금융 회사가 클라우드를 이용하기 위해서 알아야 할 금융규제와 클라우드 사업자에 대한 안전성 평가 방법에 대해 알려드립니다. 또한, AWS Well Architected Framework 를 이용하여 금융회사에서 보다 안전한 AWS 클라우드 환경을 구성하는 방법에 대해서도 살펴보도록 하겠습니다.

1. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
김호영
정책협력 담당
AWS
신은수
솔루션즈 아키텍트
AWS
금융 회사를 위한 클라우드 이용 가이드

2. 목차
• 클라우드 이용에 있어서 적용되는 관련 규제의 종류 및 구조
• CSP안전성평가
• 금융감독원 클라우드 이용보고
• 금융회사에서 보다 안전한 AWS 안전한 클라우드 구성하기

3. 금융부문 클라우드 규제 개선의 역사
2015
2016
2019
금융회사의 ‘정보처리 업무 제3자 위탁’ 허용
물리적 망 분리, 전산실 물리적 위치 요건
때문에 여전히 퍼블릭 클라우드 이용 불가
‘비중요 정보 처리시스템’에 물리적 망 분리,
전산실 국내 설치 적용 예외
퍼블릭 클라우드 이용 가능
‘중요 정보 처리시스템에 물리적 망 분리 예외
단, 국내 소재 클라우드만 우선 허용
<금융회사의
정보처리 업무
위탁에 관한 규정>
개정
<전자금융감독규정>
개정
<전자금융감독규정>
개정

4. 금융권 클라우드 이용 규제의 종류 및 구조
전자금융거래법
전자금융거래법 시행령
전자금융감독규정 시행세칙
*금융분야 클라우드컴퓨팅 서비스 제공자(CSP) 안전성 평가 안내서
상위
규제
하위
규제
*전자금융감독규정 (해설서 존재)
*금융분야 클라우드컴퓨팅 서비스 이용 가이드 법적
의무 無
법적
의무 有
*금융회사의 정보처리
업무 위탁에 관한 규정
* 클라우드 이용시 중점적으로 봐야 할 내용

5. 전자금융감독규정 (14조의2 )
→ CSP 안전성평가 수행: 기 수행된 금융보안원의 CSP안전성평가 결과서 공유 가능
→ 7영업일 이전에 금융감독원에 “클라우드 이용보고＂
→ 클라우드 이용시 물리적 망분리 예외 인정
→ 국내 리전만 이용가능

6. CSP(Cloud Service Provider) 안전성 평가(1)
1. 취지
금융회사 및 전자금융업자가 클라우드서비스제공자(CSP)가 제공하는 서비스에 관한
보안수준의 적정성 여부를 점검하고 확인하기 위함.
2. 평가주체
CSP평가는 기본적으로 금융회사가 수행주체이며, 금융회사 요청시 침해대응기관
(금융보안원)이 평가를 지원
3. 평가대상: 상용 클라우드컴퓨팅 서비스 (** 비상용 CSP는 평가대상에서 제외)

7. CSP(Cloud Service Provider) 안전성 평가(2)
4. 평가 항목
- 109개 기본보호조치 + 32개 금융부문 추가보호조치 (총 141개 항목)
- 기본보호조치의 경우 CSP가 획득한 국내/외 보안인증 여부에 따라 생략 가능
※AWS의 경우 서울 리전에 대해 MTCS인증 획득
5. 평가결과 공유
- (현행) CSP 평가를 마친 금융사가 타 금융사에 해당 CSP 평가결과를 공유 가능
※AWS의 경우 금융보안원을 통한 CSP평가 완료
- (추후) 금융보안원이 CSP에 대한 “대표평가“ 시행하여 금융보안원이 평가결과 공유 예정

