<32322D342D303320B5B5C7FDC1F620B1E8C0CEBCAE33392D35312E687770>

Similar documents
06_ÀÌÀçÈÆ¿Ü0926

DBPIA-NURIMEDIA

<30362E20C6EDC1FD2DB0EDBFB5B4EBB4D420BCF6C1A42E687770>

05_±è½Ã¿Ł¿Ü_1130

±èÇö¿í Ãâ·Â

클라우드컴퓨팅확산에따른국내경제시사점 클라우드컴퓨팅확산에따른국내경제시사점 * 1) IT,,,, Salesforce.com SaaS (, ), PaaS ( ), IaaS (, IT ), IT, SW ICT, ICT IT ICT,, ICT, *, (TEL)

06_À̼º»ó_0929

3. 클라우드 컴퓨팅 상호 운용성 기반의 서비스 평가 방법론 개발.hwp

歯3이화진

1.장인석-ITIL 소개.ppt

untitled

Journal of Educational Innovation Research 2017, Vol. 27, No. 4, pp DOI: * A Study on Teache

DBPIA-NURIMEDIA

WHO 의새로운국제장애분류 (ICF) 에대한이해와기능적장애개념의필요성 ( 황수경 ) ꌙ 127 노동정책연구 제 4 권제 2 호 pp.127~148 c 한국노동연구원 WHO 의새로운국제장애분류 (ICF) 에대한이해와기능적장애개념의필요성황수경 *, (disabi

DBPIA-NURIMEDIA

정진명 남재원 떠오르고 있다. 배달앱서비스는 소비자가 배달 앱서비스를 이용하여 배달음식점을 찾고 음식 을 주문하며, 대금을 결제까지 할 수 있는 서비 스를 말한다. 배달앱서비스는 간편한 음식 주문 과 바로결제 서비스를 바탕으로 전 연령층에서 빠르게 보급되고 있는 반면,

Journal of Educational Innovation Research 2018, Vol. 28, No. 3, pp DOI: NCS : * A Study on

04-다시_고속철도61~80p

DBPIA-NURIMEDIA

DBPIA-NURIMEDIA

인문사회과학기술융합학회

Journal of Educational Innovation Research 2016, Vol. 26, No. 1, pp.1-19 DOI: *,..,,,.,.,,,,.,,,,, ( )

Journal of Educational Innovation Research 2018, Vol. 28, No. 1, pp DOI: * A Analysis of

< FC1A4BAB8B9FDC7D D325FC3D6C1BEBABB2E687770>

<353020B9DAC3E1BDC42DC5ACB6F3BFECB5E520C4C4C7BBC6C3BFA1BCADC0C720BAB8BEC820B0EDB7C1BBE7C7D7BFA120B0FCC7D120BFACB1B82E687770>

DBPIA-NURIMEDIA

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Nov.; 26(11),

<BFA9BAD02DB0A1BBF3B1A4B0ED28C0CCBCF6B9FC2920B3BBC1F62E706466>

00내지1번2번

12È«±â¼±¿Ü339~370

표현의 자유


untitled

untitled

<BCF6BDC D31385FB0EDBCD3B5B5B7CEC8DEB0D4C5B8BFEEB5B5C0D4B1B8BBF3BFACB1B85FB1C7BFB5C0CE2E687770>


11¹Ú´ö±Ô

DBPIA-NURIMEDIA

ÀÌÀç¿ë Ãâ·Â

<C7C1B7A3C2F7C0CCC1EE20B4BABAF1C1EEB4CFBDBA20B7B1C4AA20BBE7B7CA5FBCADB9CEB1B35F28C3D6C1BE292E687770>

F1-1(수정).ppt

1. KT 올레스퀘어 미디어파사드 콘텐츠 개발.hwp

<313120B9DABFB5B1B82E687770>

< BFCFB7E15FC7D1B1B9C1A4BAB8B9FDC7D0C8B85F31352D31BCF6C1A4C8AEC0CE2E687770>

04_이근원_21~27.hwp


歯CRM개괄_허순영.PDF

10방송통신서비스_내지최종

Journal of Educational Innovation Research 2017, Vol. 27, No. 2, pp DOI: : Researc

20(53?)_???_O2O(Online to Offline)??? ???? ??.hwp

Journal of Educational Innovation Research 2018, Vol. 28, No. 4, pp DOI: A Study on Organizi

강의지침서 작성 양식

<31362DB1E8C7FDBFF82DC0FABFB9BBEA20B5B6B8B3BFB5C8ADC0C720B1B8C0FC20B8B6C4C9C6C32E687770>

07_À±¿ø±æ3ÀüºÎ¼öÁ¤

<4D F736F F D20B1E2C8B9BDC3B8AEC1EE2DB1E8B1A4BCAE>


½Éº´È¿ Ãâ·Â

340 法 學 硏 究 第 16 輯 第 2 號 < 국문초록 > 박근혜 정부 출범이후 상설특별검사제를 도입하기 위한 논의가 국회에서 진행 중이 다. 여당과 야당은 박근혜 대통령 공약인 상설특별검사제도를 2013년 상반기 중에 도입 하기로 합의했다. 상설특검은 고위공직자비리

