 방지 및 출력물 워터마크 적용 💾 |
| 로그인 비밀번호 설정 및 화면 보호기 활성화 | 비밀번호 설정 및 일정 시간 미사용 시 화면 잠금 | 중요 파일의 암호화 저장 🔑 | |
| 통신 회선 보안 🌐🔒 | VPN 구축 및 암호화 통신 사용 | 안전한 VPN을 구축하여 내부망과 연결 | 공공 와이파이 사용 제한 🚫📶 |
| 내부망 접속 시 인터넷 연결 차단 | 내부망 접근 시 다른 인터넷 연결을 차단하여 보안 유지 | VPN 사용 시 이중 인증 적용 🔄✅ | |
| 내부망 접근 통제 🔒🛡️ | 최소한의 IP 및 포트 연결 허용 | 최소한의 IP와 포트에만 접속 허용 | 접근 통제 정책 주기적 갱신 🔄 |
| 원격 접속 기록 저장 | 원격 접속 기록을 최소 1년 이상 보관 | 외부 단말기 보안 점검 후 접근 허용 ✅🔍 | |
| 인증 보안 🔑📲 | 이중 인증 적용 | OTP나 기기 인증 등 이중 인증 적용 | 생체 인증 적용(지문, 얼굴 인식 등) 👤🔑 |
| 일정 횟수 인증 실패 시 접속 차단 | 비인가 접근을 방지하기 위한 접속 차단 | 지리적 위치 기반의 접속 제한 🌍🚫 |
3. 클라우드컴퓨팅서비스 이용 세부 절차 안내 ☁️📑🛠️
개정된 전자금융감독규정 시행세칙에 따라 금융회사가 클라우드 컴퓨팅 서비스를 사용할 때 요구되는 세부 절차는 다음과 같습니다:
- 업무의 중요도 평가: 클라우드 서비스를 사용할 업무의 중요도를 평가하고, 이에 따라 클라우드 서비스 제공자의 안전성과 건전성을 확인해야 해요. 📊🕵️♂️
- 클라우드 제공자의 보안 인증 여부 평가: 중요 업무로 판단된 경우 보안 인증을 확인하여 안전성을 검토합니다. 필요한 경우 일부 항목을 생략할 수 있지만, 필수 항목은 반드시 점검합니다. ✅🔍
- 업무 연속성 계획 마련: 클라우드 사용 중 문제가 발생할 경우 대비하여 업무 연속성 계획을 수립하고 안전성 확보 대책을 마련해요. 💡🔄
이 가이드는 전자금융감독규정 개정 및 금융분야 망분리 및 클라우드 규제 개선 FAQ를 반영하여 부분 개정되었습니다(23.02.07). 금융회사가 클라우드 서비스를 안전하게 사용할 수 있도록 규제를 개선하고, 세부 절차를 명확히 했습니다. 📜📢
4. 금융시스템 안전성 및 금융소비자 보호 강조 🛡️🤝
개정된 규정은 금융시스템의 안전성과 금융소비자 보호를 최우선으로 합니다. 클라우드 서비스 이용 시 보안이 보장되지 않으면 소비자 정보 유출 등 심각한 문제가 발생할 수 있어요. 따라서 금융회사는 적절한 보안 대책을 마련해 이러한 위험을 최소화해야 합니다. 💪🔒
예를 들어, 이중 인증을 통해 비인가된 사용자가 클라우드에 접근하지 못하게 하고, VPN을 사용하여 안전하게 금융 내부망에 연결함으로써 정보 유출을 방지할 수 있습니다. 또한 원격 접속 기록을 보관하여 보안 사고 발생 시 추적할 수 있는 근거를 확보해야 합니다. 📑🔍
결론 📌✨
금융회사가 클라우드 서비스를 사용할 때는 철저한 보안 대책을 수립하고 관리하는 것이 매우 중요해요. 이번에 개정된 가이드는 특히 금융소비자 보호와 시스템 안전성을 강화하기 위해 만들어졌어요. 따라서 클라우드 서비스를 도입하려는 금융회사는 이 가이드를 충실히 따르고, 보안성 검토 기준을 철저히 지켜야 합니다. 🔐☁️
'관리보안' 카테고리의 다른 글
| [가이드] 연구·개발 목적의 망분리 예외 적용에 따른 보안 유의사항 - 출처 : 금융보안원(2023.03) (2) | 2024.10.09 |
|---|---|
| [가이드] 금융분야 오픈소스 소프트웨어 활용·관리 안내서 ☁️🔒- 출처 : 금융보안원(2022.12) (1) | 2024.10.08 |
| [가이드] (공공기관/민간분야) 고정형 영상정보처리기기(CCTV) 설치운영 가이드라인 (2024.1. 개정) - 출처 : 개인정보보호위원 (2) | 2024.10.06 |
| [가이드] 금융회사 재택근무 보안 안내서 - 출처 : 금융보안원(2020.12) (2) | 2024.10.06 |
| [가이드] 금융보안 거버넌스 가이드 - 출처 : 금융보안원(2019) (3) | 2024.10.06 |