8. 중요 업무/비중요 업무의 금감원 보고 의무
중요 정보
• 1)개인신용정보 및 고유식별 정보
(주민번호, 여권번호, 개인의 신용도 등)
• 2) 전자금융거래의 안전성 및 신뢰성에
중대한 영향을 미치는 경우
• 전자금융감독규정 제14조의2에 따라
• 금융사는 실제 클라우드를 이용하려는 날의
7영업일 이전에 금융감독원
디지털금융감독국에
• ‘클라우드 이용보고’를 해야
비중요 정보
• 개인신용정보 및 고유식별 정보가 아닌 정보
(금융사 직원들의 HR 정보 등)
• 정보처리위탁규정 제7조에 따라
• 금감원 각 금융기관 담당부서에 ‘정보처리
위수탁 보고’를 해야
- 금융거래의 내용이 누구의 것인지를 알 수
없는 금융거래정보를 포함한 경우, 실제
클라우드 이용 10 영업일 이내 금융감독원
보고(제3항)
-금융거래정보를 포함하지 않은 경우,
반기별로 보고(제4항)
(다만, 전자금융업자가 위탁하는 경우는
제외)

9. • 본 세션은 클라우드를 이용하여 금융 관련업을 준비하는 AWS 고객사들을
대상으로 이해를 돕기 위한 것이며 법적인 조언이 아님을 말씀드립니다.

10. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

11. 안전한 클라우드를 위한 아키텍쳐 구성 원칙
강력한 계정 관리 체계 수립
책임 추적성 확보
각 계층별로 보안을 구성
모범 사례를 자동화하여 구현
전송 중/ 저장 시 데이터 보호
사용자의 개입을 최소화
보안 사고에 대한 대응 체계 수립

12. VPC
Amazon API
Gateway
Amazon Elastic
File System (Amazon EFS)
AWS Lambda
Role
Amazon Simple
Notification Service
(Amazon SNS)
Amazon Simple
Storage Service
(Amazon S3)
Instance
Application
Internet
기본 서비스 구성

13. VPC
Amazon API
Gateway
Amazon Elastic
File System
(Amazon EFS)
AWS Lambda
Role
Amazon Simple
Notification Service
(Amazon SNS)
Amazon Simple
Storage Service
(Amazon S3)
Application
Role
Instance
AWS Organizations IAM AWS Single
Sign-On
MFA AWS Secrets
Manager
강력한 계정 관리 체계 수립

14. VPC
Amazon API
Gateway
Amazon Elastic
File System
AWS Lambda
Role
Amazon Simple
Notification Service
Amazon Simple
Storage Service (S3)
Instance
Application
IR Playbooks IR Tools 접근 제어
Amazon GuardDuty
AWS Security
Hub
Amazon Macie
AWS Organizations IAM AWS Single
Sign-On
MFA AWS Secrets
Manager
보안사고 대응 체계 수립
침해 사고 대응 훈련 주요 보안 위협에 대한 플레이북
클라우드 위협 탐지 서비스 저장 데이터에 대한 분류
보안 위협 정보 통합 자동화된 대응 체계
보안 사고
대응 체계

15. VPC
Amazon SNSAmazon S3
Application
IR Playbooks IR Tools 접근 제어
Role
Instance
AWS Organizations IAM AWS Single
Sign-On
MFA AWS Secrets
Manager
Amazon GuardDuty Amazon CloudWatchAWS CloudTrail AWS Config
Amazon API
Gateway
Amazon Elastic
File System
(Amazon EFS)
AWS Lambda
Role
VPC Flow
Logs
AWS Security
Hub
Amazon Macie
책임 추적성 확보

16. VPC
Amazon API
Gateway
VPC Flow Logs
Load Balancer
Application
Load Balancer
Amazon Elastic
File System
(Amazon EFS)
Database
Amazon Aurora Endpoints
AWS Lambda
Role
Shared
NAT Gateway
AWS Organizations IAM AWS Single
Sign-On
MFA AWS Secrets
Manager
Amazon GuardDuty Amazon CloudWatchAWS CloudTrail AWS Config
Amazon SNSAmazon S3
AWS Security
Hub
IR Playbooks IR Tools 접근 제어
Role
Auto Scaling group
Instances
Endpoints
Application
AMI
Amazon CloudFrontAmazon Route 53 AWS WAF
Internet
Amazon Macie
각 계층별로 보안을 구성
AWS Shield
Security Group