슬라이드 1


ÀÌÁÖÈñ.hwp

SAMJONG Insight 제19호

Backup Exec

2. 박주민.hwp


디지털포렌식학회 논문양식

<353420B1C7B9CCB6F52DC1F5B0ADC7F6BDC7C0BB20C0CCBFEBC7D120BEC6B5BFB1B3C0B0C7C1B7CEB1D7B7A52E687770>


DBPIA-NURIMEDIA

중국 상장회사의 경영지배구조에 관한 연구

인문사회과학기술융합학회

歯1.PDF

Microsoft PowerPoint - 6.pptx

KISO저널 원고 작성 양식


인문사회과학기술융합학회

I

大学4年生の正社員内定要因に関する実証分析

02_연구보고서_보행자 안전확보를 위한 기술개발 기획연구( )최종.hwp

182 동북아역사논총 42호 금융정책이 조선에 어떤 영향을 미쳤는지를 살펴보고자 한다. 일제 대외금융 정책의 기본원칙은 각 식민지와 점령지마다 별도의 발권은행을 수립하여 일본 은행권이 아닌 각 지역 통화를 발행케 한 점에 있다. 이들 통화는 일본은행권 과 等 價 로 연

03¼ºÅ°æ_2

Security Overview

원고스타일 정의

J Korean Neuropsychiatr Assoc 2014;53(2):61-71 보험회사의 합리적 선택은 무엇이게 되는가 그리고 그 합리 성을 넘어설 수 있는 원리는 무엇이어야 하는가 보험을 유지하는 또 다른 요소는 사회적 연대 - 이다 사회적 연대는 합리성과 대척

0125_ 워크샵 발표자료_완성.key

14È£À¯½Åȸº¸¸ñÂ÷.ps

<30382E20B1C7BCF8C0E720C6EDC1FD5FC3D6C1BEBABB2E687770>

UDP Flooding Attack 공격과 방어

<4D F736F F D205B4354BDC9C3FEB8AEC6F7C6AE5D3131C8A35FC5ACB6F3BFECB5E520C4C4C7BBC6C320B1E2BCFA20B5BFC7E2>

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE. vol. 29, no. 10, Oct ,,. 0.5 %.., cm mm FR4 (ε r =4.4)

국내 디지털콘텐츠산업의 Global화 전략

08SW

歯주5일본문.PDF

정보기술응용학회 발표

AGENDA 모바일 산업의 환경변화 모바일 클라우드 서비스의 등장 모바일 클라우드 서비스 융합사례

歯kjmh2004v13n1.PDF

Industry Technology Policy 융합연구정책센터 Weekly TIP 클라우드컴퓨팅시장및정책동향 이아름 융합연구정책센터 선정배경 01 인공지능, 빅데이터, 사물인터넷등과더불어클라우드컴퓨팅은 4 차산업혁명시대의국가경쟁력확보를위한핵심기반기술로부각 클라우드컴퓨

<BFACB1B85F D30335FB0E6C1A6C0DAC0AFB1B8BFAA2E687770>

<3135C8A3B3EDB9AE DBCF6C1A42E687770>

09김정식.PDF

Transcription:

http://www.jsebs.org ISSN: 2288-3908 The Journal of Society for e-business Studies Vol.22, No.4, November 2017, pp.39-51 https://doi.org/10.7838/jsebs.2017.22.4.039 1) 비중요정보처리시스템으로한정된국내금융권클라우드시장활성화를위한제안 : 영미사례를중심으로 A Study on Cloud Computing for Financial Sector limited to Processing System of Non-Critical Information: Policy Suggestion based on US and UK s approach 도혜지 (Hye-Ji Do) *, 김인석 (In-Seok Kim) ** 초 록 2016 년 10 월금융당국은금융권내클라우드도입활성화를위해전자금융감독규정의망분리조항을개정하였다. 하지만비중요정보처리시스템의데이터만처리할수있도록규제함으로써정밀한고객데이터분석과개인화서비스를제공하는금융권에서는이번개정에큰변화를느끼지못하고있다. 클라우드서비스의도입은비용절감및업무혁신에기여하는바가크며, 변화하는정보통신기술환경에필수적인요건이다. 따라서보안과신뢰성의원칙을고수하며클라우드도입에유연하게대처하기위해서는클라우드서비스를도입한금융기관의안정적구현을위한정책에대한논의가필요하다. 본연구는금융권내클라우드도입관련제도의한계와변경필요성을검토하고, 영미의사례분석을통해정책적대안을제시한다. ABSTRACT In October 2016, the NFSA (National Financial Supervisory Authorities) revised the network separation clause of the Regulation on Supervision of Electronic Financial Activities in order to promote the Cloud Computing implementation in the financial sectors. The new regulation, however, limits the Cloud Computing usage to non-critical information and its processing system. Financial institutions that provide customer data analysis and personalized services based on personal data regard current revision as unchanged as before. The implementation of Cloud Computing has greatly contributed to cost reduction, business innovation and is an essential requirement in ever-changing information communication technology environment. To guarantee both security and reliability of the implementation of the Cloud Computing in financial sectors, a considerable amount of research and debate needs to be done. This paper examines current Cloud Computing policies in the Korean financial sector and the challenges associated with it. Finally, the paper identifies policy suggestions based on both European Union and United States approach as they have successfully introduced Cloud Computing Services for their financial sectors. 키워드 : 클라우드컴퓨팅, 금융보안, 클라우드정책 Cloud Computing, Financial Security, Cloud Computing Policies 본연구는미래창조과학부및한국인터넷진흥원의 고용계약형정보보호석사과정지원사업 의연구결과로수행되었음 ( 과제번호 H2101-16-1001). * Co-Author, Graduate School of Information Security, Korea University(chicdo@korea.ac.kr) ** Corresponding Author, Graduate School of Information Security, Korea University(iskim11@korea.ac.kr) Received: 2017-08-29, Review completed: 2017-10-11, Accepted: 2017-10-16

40 한국전자거래학회지제 22 권제 4 호 1. 서론작년국내클라우드시장규모가약 1조 1천 900억원으로전년대비 55.2% 성장했다 [10]. 이는작년부터 3년일정으로정부가실행중인 제1차클라우드컴퓨팅발전기본계획 (2016~ 2018) 의효과가나타난것으로보인다. 전세계적으로 IT환경이급변함에따라기업들이관리해야할데이터양이증가함으로써 IT자원에대한유지 보수및관리의문제가대두되고있다 [8]. 특히, 금융권은 IT시스템의복잡화, 정보량의증대로사용되는스토리지영역이매년증가하고있다. 이에운용 관리상의비용절감, IT의유연성제고, 상품및서비스경쟁력향상을위한 IT 인프라확보등의새로운대안으로클라우드서비스 (Cloud Service) 가부상하고있다 [5]. 글로벌금융회사들은클라우드서비스를도입하는방안을추진중이거나이미도입하여운용하고있다. 미국장외주식시장나스닥 (NASDAQ), 스페인의뱅킨테르은행, 싱가포르증권거래소등이클라우드서비스를도입하여운영중이다. 국내에서는 2015년미래에셋증권이아마존사의클라우드서비스 (AWS) 를도입하면서국내금융권내클라우드서비스도입에대한관심이증가하였다. 우리나라는지금까지비교적높은수준의금융규제로인하여클라우드도입이무산되었으나, 2016년 10월감독규정이개정되면서클라우드도입의발판이마련되었다. 하지만현재모든정보처리시스템이아닌비중요정보에대한정보처리시스템에만클라우드서비스도입을허용한한계가있다. 특히, 중요정보처리시스템이큰비중을차지하는금융권에서는비중요정보처리시스 템만의클라우드서비스도입에대해회의적인반응이며, 향후이를보완할수있는정책이나제도마련또한미비한실정이다. 또한 금융권클라우드서비스이용가이드 에서설명하고있는비중요정보처리시스템지정가능예시의기준마저모호하다. 가이드에서설명하는비중요정보처리시스템지정기준은아래와같다 [6]. 금융회사는다음각호의사항을고려하여전자금융거래의안전성및신뢰성에미치는영향이낮은시스템을비중요정보처리시스템으로지정할수있다. 처리정보의중요도및정보위 변조 유출시파급효과 침해사고또는장애발생시타시스템의업무연속성저해수준등타시스템과의연계성 복구목표시간등해당정보처리시스템의업무중요도 운영, 개발, 테스트시스템등정보처리시스템의용도 고객또는사내직원등이용자유형에따른해당정보처리시스템이용자수등 고유식별정보 * 또는개인신용정보 ** 처리 ( 송신, 수신또는전달포함 ) 시지정불가 * ** 개인정보보호법 제 24 조및동법시 행령제 19 조각호에서정한정보로서, 주민등록번호, 여권번호, 면허번호, 외 국인등록번호가이에해당됨 신용정보의이용및보호에관한법 률 에서정한정보 다만, 개인정보비식별조치가이드라인 (2016년 7월 ) 을준수하여비식별화하거나, 사내직원등전자금융거래와관련없는고유식별정보또는개인신용정보는처리가능