17. Security Group
Amazon CloudFront
VPC
Amazon API
Gateway
VPC Flow Logs
Amazon Elastic
File System
(Amazon EFS)
Endpoints
AWS Lambda
RoleNAT Gateway
AWS Organizations IAM AWS Single
Sign-On
MFA AWS Secrets
Manager
Amazon GuardDuty Amazon CloudWatchAWS CloudTrail AWS Config
Amazon SNSAmazon S3
IR Playbooks IR Tools 접근 제어
Role
Auto Scaling group
Endpoints
AMI
Amazon Route 53 AWS WAF
ACM AWS KMSAWS Security
Hub
Amazon Macie
Application
Encrypted
Instances
Shared
Load Balancer
Application
Load Balancer
Database
Encrypted
Amazon Aurora
전송 중/저장 시 데이터 보호
TLS/SSH 암호화 AWS Encryption SDK
봉투 암호화 적용 EBS 암호화
버킷 암호화 Client Side 암호화
데이터 암호화
AWS Shield

18. Security Group
AWS ShieldAmazon CloudFront
VPC
Amazon API
Gateway
VPC Flow Logs
Amazon Elastic
File System
(Amazon EFS)
Endpoints
NAT Gateway
AWS Organizations IAM AWS Single
Sign-On
MFA AWS Secrets
Manager
Amazon GuardDuty Amazon CloudWatchAWS CloudTrail
Amazon SNSAmazon S3
IR Playbooks IR Tools 접근 제어
AWS CloudFormation Event
Role
Auto Scaling group
Endpoints
AMI
Amazon Route 53
ACM AWS KMSAWS Security
Hub
Amazon Macie
Application
Encrypted
Instances
Shared
Load Balancer
Application
Load Balancer
Database
Encrypted
Amazon Aurora
모범 사례를 자동화하여 구현
AWS Lambda
Role
Amazon Inspector
AWS WAF
AWS Config

19. Security Group
AWS ShieldAmazon CloudFront
VPC
Amazon API
Gateway
VPC Flow Logs
Amazon Elastic
File System
(Amazon EFS)
Endpoints
NAT Gateway
AWS Organizations IAM AWS Single
Sign-On
MFA AWS Secrets
Manager
Amazon GuardDuty Amazon CloudWatchAWS CloudTrail AWS Config
Amazon SNSAmazon S3
IR Playbooks IR Tools 접근 제어
AWS Code
Services
AWS CloudFormation AWS Systems
Manager
Event
Role
Auto Scaling group
Endpoints
AMI
Amazon Route 53 AWS WAF
Amazon Inspector ACM AWS KMSAWS Security
Hub
Amazon Macie
Application
Encrypted
Instances
Shared
Load Balancer
Application
Load Balancer
Database
Encrypted
Amazon Aurora
사용자 개입을 최소화
AWS Lambda
Role

20. VPC
Amazon API
Gateway
VPC Flow logs
Load Balancer
Application
Load Balancer
Amazon Elastic
File System
Database
Amazon Aurora Endpoints
Encrypted
AWS Lambda
Role
Shared
NAT Gateway
AWS Organizations AWS IAM AWS Single
Sign-On
MFA AWS Secrets
Manager
Amazon GuardDuty Amazon CloudWatchAWS CloudTrail AWS Config
Amazon SNSAmazon S3
Amazon Inspector AWS Certificate
Manager
AWS KMSAWS Security
Hub
Amazon Macie
IR Playbooks IR Tools 접근 제어
AWS Code
Services
AWS CloudFormation AWS Systems
Manager
Event
Role
Auto Scaling group
Instances
Endpoints
Encrypted
Application
AMI
Amazon CloudFrontAmazon Route 53 AWS WAF
Internet
AWS Shield
Security Group

21. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

22. 감사합니다
© 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.