비중요정보처리시스템으로한정된국내금융권클라우드시장활성화를위한제안 41 본논문은금융권클라우드서비스활성화를위한현행규제의변경필요성을제시하고, 영국과미국의금융권클라우드도입사례분석을통해정책적대안을제시한다. 2. 금융권클라우드서비스도입필요성금융권클라우드서비스도입으로인한긍정적인요소를파악하고국내외사례를통해금융권클라우드서비스의필요성을알아보고자한다. 간을단축하였고, 비용을절감하였다. 미국의캐피탈원 (Capital One) 은클라우드를도입후데이터센터를 8개에서 2개로줄여유지 보수비용을크게절감하였다. 또한스페인의글로벌은행인 BBVA는클라우드기반업무시스템을도입하여본사와약 11만명에달하는 26개해외자사직원간의빠르고쉬운의사결정, 신상품개발과판매기간단축등의변화를이끌어냈다 [16]. 국내외수많은사례를통해클라우드서비스를이용하는금융회사들의혁신적인경영사례가입증되었다. 국내도입시클라우드서비스는효율적인금융시스템기반조성에주도적인역할을할수있을것이다. 2.1 금융권클라우드서비스를통한혁신적인변화클라우드는유연성, 경제성, 효율성측면에서금융권서비스제공에혁신적인변화를가져올수있다 (<Table 1> 참조 ). 대표적인사례로국내유안타증권에서는시장상황에따른다양한시나리오와검증에클라우드를활용함으로써자사금융상품의리스크관리분석시 2.2 국내금융권클라우드활성화정책정부는국내클라우드활성화를위해 2015년 9월 클라우드컴퓨팅발전및이용자보호에관한법률 을시행하였으며, K-ICT 클라우드컴퓨팅활성화계획 을확정 (2015. 11) 하였다. 이에금융당국은제도의유연성확보요구와클라우드활성화정책을반영하여클라우드도입과관련된조항을일부개정하였다. 새로개정 <Table 1> Characteristics of Cloud Service Usage & Benefit of Implementation within Financial Sector Characteristic Details Benefit of Implementation within Financial Sector Flexibility Economic Efficiency Computing resources can be allocated flexibly when demanded Cloud Computing is Pay-as-yougo model that charges based on usage, which is economical As a shared IT resource, Cloud Computing guarantees efficiency through business continuity Offers range of financial IT services such as new product simulation, credit risk analysis, etc. with greater flexibility (ex: Yuanta Securities Korea Co.) Efficient management of isolated systems and reduced cost of additional infrastructure and management (ex: Capital One) Provide a virtualized business environment with efficient management that guarantees business continuity without constraints of time and place. (ex: BBVA)

42 한국전자거래학회지제 22 권제 4 호 <Table 2> Changes in law to Promote Cloud Computing Services Restriction on Outsourcing Network separation Prior to Revision After the revision Provision on consignment processing of information of financial companies Article 4, July, 2015. Outsourcing of information processing is limited to head office branches overseas, and re-commissioning is prohibited (Except when approved by Director of Financial Supervisory Service) Removed existing clause that limits outsourcing to third parties. Allowing outsourcing to third parties such as IT specialized companies Electronic Financial Supervision Regulations Article Article 14-2 (5), October, 2016. Financial institution that operates within the country must set up Data Center and Disaster Recovery Centers within the country. Setting up Wireless communication network is prohibited. The regulation will no longer apply to non-critical information systems. 된조항은금융권내재위탁허용과비중요시스템에대한망분리를허용함으로써클라우드도입의장애물을제거하였다 (<Table 2> 참조 ). 전자금융감독규정제14조의 2( 비중요정보처리시스템지정 ) 5 제1항의비중요정보처리시스템만위치한전산실에대해서는제11조제11호및제12호, 제15조제1항제5호를적용하지아니한다. ( 제11조제11호 ) 국내에본점을둔금융기관및전산실및재해복구센터는국내에설치할것 ( 제11조제12호 ) 무선통신망을설치하지아니할것 ( 제15조제1항제5호 ) 전산실내에위치한정보처리시스템의운영, 개발, 보안목적으로직접접속하는단말기에대해서는인터넷등외부통신망으로부터물리적으로분리할것이에추가적으로금융보안원에서는 금융권클라우드서비스이용가이드 (2016. 10) 를발간하여금융회사및전자금융업자가클라우드서비스이용시준수해야할사항을권고 하였다. 해당가이드는이용대상, 도입절차, 이용시준수사항, 자산관리및침해사고대응, 사후관리가기술되어있다 [6]. 가이드내핵심요구사항은망분리및비중요처리시스템에관한내용이다. 본가이드를토대로망분리조항완화로인해클라우드서비스가금융회사내부연계시보호가능한대책을 <Figure 1> 에정리하였다. <Figure 1> 에따르면망분리가허용되어클라우드서비스제공자의내외부망에있는정보처리시스템을사용할수있다. 하지만비중요정보에한하여클라우드서비스를제공받을수있다. 추가적으로금융권에서도입할수있는클라우드서비스가비중요정보서비스에국한되어있기때문에해당가이드에서는비중요정보처리시스템선정기준과처리할수있는정보의범위를기술하였다. 이와같이최근금융권의클라우드서비스도입활성화움직임에맞추어해당법령이개정됨에따라금융권내클라우드서비스도입이전적으로현실화되었다. 하지만중요정보처리시스템및개인신용정보는제외됨으로써적용가능한영역이제한되어있다.

비중요정보처리시스템으로한정된국내금융권클라우드시장활성화를위한제안 43 <Figure 1> An Example of Security Measures within Financial Institution Network Connected to External Cloud Computing 3. 기존연구동향국내클라우드도입관련연구들은크게개인정보보호조치방안및클라우드관련보안사고에바탕을두어왔다. 특히클라우드서비스자체의보안이슈와개인정보보호문제를중심으로논의가지속적으로이루어져왔다. 각연구들을살펴보면먼저, 유우영, 임종인 [20] 은클라우드서비스제공자가서비스가용성측면의품질보증에대해서만보증하고있는상황이고개인정보보호와관련된데이터보존방법, 데이터보관에대한물리적위치고지등개인정보보호를위한보호장치를충분히마련하여야한다고주장한다 [20]. 박완규 [14] 는클라우드컴퓨팅환경에서의개인정보의이전의문제를지적하고세이프하버 (Safe Harbor) 협정마련, 이용자의개인정보보호책임을강화등으로리스크를줄이는방안을제시했다 [14]. 또한임철수 [13] 와김정훈, 황용석, 김성현, 조시행 [9] 은클라우드보안이선결과제이며이 러한보안사고를방지하기위한기술적요소들및대응방안을제시했다 [9, 13]. 각연구들에서동일하게주장하는바로는클라우드서비스제공자는가용성측면뿐만아니라보안측면에서해킹, 악성코드등으로부터개인정보를보호해야한다고보았으며, 이를위해새로운제도도입및기존법률정비, 기술적보호관리등을요구했다. 클라우드도입에대한정책적연구가전혀이루어지지않았던것은아니다. 백승익, 신지연, 김종우 [1] 는우리나라의클라우드컴퓨팅확산을위한정책은서비스소비자중심이아닌서비스공급자중심이고, 민간중심이아닌정부중심이고, 이런불균형은우리나라의빠른클라우드컴퓨팅확산을방해할것이라주장했다. 또한, 이정구, 민대환, 권헌영 [12] 는 2016년 9월에시행된 클라우드컴퓨팅발전및이용자보호에관한법률 에대해 정보통신망법 과 개인정보보호법 에서도각각의법이제정및개정될당시고려하지않았던클라우드서비스의

44 한국전자거래학회지제 22 권제 4 호 특징을고려하여함께개정될필요가있다고주장했다 [12]. 이처럼지금까지는대부분클라우드서비스자체의보안에대한연구가지속되었다. 하지만최근정부에서는클라우드서비스도입활성화를위해망분리조항을완화했음에도불구하고정밀한고객데이터분석과고객특화서비스를제공하는금융권에서는비중요정보처리시스템의망분리만허용한이번정책에대한근본적인대책에대해논의되지아니하였다. 4. 금융권클라우드도입에대한이해금융권클라우드도입대안제시에앞서국제사례를알아보고자한다. 이는대안제시시예상되는침해요인을해소하고클라우드도입기준을변화시킬수있는기초자료가된다. 4.1 네덜란드금융권클라우드도입사례 기타금융기관이가이드라인을따른다면웹사이트, 모바일애플리케이션, 소매금융플랫폼, 고성능컴퓨팅및신용위험분석솔루션을포함한다양한서비스에 AWS, Salesforce, IBM, KPN and Microsoft Azurek의클라우드서비스를사용할수있다고발표했다. 가이드라인에따르면 DNB가금융기관에서사용되는 IT 인프라를감독하여그규정을준수하고있는지서비스의사용이요구사항을충족하는지확인할의무가있다고명시되어있다. 또한, 금융기관은 IaaS 클라우드기반서비스를사용하기위해다음요구사항을충족해야한다고도알려져있다 [2]. DNB에사전에클라우드컴퓨팅사용의사보고 표준적인위험분석실시 금융감독법 (Wet op het financieel toezicht- Wft) 에규정된요구사항충족 DNB에심사권한부여 계약에계약종료관련조항포함 국내에서는중요정보처리시스템도입을제한시킨것에반해 EU의많은나라들은금융부문에클라우드를도입해안전하게사용중이다. 특히, 유럽의감독당국이클라우드기반의서비스의과제를해결하고금융기관이어떻게클라우드서비스를사용하고있는지국가, 기업그리고서비스제공자의적절한역할분담에대해살펴보고자한다. 네덜란드의 DNB(De Nederlandsche Bank) 는유럽금융기관의클라우드기반서비스를사용하는것을허용하는법률을제정한창시자중하나이다. DNB는네덜란드의은행및 4.2 스위스금융권클라우드도입사례스위스의금융당국인 FINMA(The Swiss FInancial Market Supervisory Authority) 는은행및증권딜러에대한건정성및리스크중심의감독을실시하고있다. 특히 FINMA 는라이센싱과법규제준수를주기적으로체크하고있다. 규모, 복잡성, 위험구조에따라은행, 보험회사, 공동투자제도, 자율규제기관 (self-regulatory organisations, SROs) 그리고직접후순위금융중개기관 (directly subordinated financial intermediaries(dsfis)

비중요정보처리시스템으로한정된국내금융권클라우드시장활성화를위한제안 45 을 6개의감독 category들로분류한다. 라이센스보유자는채권자, 투자자, 시스템전체에대한잠재적인위험에미치는영향, 스위스중앙은행의명성에따라 6개의감독 category로분류된다. 이때, 심각한위험에노출되어있거나세계적으로중요한시스템일경우 category 1 에해당이되며, category 6은매우낮은위험성을가지고있기때문에세심한감독에서제외된다 [7]. 이처럼유럽에서는금융당국의구체적인가이드라인을통해금융기업에서안전한클라우드도입을가능하게하고있다. 5. 국내금융권클라우드도입에대한분석및문제점 5.1 현행정책의한계와충돌클라우드관련조항인전자금융감독규정제 14조의2 는중요단말을제외한비중요단말에대해클라우드서비스를허용하였다. 비중요단말의경우개인신용정보를처리할수없는데이는금융권에서클라우드를도입하려고하는취지에서벗어난다. 왜냐하면금융서비스제공자는중요정보를이용하여이용자에게특화된서비스를제공하기때문이다. 하지만, 현행법상외부클라우드서비스제공자에게중요정보가담긴내부데이터를전송하기위해서는비식별화조치가이루어져야한다. 전송된비식별화데이터는분석후다시금융사내부시스템으로들어오는데, 이때해당결과에대한고객당사자를식별할수없어데이터의활용가치는떨어지게된다. 또한금융권클라우드서비스이용가이드에서설명하고있는비중요정보처리시스템지정가능예시의기준이모호하다. 예로가이드에서는 금융서비스를제공하지않는기관대표홈페이지 를비중요정보처리시스템지정예시로들었는데현존하는대부분의은행대표홈페이지및홍보용홈페이지또한회원가입및로그인기능을갖추고있어사실상중요정보처리시스템으로분류될수있기때문이다. 현행정책은망분리기준완화를통해금융권의클라우드정착을시도하였으나그범위가비중요단말에한정되어있어활성화저해가불가피하다. 따라서현행정책상클라우드서비스도입의장애가되는요소를타개하고안전한클라우드이용을보증할수있는정책이모색되어야한다. 5.2 클라우드의침해사고사례클라우드서비스의보안성논란은지속적으로제기되어왔다. 2009년이베이의클라우드기반결제시스템인페이팔이 2시간동안정지되면서수백만명의사람들이서비스이용에불편을겪었으며, 2011년아마존 EC2는미국버지니아북부데이터센터장애로 11시간동안서비스가중단된사건이있었다 [19]. 그외에도 <Table 3> 과같이해킹및악성코드, 관리실수등끊임없는클라우드서비스보안사고가발생하고있다 [4]. 이처럼국내금융회사에클라우드서비스가도입된다면위와같은보안사고가능성을경감시키기위한정책적 기술적 관리적조치가추가로요구될가능성이크다.

46 한국전자거래학회지제 22 권제 4 호 Type Hacking and Malware Service provider Year Detail Adobe 2013 Adobe server was hacked, 2.9 million private information and part of SW source code such as Acrobat leaked ZenDesk 2013 Personal information leakage caused by ZenDesk system hacking Evernote 2013 Cloud service that provides a memo/information organizing tool caused user name, e-mail address, encrypted password leakage Dream Host 2012 Personal information leakage caused by DreamHost DB hacking Dropbox 2012 Leakage of user email list for email spam Failure of service caused by ucloud server switch and storage KT 2012 Service Failure failure Salesforce 2012 Discontinuation of NA2 service due to storage failure DoS Attack Fujitsu 2011 DoS Attack caused service failure Natural disaster & Management Mistake <Table 3> Cloud Service security incident cases Amazon 2013 Administrator mistakenly deleted the script to load balancing that led to ELB failure and Neflix service suffered connection failure First Server 2012 Loss of 5,698 data due to an error during system upgrade Amazon 2011 Electricity outage caused by lightning strike that led to EC2 error for 11 hours and 190 services simultaneously 6. 대안제시및개선사항영국의금융서비스산업은세계 3대지휘본부 (Command Center) 라불리며런던시내에서만 500개이상의은행지점이운영될만큼금융업이발달되어있다 [18]. 미국또한이에버금가는막강한글로벌금융지대로분류된다. 이러한금융선진국의클라우드서비스도입은전세계적으로크나큰파급효과를지니기때문에해당국가의행보에따라국내금융클라우드정책또한새로운국면을맞게될가능성이높다. 6.1 영국제도분석및국내정책의개선사항국내금융권클라우드도입시비중요정보 처리시스템에만국한된이유로크게두가지를들수있다. 첫째, 개인신용정보해외반출및금융당국이접근할수없는관할로의이전 둘째, 보안이슈및법률적책임기준부재앞으로클라우드서비스를활성화시키기위해서는위와같은근본적인문제에대한확실한대안이나조치가필요하다. 영국은금융당국의데이터접근가능성을기반으로클라우드도입을허용하였다. 이는데이터가클라우드상에서특정지역에국한되지못하는어려움을인지하여지역기반의요구사항보다는당국의접근가능성여부를필수요구사항으로설정한것이다. 하지만국내

비중요정보처리시스템으로한정된국내금융권클라우드시장활성화를위한제안 47 현행법에는중요데이터를저장하는서버가국내에있어야한다는지역기반정책이시행되고있다. 국내클라우드도입활성화를위해서는지금의물리적인요건이아닌클라우드의본래특성에대해이해하고이에걸맞은기준을제시해야한다. 두번째로영국은법률적책임기준의문서화및법적효력이있는구체적인계약을통해클라우드서비스제공자와의이해관계를명확화시켜발생할수있는분쟁요소를최대한잠식시키려는노력을하였다. 국내에서도클라우드서비스를도입하려는금융기관들을위해명확한법률적책임기준과계약시준수사항등을명시한가이드를제공하여그들의부담과분쟁요소를줄여주어야한다. 영국의금융감독청 (Financial Conduct Authority) 은가이드를배포 보완하여클라우드의안전한도입을위한정책근간을지속적으로마련하고있다 [3]. 국내에서도중요정보처리시스템환경에서안전한클라우드활용을위해꾸준한가이드작업진행이필요하다. 6.2 미국제도분석및국내정책의개선사항-국내금융권클라우드보안인증제제안클라우드서비스제공자단에서의보안이완벽히이루어지기위해서는금융권의보안인증체계가자리잡혀야한다. 보안인증체계는클라우드서비스제공자의보안및정책준수사 항을검증함으로써금융회사들이안심하고서비스이용할수있는발판을제공한다. 미국의 FedRAMP, 영국의 UK G-Cloud 그리고한국의 클라우드서비스보안인증제 는정부기관에클라우드서비스를공급할의도를가지고있는민간기업의보안수준과법률준수여부를평가 보증함으로써이용기관의보안우려를해소하였다 [11, 17]. 현행클라우드서비스보안인증제는공공기관을대상으로만시행되며평가 인증 자문기관또한공공분야에한정되어있다. 금융회사의보안우려를해소하기위해서는금융권에특화된보안인증체계도입이필요하다. 이를위해서는금융시스템에대한이해가높은금융보안원이나금융당국의참여를유도하여금융권에도안전하고신뢰성있는클라우드서비스제공이보증될수있어야한다. 평가 인증의종류는최초평가, 사후평가, 갱신평가로구분된다 (<Figure 2> 참조 ). 금융권클라우드평가 인증체계의예시를 <Figure 3> 과같이정리하였다. 클라우드서비스제공자가평가 인증기관인금융감독원에보안인증신청을한다. 학계, 연구기관, 기술자문기관등클라우드금융시스템관련전문가 5~10명으로구성된인증위원회와금융부문기술자문기관인금융보안원의도움을받아보안성평가를진행하고정책기관인금융위원회와함께해당신청기관의인증을부여한다. 그로인해클라우드서비스를사용하려는이용자는안전과신뢰성이검증된민간클라우드서비스를이용할수있다. <Figure 2> Type of Evaluation/Authentication

48 한국전자거래학회지제 22 권제 4 호 <Figure 3> An Example of Financial Cloud Service Evaluation/Authentication Process 6.3 FI, NFSA 그리고 CSP의협동유럽금융산업은점차클라우드컴퓨팅을도입하고있다. 그러나서비스채택방식이아직성숙하지않고, 대부분의금융기관 (Financial Institution, FI) 은여전히사내인프라에의존하고있다. FI가사용하는가장일반적인방법은 Public Cloud와 Private Cloud를공동으로사용하는 Hybrid Cloud 방식이다. 또한금융당국 (National Financial Supervisory Authorities, NFSAs) 도개인정보보호및규정준수의우려에서 Private Cloud가금융시장에전체적으로적합하다고생각하고있다. ENISA 보고서에서는금융분야의클라우드서비스사용을이해하고클라우드서비스공급자 (Cloud Service Provider, CSP) 와 FI에게클라우드서비스의안전한사용을지원하기위해작성되었다고언급했다. 또한, 설문조사와인터뷰를통해수집된정보에의해클라우드서비스도입을촉진하기위한단기과제로세가지를제시했다 [15]. 첫째, 정보격차의축소 둘째, 명확하고적절한목적의규제지침제공 셋째, 준수의간소화와합리화 EU와마찬가지로국내에서도위와같은과제를해결하기위해서는 FI, NFSA 그리고 CSP의끊임없는소통과협력이필요하다. 7. 결론클라우드관련법제정으로인해국내클라우드시장 ( 매출액 ) 규모는 1조 1,892억원으로 2015년 (7,663억원 ) 보다 55.2% 성장해최초로 1조원에돌파하였다 [10]. 정부의노력으로클라우드시장이조금씩눈에띄는성과를거두고있는반면금융권에서는크게실감하지못하고있다. 왜냐하면최근개정된전자금융감독규정은비중요정보처리시스템에만클라우드서비스도입을허용하고, 보안이슈에대한명확한대책을제공하지못함으로써금융권

비중요정보처리시스템으로한정된국내금융권클라우드시장활성화를위한제안 49 내클라우드활용이극히제한되어있기때문이다. 최근국내기업에서는 IT부문에투자를보류하거나예산을대폭삭감하고있다. 이에기업들은 IT부분비용절감방법으로클라우드컴퓨팅 (Cloud Computing) 을도입하는사례가증가하고있다. 또한데이터관리및유지 보수가용이하고업무효율성증대와비용절감이라는효과를얻을수있다는점에서많은기업에서이러한전산자원형태를채택하고있다. 하지만대부분고객의중요정보를이용한서비스를제공해야하는금융권에서는클라우드서비스의혜택을누리지못하고있다. 본논문은국내금융권에클라우드서비스도입을위한방안으로해외사례를분석하여대안을제시하였다. 영국에서는데이터접근가능성을기반으로클라우드도입을허용하고, 법률적책임기준을문서화나구체적인계약을통해문제를해결해나가고있다. 우리나라도이에명확한가이드제공및서비스제공자와의이해관계를해소하여중요정보처리시스템도클라우드서비스로안전하게사용할수있는대안을제시할필요가있다. 두번째로금융권에특화된보안인증제를도입해금융기관에클라우드서비스제공자의보안수준과법률준수여부를평가 보증함으로써이용기관의보안우려를해소할수있다. 또한, 공신력있는보안인증을해준다면클라우드수요자들의의식개선을하는데도움이될것이다. 마지막으로금융기관 (FI), 금융당국 (NFSA) 그리고클라우드서비스제공자 (CSP) 의끊임없는소통과협력을통해안전한클라우드도입에힘써야한다. References [1] Baek, S. I., Shin, J. Y., and Kim, J. W., Exploring the Korean Government Policies for Cloud Computing Service, The Journal of Society for e-business Studies, Vol. 18, No. 3, pp. 1-15, 2013. [2] DNB, Cloud computing: the rules, Available: http://www.dnb.nl/en/news/dnbnieuwsbrieven/nieuwsbrief-banken/nieuw sbrief-banken-februari-2015/dnb319119. jspm, 2015. [3] Financial Conduct Authority (FCA), FG 16/5-Guidance for firms outsourcing to the cloud and other third-party IT services, Finalised guidance, 2016. [4] Financial Security Institute, Concept of cloud computing and industry trends, 2016. [5] Financial Security Institute, Current status analysis of financial industry cloud service, E-Finance and Financial Security, pp. 33-57, 2015. [6] Financial Security Institute, Guide for using the financial industry cloud service, 2016. [7] FINMA, Available: https://www.finma. ch/en/supervision/our-approach-to-super vision. [8] Kim, H. G. and Lee, Y. S., Current status and future prospects of cloud computing services, The Journal of The Korean Institute of Communication Sciences, Vol. 27, No. 12, pp. 31-34, 2010.

50 한국전자거래학회지제 22 권제 4 호 [9] Kim, J. H., Hwang, Y. S., Kim, S. H., and Cho, S. H., How to handle malicious code of cloud computing infrastructure and case, Korea Institute of Information Security And Cryptology, Vol. 20, No. 2, pp. 51-55, 2010. [10] Korea Association of Cloud Industry, Survey on actual condition of cloud industry in 2016, National IT Industry Promotion Agency(nipa), 2017. [11] Korea Internet and Security Agency (KISA), KISA, Evaluate and certify the protection level of Cloud Service information, KISA press release, 2016. [12] Lee, J. K., Min, D. H., and Kwon, H. Y., Issues and Suggestions for Act on the Development of Cloud Computing and Protection of its Users, Journal of Information Technology Applications & Management, Vol. 24, No. 1, pp. 81-91, 2017. [13] Lim, C. S., Security technology of cloud computing, Korea Institute of Information Security And Cryptology, Vol. 19, No. 3, pp. 14-17, 2009. [14] Pak, W.-Q., Solutions to Problems regarding Transfer of Korean Personal Information to the U.S. in the Cloud Computing Environment, Kyungpook National University Law, Vol. 38, pp. 455-478, 2012. [15] Rossen Naydenov, Dimitra Liveri, Lionel Dupre, and Eftychia Chalvatzi, Secure Use of Cloud Computing in the Finance Sector, enisa, p. 11, 2015. [16] Security Technology Research Team, Case examples of domestic and overseas cloud service use cases, Research report of Financial Security Institute, 2016. [17] Seo, K.-K., Introduction and utilization of cloud computing in overseas public sector, The Federation of Korean Information Industries(FKII) ISSUE REPORT, 2015. [18] Wikipedia, https://en.wikipedia.org/wiki/ Economy_of_the_United_Kingdom#Fina ncial_and_business_services. [19] Yang, H. D. and Hwang, S. W., Outline of security threat of cloud computing and proposal for direction for realizing creative economy, Internet & Security Focus, pp. 66-83, 2013. [20] Yu, W.-Y. and Lim, J.-I., A Study on the Privacy Security Management under the Cloud Computing Service Provider, Journal of The Korea Institute of Information Security and Crytology, Vol. 22, No. 2, pp. 337-346, 2012.

비중요정보처리시스템으로한정된국내금융권클라우드시장활성화를위한제안 51 저자소개 도혜지 (E-mail: chicdo@korea.ac.kr) 2016년~현재 고려대학교정보보호대학원금융보안학과 ( 석사과정 ) 관심분야 클라우드, 전자금융보안, 핀테크 김인석 (E-mail: iskim11@korea.ac.kr) 2008년 고려대학교정보경영공학과 ( 박사 ) 2009년~현재 고려대학교정보보호대학원교수 FDS산업포럼회장, 한국정보보호학회운영위원 관심분야 전자금융보안, 금융 IT 컴플라이언스, FIN TEC

2024 © docsplayer.org 개인정보보호 | 약관 | 지원